امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۱۱ آذر ۱۴۰۴

🕒 زمان مطالعه: حدود ۳۴ دقیقه

در دنیای امنیت سایبری امروز، مهاجمان دیگر زنگ در را نمی‌زنند؛ آن‌ها کلید کپی شده را دارند و بی‌سروصدا وارد می‌شوند. چشم‌انداز تهدیدات با سرعتی بی‌سابقه در حال بازنویسی است و دیگر با حملات قابل پیش‌بینی روبرو نیستیم. از تکامل خاموش گروه‌های دولتی که به دنبال جاسوسی بلندمدت هستند گرفته تا صنعتی‌سازی فیشینگ برای ربودن کلیدهای دیجیتال شما (کوکی‌های نشست) و ظهور هوش مصنوعی به عنوان یک شمشیر دولبه – هم سلاح و هم سپر – همه چیز در حال تغییر است. این گزارش نگاهی عمیق به این تحولات کلیدی می‌اندازد و نشان می‌دهد که چگونه مهاجمان هوشمندتر، سریع‌تر و نامرئی‌تر از همیشه عمل می‌کنند.

۱. تکامل خاموش MuddyWater : بدافزار جدید و تاکتیک‌های پنهانکارانه در حمله به اسرائیل و مصر

ردیابی گروه‌های هکری وابسته به دولت‌ها یکی از ستون‌های اصلی اطلاعات تهدید است، چرا که تغییر در تاکتیک‌های آن‌ها نشان‌دهنده یک تحول استراتژیک در چشم‌انداز تهدیدات جهانی است. وقتی گروهی که به عملیات‌های «پر سر و صدا» و قابل تشخیص شهرت دارد، ناگهان به سمت تاکتیک‌های پنهانکارانه و خاموش حرکت می‌کند، زنگ خطر برای تیم‌های امنیتی به صدا در می‌آید. این دقیقاً همان تغییری است که در فعالیت‌های اخیر گروه منتسب با ایران MuddyWater (مُ-دی-وا-تِر) مشاهده شده است.

بر اساس گزارش‌های ترکیبی از ESET و Dark Reading، این گروه یک کمپین جاسوسی سایبری پیچیده علیه سازمان‌هایی در اسرائیل و مصر راه‌اندازی کرده و از ابزارهای جدیدی استفاده کرده که نشان‌دهنده یک جهش قابل توجه در سطح فنی آن‌هاست. ابزار اصلی در این حملات یک لودر ۶۴ بیتی جدید به نام Fooder (فو-دِر) است که وظیفه آن رمزگشایی و اجرای بدافزار نهایی به طور کامل در حافظه (in-memory) است. این روش به مهاجمان اجازه می‌دهد تا از شناسایی توسط ابزارهای امنیتی سنتی که فایل‌ها را روی دیسک اسکن می‌کنند، فرار کنند. جالب‌تر اینکه Fooder در برخی نسخه‌ها خود را به شکل یک بازی کلاسیک Snake درمی‌آورد تا با تأخیر در اجرا، تحلیل خودکار را دشوارتر کند.

محموله نهایی این لودر، یک بک‌دور جدید و قبلاً مستند نشده به نام MuddyViper (مُ-دی-وای-پِر) است که به زبان C/C++ نوشته شده و کنترل کاملی بر روی سیستم قربانی به مهاجم می‌دهد. قابلیت‌های آن شامل اجرای دستورات دلخواه، سرقت اطلاعات کاربری، استخراج داده‌ها، ایجاد reverse shell و حفظ ماندگاری در سیستم است.در این کمپین، ابزارهای دیگری نیز مشاهده شده‌اند، مانند ابزارهای سرقت اطلاعات CE-Notes و LP-Notes، ابزار سرقت اطلاعات مرورگر Blub و ابزار تونل‌زنی معکوس go-socks5. این مجموعه ابزار نشان‌دهنده یک عملیات جاسوسی جامع و چندلایه است.

این تحول یک تغییر تاکتیکی مهم برای گروه MuddyWater محسوب می‌شود که در گذشته به عملیات‌های «پر سر و صدا» شهرت داشت. استفاده از روش‌های مبتنی بر حافظه و بدون فایل (fileless) و اجتناب عمدی از جلسات تعاملی «دست-روی-کیبورد» (hands-on-keyboard) که اغلب با دستورات اشتباه تایپ‌شده همراه و قابل ردیابی است، نشان‌دهنده گذار به عملیات‌های مخفیانه‌تر است. این رویکرد جدید، شناسایی فعالیت‌های مخرب آن‌ها را برای تیم‌های امنیتی که عمدتاً بر آنتی‌ویروس‌های مبتنی بر امضا تکیه می‌کنند، بسیار دشوارتر می‌سازد.

سناریوی فرضی

یک مدیر IT در یک شرکت مهندسی در اسرائیل، ایمیلی فریبنده با موضوع یک پروژه مشترک دریافت می‌کند. با کلیک بر روی لینک موجود در ایمیل، لودر Fooder به صورت نامرئی در حافظه سیستم اجرا شده و سپس بک‌دور MuddyViper را بارگذاری می‌کند. این بک‌دور برای هفته‌ها به صورت خاموش فعال باقی می‌ماند و به تدریج نقشه‌های پروژه‌ها و ارتباطات داخلی را به سرورهای مهاجمان ارسال می‌کند، بدون اینکه هیچ‌گونه هشدار آنتی‌ویروس مبتنی بر فایل را فعال کند.

نکته کاربردی

برای تیم‌های امنیتی، این حمله اهمیت حیاتی تحلیل حافظه (memory analysis) و استفاده از قوانین تشخیص رفتاری (behavioral detection) را برجسته می‌کند. این رویکردها می‌توانند فرآیندهای مخربی را که بدون فایل روی دیسک اجرا می‌شوند شناسایی کنند، در حالی که تکیه صرف بر آنتی‌ویروس‌های مبتنی بر امضا دیگر کافی نیست.

“بذار خلاصه بگم 👇”
گروه هکرهای MuddyWater ساکت‌تر و خطرناک‌تر شده. اون‌ها با ابزارهای جدیدی که فقط در حافظه کامپیوتر اجرا میشن، به زیرساخت‌های اسرائیل و مصر نفوذ کردن تا بدون اینکه کسی بفهمه، جاسوسی کنن.

منابع این بخش:

۲. طرح دوگانه کره شمالی: از استخدام مهندسان به عنوان “کارمند اجاره‌ای” تا آلوده کردن پکیج‌های npm

عملیات‌های سایبری کره شمالی مدت‌هاست که از یک ابزار جاسوسی صرف، به یک منبع درآمد حیاتی برای رژیم تبدیل شده است. اما اکنون، آن‌ها در حال نوآوری فراتر از هک‌های سنتی هستند و به سمت مهندسی اجتماعی پیچیده و حملات زنجیره تأمین حرکت کرده‌اند.

فعالیت‌های سایبری اخیر کره شمالی دو استراتژی متمایز اما مکمل را نشان می‌دهد:
طرح اجاره هویت “Famous Chollima”

در یک عملیات، گروه Famous Chollima (فِیمِس-چو-لی-ما)، زیرمجموعه‌ای از گروه بزرگ‌تر Lazarus (لا-زا-رُس)، با توسعه‌دهندگان قانونی تماس گرفته و به آن‌ها پیشنهاد می‌دهند تا هویت خود را «اجاره» دهند. این مهندسان به عنوان نماینده در مصاحبه‌های شغلی شرکت‌های غربی شرکت می‌کنند، اما پس از استخدام، این مأموران کره شمالی هستند که با استفاده از کامپیوتر قربانی به عنوان یک پروکسی، کار را انجام می‌دهند. محققان با راه‌اندازی یک عملیات هانی‌پات (honeypot) موفق شدند تاکتیک‌های آن‌ها را به صورت زنده ضبط کنند که شامل استفاده از ابزارهای مبتنی بر هوش مصنوعی برای پر کردن فرم‌های استخدامی (AIApply, Simplify Copilot) و استفاده از Astrill VPN (اَس-تریل-وی-پی-اِن) بود.

کمپین “مصاحبه آلوده”

همزمان، یک حمله زنجیره تأمین دیگر توسعه‌دهندگان بلاکچین و Web3 را هدف قرار داده است. در این روش، هکرها در طول مصاحبه‌های شغلی جعلی، از متقاضیان می‌خواهند تا به عنوان «تکلیف آزمایشی»، پکیج‌های npm آلوده را دانلود کنند. این پکیج‌ها بدافزاری به نام OtterCookie (اُ-تِر-کو-کی) را روی سیستم قربانی نصب می‌کنند.

بر اساس تحقیقات Socket Threat Research، مهاجمان از ۱۰ اکتبر بیش از ۱۹۷ پکیج مخرب npm را با بیش از ۳۱٬۰۰۰ دانلود تجمعی توزیع کرده‌اند.

این دو کمپین، دو روی یک سکه نیستند؛ بلکه یک استراتژی اقتصادی جامع را تشکیل می‌دهند. طرح «کارمند IT اجاره‌ای» یک جریان نقدی پایدار و کم‌ریسک همراه با دسترسی داخلی بالقوه فراهم می‌کند. در مقابل، کمپین «مصاحبه آلوده» یک شرط‌بندی پرریسک اما با پاداش بالقوه بالا بر روی یک حمله زنجیره تأمین است که می‌تواند به یک سرقت عظیم ارز دیجیتال منجر شود. یکی رژیم را تأمین مالی می‌کند و دیگری به دنبال یک برد بزرگ است.

نکته کاربردی

تیم‌های توسعه نرم‌افزار و منابع انسانی باید فرآیندهای راستی‌آزمایی برای استخدام‌های از راه دور را به شدت سخت‌گیرانه‌تر کنند. همچنین، بررسی امنیتی دقیق تمام پکیج‌ها و کدهای شخص ثالث مورد استفاده در پروژه‌ها، صرف نظر از منبع آن‌ها، باید به یک الزام تبدیل شود.

“بذار خلاصه بگم 👇”
هکرهای کره شمالی دو تا نقشه جدید دارن: یا هویت مهندس‌های واقعی رو اجاره می‌کنن تا در شرکت‌های غربی کار کنن و پول در بیارن، یا در مصاحبه‌های شغلی جعلی، پکیج‌های برنامه‌نویسی آلوده به توسعه‌دهنده‌ها می‌دن.

منابع این بخش:

۳. صنعتی‌سازی فیشینگ: ظهور ابزارهای ترکیبی و تکنیک‌های پیشرفته برای دور زدن احراز هویت دوعاملی (MFA)

فیشینگ دیگر آن کلاهبرداری‌های ایمیلی ساده و پر از غلط املایی گذشته نیست. این پدیده به یک صنعت پیچیده «به عنوان سرویس» (as-a-service) تبدیل شده است. هدف اصلی فیشینگ مدرن دیگر فقط دزدیدن رمز عبور نیست، بلکه ربودن کل نشست کاربری (session hijacking) برای دور زدن کامل احراز هویت چندمرحله‌ای (MFA) است.

کیت‌های فیشینگ ترکیبی

تحلیلگران امنیتی شاهد ظهور یک تهدید ترکیبی جدید هستند. زیرساخت کیت فیشینگ Salty2FA (سال-تی-تو-اِف-اِی) با مشکلات عملیاتی مواجه شده و در نتیجه، کمپین‌های آن مجبور به استفاده از زیرساخت Tycoon2FA (تای-کون-تو-اِف-اِی) به عنوان مکانیزم پشتیبان (fallback) شده‌اند که احتمالاً به گروه Storm-1747 (اِستورم-۱۷۴۷) مرتبط است.. این همکاری و انعطاف‌پذیری در اکوسیستم PhaaS، شناسایی و ردیابی مهاجمان را پیچیده‌تر می‌کند.

تکنیک Adversary-in-the-Middle و ابزار Evilginx

تکنیک «مهاجم در میانه» (Adversary-in-the-Middle یا AiTM) با ابزاری مانند Evilginx (ای-وِل-جینکس) اجرا می‌شود. این ابزار به عنوان یک پراکسی معکوس عمل کرده و با قرار گرفتن بین قربانی و وب‌سایت اصلی، نه تنها نام کاربری و رمز عبور، بلکه مهم‌تر از آن، کوکی نشست (session cookie) را پس از اینکه کاربر با موفقیت فرآیند MFA را طی کرد، سرقت می‌کند. این کوکی به مهاجم اجازه می‌دهد تا به طور کامل کنترل حساب کاربری را به دست بگیرد.

کمپین فیشینگ با جعل Calendly

یک کمپین فیشینگ بسیار هدفمند با جعل دعوت‌نامه‌های سرویس زمان‌بندی Calendly، برندهای بزرگی مانند Unilever و Disney را تقلید می‌کند. هدف نهایی این حملات، سرقت حساب‌های Google Workspace و Facebook Business Ad Manager است تا از آن‌ها برای تبلیغات مخرب یا فروش مجدد استفاده شود.

این روش‌ها به این دلیل بسیار مؤثر هستند که MFA، که بسیاری آن را یک راه حل نهایی می‌دانند، را با سرقت توکن نشست (و نه فقط رمز عبور) دور می‌زنند. صفحات فیشینگ نیز کپی‌های تقریباً بی‌نقصی از پورتال‌های ورود یکپارچه (SSO) هستند که تشخیص آن‌ها برای کاربران بسیار دشوار است.

نکته کاربردی

سازمان‌ها باید به سمت روش‌های احراز هویت مقاوم در برابر فیشینگ مانند کلیدهای امنیتی سخت‌افزاری (FIDO2/WebAuthn) حرکت کنند. این کلیدها نشست ورود را به دستگاه فیزیکی متصل می‌کنند و سرقت کوکی را بی‌اثر می‌سازند. تکیه بر اعلان‌های (push notifications) یا کدهای یک‌بارمصرف (OTP) دیگر در برابر این حملات پیشرفته کافی نیست.

“بذار خلاصه بگم 👇”
فیشینگ خیلی حرفه‌ای شده؛ هکرها با ابزارهایی مثل Evilginx و ترکیب کیت‌های مختلف، حتی احراز هویت دوعاملی (MFA) را هم دور می‌زنند و با جعل دعوت‌نامه‌های Calendly، حساب‌های تجاری را هک می‌کنند.

منابع این بخش:

۴. هوش مصنوعی به عنوان سلاح: از حملات خودکار تا جیلبریک با شعر

هوش مصنوعی در امنیت سایبری یک شمشیر دولبه است؛ همان فناوری که برای دفاع استفاده می‌شود، به سرعت توسط مهاجمان به سلاح تبدیل می‌شود. مهاجمان اکنون فراتر از تولید ایمیل‌های فیشینگ رفته و از آن برای اجرای عملیات‌های پیچیده‌تر و سریع‌تر استفاده می‌کنند.

حملات خودکار با هوش مصنوعی

گزارش شده است که یک گروه هکری نزدیک به APT41 یک «حمله ۱۰۰٪ خودکار» را در کمتر از ۴۵ دقیقه اجرا کرده است. این تصور که یک هوش مصنوعی مستقل در حال تصمیم‌گیری و بداهه‌پردازی است، اشتباه است. در واقعیت، این حملات توسط یک ارکستراتور هوش مصنوعی (AI orchestrator) مدیریت می‌شوند که از کتابچه‌های راهنمای (playbooks) از پیش تعریف‌شده و ابزارهای تخصصی برای اجرای سریع و دقیق مراحل حمله استفاده می‌کند. این سرعت در تضاد کامل با واکنش کلاسیک مراکز عملیات امنیتی (SOC) است که به دلیل تنگناهای انسانی (بررسی دستی، تحلیل و بازبینی) ساعت‌ها یا روزها طول می‌کشد. این تفاوت زمانی، چالش اصلی استراتژیک را برجسته می‌کند: مدافعان در حال باختن «بازی سرعت» هستند.

مدل‌های زبانی بزرگ تاریک (Dark LLMs)

مهاجمان در حال استفاده از APIهای مدل‌های زبان بزرگ (LLM) قانونی برای ترافیک فرمان و کنترل (C2) خود هستند. آن‌ها دستورات مخرب خود را در قالب داده‌هایی که شبیه به درخواست‌های عادی هوش مصنوعی به نظر می‌رسند، پنهان می‌کنند و ترافیک مخرب را در میان ترافیک عادی شبکه مخفی می‌سازند.

جیلبریک با شعر

محققان کشف کرده‌اند که بیان دستورات مخرب در قالب شعر، نرخ موفقیت در دور زدن محدودیت‌های امنیتی مدل‌های هوش مصنوعی را به شدت افزایش می‌دهد (از ۸٪ به ۴۳٪). جالب اینجاست که این روش حتی زمانی که از یک هوش مصنوعی دیگر برای تبدیل دستورات مخرب شناخته‌شده به شعر استفاده شد نیز مؤثر بود.

اطلاعات نادرست مبتنی بر هوش مصنوعی

یک شبکه نفوذ روسی به نام CopyCop (کپی-کاپ) از مدل‌های زبان بزرگ خودمیزبان برای تولید اخبار جعلی در بیش از ۳۰۰ وب‌سایت استفاده می‌کند. هدف این عملیات، تضعیف حمایت جهانی از اوکراین است.

پیامدهای جمعی این روندها واضح است: دفاع سایبری دیگر نمی‌تواند با سرعت انسان عمل کند. ظهور حملات هماهنگ‌شده با هوش مصنوعی، نیازمند دفاع مبتنی بر هوش مصنوعی است. همچنین، سوءاستفاده از سرویس‌های قانونی هوش مصنوعی برای ترافیک C2، مستلزم فیلترینگ سخت‌گیرانه‌تر ترافیک خروجی و تحلیل رفتاری تماس‌های API هوش مصنوعی است.

نکته کاربردی

سازمان‌ها باید سیاست‌های حاکمیتی دقیقی برای هوش مصنوعی ایجاد کنند، از جمله لیست‌های مجاز خروجی (egress allowlists) برای ترافیک API مدل‌ها و نظارت در زمان اجرا برای شناسایی رفتارهای غیرعادی عامل‌ها.

“بذار خلاصه بگم 👇”
هکرها دارند از هوش مصنوعی برای حملات خودکار و فوق‌سریع استفاده می‌کنند و حتی با نوشتن دستورات مخرب در قالب «شعر»، محدودیت‌های امنیتی مدل‌های زبانی را دور می‌زنند.

منابع این بخش:

۵. روزصفرهای اندروید: گوگل دو آسیب‌پذیری تحت حمله فعال را وصله کرد

آسیب‌پذیری‌های روزصفر (Zero-day)، به ویژه در پلتفرم‌های فراگیری مانند اندروید، از اهمیت حیاتی برخوردارند. وقتی اعلام می‌شود که یک آسیب‌پذیری به صورت «محدود و هدفمند» در حال بهره‌برداری است، این معمولاً نشانه‌ای از استفاده توسط بازیگران پیچیده مانند فروشندگان نرم‌افزارهای جاسوسی تجاری یا گروه‌های دولتی است. از طرفی وابستگی دنیای کسب‌وکار به فروشندگان بزرگ فناوری مانند مایکروسافت به این معناست که حتی قطعی‌های جزئی یا باگ‌های کوچک در محصولات اصلی آن‌ها می‌تواند تأثیرات عملیاتی گسترده‌ای داشته باشد. این هفته، مایکروسافت با دو مشکل جداگانه اما قابل توجه روبرو شد.

آسیب‌پذیری‌های روز-صفر در اندروید

گوگل در بولتن امنیتی دسامبر ۲۰۲۵، ۱۰۷ آسیب‌پذیری را در سیستم‌عامل اندروید برطرف کرد. در میان آن‌ها، دو آسیب‌پذیری روز-صفر با شدت بالا وجود داشت که به صورت محدود و هدفمند توسط مهاجمان مورد سوءاستفاده قرار گرفته بودند. این آسیب‌پذیری‌ها به ترتیب یک نقص افشای اطلاعات (CVE-2025-48633) و یک نقص افزایش سطح دسترسی (CVE-2025-48572) بودند.

مشکلات به‌روزرسانی ویندوز ۱۱

آخرین به‌روزرسانی پیش‌نمایش ویندوز ۱۱ با کد KB5070311، با اینکه مشکل فریز شدن File Explorer را برطرف کرد، اما به‌طور کنایه‌آمیزی یک باگ جدید ایجاد کرد: یک فلش سفیدرنگ و آزاردهنده هنگام استفاده از حالت تاریک (dark mode). این نشان می‌دهد که حتی اصلاحات نیز می‌توانند مشکلات جدیدی به همراه داشته باشند.

قطعی پورتال Microsoft Defender XDR

اخیراً پورتال Defender XDR مایکروسافت به دلیل افزایش ناگهانی بار پردازنده (CPU spike) دچار قطعی شد. دلیل این مشکل، افزایش ناگهانی ترافیک بود که منجر به استفاده بیش از حد از CPU در سرورهای مایکروسافت شد. این قطعی باعث شد که هشدارهای جدید مربوط به شکار تهدیدات پیشرفته (advanced threat-hunting) برای تیم‌های امنیتی نمایش داده نشود و آن‌ها را به طور موقت کور کند.

این حوادث تهدیدات امنیتی حیاتی نیستند، بلکه سردردهای عملیاتی هستند که گردش کار امنیتی و تجربه کاربری را مختل می‌کنند. قطعی Defender به طور موقت دید تیم‌های مرکز عملیات امنیت (SOC) را از بین برد، در حالی که باگ File Explorer اعتماد کاربران به فرآیند به‌روزرسانی را تضعیف می‌کند و نشان می‌دهد که حتی اصلاحات ساده نیز می‌توانند عوارض جانبی پیش‌بینی‌نشده‌ای داشته باشند.

نکته کاربردی

به تمام کاربران اندروید اکیداً توصیه می‌شود که آخرین به‌روزرسانی امنیتی را فوراً نصب کنند. کاربرانی که دستگاه‌های قدیمی و پشتیبانی‌نشده دارند، باید برای دریافت وصله‌های امنیتی حیاتی، به فکر ارتقاء به یک مدل جدیدتر باشند.
برای باگ ویندوز ۱۱، مایکروسافت توصیه کرده است تا زمان انتشار یک وصله جدید، کاربران حالت تاریک را غیرفعال کنند. در مورد قطعی Defender، این حادثه اهمیت داشتن ابزارهای نظارتی متنوع و عدم اتکا به پورتال یک فروشنده واحد را برجسته می‌کند.

“بذار خلاصه بگم 👇”
اگر گوشی اندرویدی دارید، فورا آپدیت کنید. گوگل همین الان دو تا حفره امنیتی خطرناک رو بسته که هکرها داشتن ازشون برای جاسوسی استفاده می‌کردن. این آپدیت بیش از ۱۰۰ مشکل دیگه رو هم حل می‌کنه. مایکروسافت این هفته دو تا مشکل داشت: اول اینکه پورتال امنیتی Defender برای مدتی از کار افتاد و تیم‌های امنیتی رو کور کرد. دوم اینکه آپدیت جدید ویندوز ۱۱ که قرار بود حالت تاریک رو بهتر کنه، باعث یک فلش سفید آزاردهنده شده.

منابع این بخش:

۶. موج افشای اطلاعات: از غول تجارت الکترونیک کره تا شرکت نوشیدنی ژاپنی، میلیون‌ها کاربر در معرض خطر

نشت‌های اطلاعاتی بزرگ همچنان مقادیر عظیمی از اطلاعات شخصی را افشا می‌کنند و این نشان می‌دهد که بسیاری از سازمان‌ها هنوز با اصول اولیه امنیت سایبری دست و پنجه نرم می‌کنند. این هفته شاهد چندین مورد برجسته بودیم که ضعف‌های امنیتی بنیادین را به نمایش گذاشتند.

بزرگ‌ترین نشت اطلاعات اخیر مربوط به Coupang (کوپانگ)، غول تجارت الکترونیک کره جنوبی که به «آمازون کره» شهرت دارد، است. اطلاعات شخصی حدود ۳۳.۷ میلیون مشتری این شرکت طی یک دوره پنج ماهه فاش شده است. داده‌های افشاشده شامل نام، ایمیل، شماره تلفن، آدرس و تاریخچه سفارشات بوده، اما خوشبختانه اطلاعات حساس پرداخت مانند شماره کارت اعتباری در امان مانده‌اند. مظنون اصلی این حادثه یک کارمند سابق چینی این شرکت است.

Coupang، که اغلب “آمازون کره” نامیده می‌شود، تأیید کرد که داده‌های حدود ۳۳.۷ میلیون حساب مشتری در کره جنوبی در یک نشت اطلاعاتی که بیش از پنج ماه به طول انجامید، تحت تأثیر قرار گرفته است.

در کنار این حادثه، چندین نشت اطلاعات بزرگ دیگر نیز در سراسر جهان گزارش شده است:
  • Asahi Group Holdings (ژاپن): این غول آبجوسازی قربانی حمله باج‌افزاری گروه Qilin (کیلین) شد که اطلاعات ۱.۵۲ میلیون مشتری و ۲۷۵ هزار کارمند را تحت تأثیر قرار داد.
  • Illuminate Education (آمریکا): کمیسیون تجارت فدرال (FTC) این شرکت فناوری آموزشی را به دلیل شیوه‌های امنیتی ضعیف، از جمله ذخیره داده‌ها به صورت متن ساده و استفاده از اطلاعات کاربری یک کارمند که بیش از سه سال پیش شرکت را ترک کرده بود، جریمه کرد. این نشت اطلاعات ۱۰.۱ میلیون دانش‌آموز را در سال ۲۰۲۱ تحت تأثیر قرار داد.
  • University of Pennsylvania (آمریکا): این دانشگاه نیز به جمع قربانیان کمپین باج‌افزاری Clop (کلاپ) پیوست که از یک آسیب‌پذیری روز-صفر (zero-day) در Oracle E-Business Suite برای حمله به نزدیک به ۱۰۰ سازمان استفاده کرد.
  • Kensington and Chelsea Council (بریتانیا): این شورا تأیید کرد که قطعی اخیر سیستم‌های IT آن ناشی از یک نشت اطلاعات بوده که در آن «داده‌های تاریخی» از یک محیط IT مشترک بین سه شورای لندن کپی شده است.

این حوادث الگوهای تکراری را نشان می‌دهند: تهدیدات داخلی (Coupang, Illuminate)، تأثیر ویرانگر باج‌افزارها (Asahi, Clop) و پیامدهای بلندمدت اصول امنیتی ناکافی.

این حوادث یک واقعیت تلخ را آشکار می‌کنند: در حالی که صنعت امنیت سایبری به دنبال مقابله با تهدیدات پیشرفته هوش مصنوعی است، اکثر نشت‌های اطلاعاتی گسترده هنوز ناشی از شکست در اجرای اصول اولیه‌ای است که بیش از یک دهه است می‌شناسیم. تهدیدات داخلی، عدم وصله کردن به موقع سیستم‌ها و مدیریت ضعیف اعتبارنامه‌ها، همگی نشان‌دهنده ناکامی در تسلط بر امنیت بنیادین هستند، نه شکست در برابر حملات پیچیده و جدید.

نکته کاربردی

برای مصرف‌کنندگان، استفاده از رمزهای عبور منحصربه‌فرد برای هر سرویس و فعال کردن MFA ضروری است. برای کسب‌وکارها، تأکید بر اهمیت وصله کردن به موقع، کنترل دسترسی سخت‌گیرانه و ابطال سریع اعتبارنامه‌های کارمندان سابق حیاتی است.

“بذار خلاصه بگم 👇”
اطلاعات میلیون‌ها نفر دوباره لو رفت. از مشتریان «آمازون کره» و شرکت ژاپنی آساهی گرفته تا اطلاعات حساس دانش‌آموزان آمریکایی. دلیلش هم اغلب اشتباهات امنیتی ساده مثل استفاده از پسوردهای قدیمی و آپدیت نکردن سیستم‌ها بوده.

منابع این بخش:

۷. سرقت ۹ میلیون دلاری از yETH: چگونه ۱۶ وِی به توکن‌های بی‌نهایت تبدیل شد

دنیای مالی غیرمتمرکز (DeFi) ریسک‌های منحصر به فردی دارد. در اینجا، یک باگ ظریف در منطق یک قرارداد هوشمند می‌تواند به ضررهای مالی فاجعه‌بار و آنی منجر شود. حمله اخیر به استخر yETH شرکت Yearn Finance نمونه‌ای کامل از این خطر است که در آن، مهاجمی با سرمایه تقریباً صفر، حدود ۹ میلیون دلار به سرقت برد.

آسیب‌پذیری اصلی، یک نقص در ذخیره‌سازی حافظه پنهان (cached storage) بود. پروتکل برای کاهش هزینه‌های تراکنش، اطلاعات تراز مجازی را در متغیرهایی به نام packed_vbs[] ذخیره می‌کرد. مشکل اینجا بود که وقتی استخر به طور کامل از نقدینگی خالی می‌شد، این مقادیر کش‌شده به صفر بازنشانی نمی‌شدند. مهاجم ابتدا با چندین واریز و برداشت، مقادیر باقی‌مانده کوچکی را به عنوان «ترازهای شبح» در حافظه پنهان باقی گذاشت. سپس، کل نقدینگی استخر را خارج کرد و عرضه اصلی را به صفر رساند. در نهایت، او مبلغی ناچیز (فقط ۱۶ وِی) را واریز کرد. این کار منطق «اولین واریز» پروتکل را فعال کرد، که به اشتباه به جای خواندن مبلغ واقعی واریزشده، مقادیر غیرصفر کش‌شده را از حافظه خواند و در نتیجه، سپتیلیون‌ها توکن برای مهاجم صادر کرد و کنترل کل استخر را به او داد.

برای درک بهتر این حمله نیاز است کمی با مفهوم DeFi (امور مالی غیرمتمرکز) آشنا شویم. اینکه «استخر نقدینگی» (Liquidity Pool) در حالت سالم چطور کار می‌کند.

در نتیجه یک مثال ساده از صندوق امانات بانک را شبیه سازی کنیم.

۱. استخر و توکن مالکیت (LP Token) چیست؟

در دنیای DeFi، وقتی شما پولتان (مثلاً اتریوم) را در یک استخر (مثل yETH) می‌گذارید، بانک به شما یک «رسید» می‌دهد.

  • پول شما: اتریوم (ETH).
  • رسید بانک: توکن yETH.

این رسید (yETH) چه ارزشی دارد؟
این رسید ثابت می‌کند که «شما صاحب بخشی از کل پول‌های داخل صندوق هستید».
اگر شما ۱۰٪ از کل پول صندوق را واریز کرده باشید، بانک به شما ۱۰٪ از کل رسیدهای چاپ شده را می‌دهد. هر وقت بخواهید پولتان را پس بگیرید، باید این رسید (yETH) را به بانک بدهید و بانک آن را می‌سوزاند و اصل پولتان را پس می‌دهد.

۲. فرمول بانک برای چاپ رسید

وقتی شما پول واریز می‌کنید، سیستم باید محاسبه کند «چند تا رسید (yETH) باید به شما بدهم؟»

فرمول ساده این است:

تعداد رسید های شما = (پول واریزی شما تقسیم بر کل پول موجود در صندوق) ضربدر کل رسیدهای دست مردم

این فرمول تضمین می‌کند که ارزش هر رسید، عادلانه باقی بماند.

حالا با توجه به این پیش نیاز به بررسی ماجرا بپردازیم

۱. ماجرا چیست؟

در شبکه اتریوم، هر عملیاتی هزینه دارد (Gas Fee). برنامه‌نویسان Yearn برای اینکه کاربران کارمزد کمتری بدهند، یک ترفند زدند:

  • به جای اینکه هر بار موجودی کل صندوق را از بلاک‌چین بشمارند (که گران است)، آخرین موجودی را در یک «دفترچه یادداشت موقت» (Cache) می‌نوشتند.
  • فرض بر این بود که این دفترچه همیشه با واقعیت هماهنگ است.

در نتیجه تلاش برای کم کردن ۱۰ سنت از هزینه کاربر، باعث شد ۹ میلیون دلار از جیب همه برود.
در امنیت سایبری، پیچیدگی دشمن امنیت است.

۲. باگ کجا بود؟ (تله‌ی حافظه)

مشکل اینجا بود که اگر صندوق کاملاً خالی می‌شد، برنامه‌نویسان فراموش کرده بودند کدی بنویسند که آن «دفترچه یادداشت» را هم صفر کند.

  • نتیجه: صندوق در واقعیت خالی بود، اما دفترچه یادداشت هنوز نشان می‌داد که صندوق پر از پول است!
۳. هکر چطور حمله کرد؟ (مراحل سرقت)
هکر این ناهماهنگی را فهمید و عملیات را در سه مرحله انجام داد:
  • مرحله اول: خالی کردن صندوق (تخلیه) هکر با یک سری وام فلش (Flash Loan) و عملیات پیچیده، تمام پول‌های واقعی داخل استخر yETH را خارج کرد. الان موجودی واقعی صفر است، اما آن متغیر حافظه (Cache) هنوز عدد بزرگی را نشان می‌دهد (چون صفر نشده بود).
  • مرحله دوم: واریز ۱۶ وِی (تزریق قطره) هکر مقدار ۱۶ وِی (که حتی از یک ریال هم کمتر است و تقریباً صفر محسوب می‌شود) را به صندوق واریز کرد.
  • مرحله سوم: اشتباه محاسباتی سیستم (انفجار) سیستم باید محاسبه می‌کرد که به ازای این واریزی، چقدر توکن (سهم) به هکر بدهد.
    • منطق سالم: تو ۱۶ وِی دادی، صندوق هم خالیه، پس سهم تو خیلی کمه.
    • منطق معیوب (باگ): سیستم به «دفترچه یادداشت» نگاه کرد و دید نوشته “صندوق پر است”. سپس گیج شد! سیستم تصور کرد که این ۱۶ وِیِ ناچیز، به اندازه کل آن موجودیِ قدیمیِ (کش شده) ارزش دارد.
    • نتیجه: سیستم دچار خطا شد و به جای مقدار کمی توکن، سپتیلیون‌ها (میلیاردها میلیارد) توکن yETH چاپ کرد و به هکر داد. هکر عملاً مالک ۱۰۰٪ استخر شد.
۴. پایان کار

هکر که حالا تریلیون‌ها توکن داشت، آن‌ها را در بازار با سایر ارزهای دیجیتال (مثل ETH) تعویض کرد و حدود ۹ میلیون دلار پول واقعی به جیب زد و فرار کرد.

این حمله رو از نگاه صندوق امانات بانک هم بررسی کنیم:
پرده اول: وضعیت عادی
  • فرض کنید در صندوق ۱۰۰۰ دلار پول هست.
  • دفترچه یادداشت سیستم (Cache) هم می‌گوید: «موجودی ۱۰۰۰ دلار».
  • تعداد ۱۰۰۰ رسید (yETH) هم دست مردم است.
پرده دوم: تخلیه (هکر وارد می‌شود)
  • هکر با روش‌هایی همه پول‌ها را خارج می‌کند.
  • واقعیت: صندوق خالی است (۰ دلار).
  • رسیدها: هیچ رسیدی دست کسی نیست (۰ توکن).
  • باگ (حافظه پاک‌نشده): دفترچه یادداشت سیستم (Cache) هنوز می‌گوید: «موجودی ۱۰۰۰ دلار»! (سیستم یادش رفت این را صفر کند).
پرده سوم: واریز ۱۶ وِی (قطره‌ی جادویی)

هکر می‌آید و مقدار ناچیز ۱۶ وِی (تقریباً ۰ دلار) واریز می‌کند.
حالا سیستم (قرارداد هوشمند) می‌خواهد محاسبه کند «چند تا رسید به این آدم بدهم؟»

  1. منطق سیستم: “خب، این آدم اولین کسی است که بعد از خالی شدن صندوق آمده.”
  2. نگاه به دفترچه (Cache): “اوه! دفترچه می‌گوید ارزش این صندوق ۱۰۰۰ دلار است.” (در حالی که واقعاً خالی بود و فقط همین ۱۶ وِی هکر داخلش بود).
  3. نتیجه‌گیری غلط: سیستم پیش خودش می‌گوید:
    > «عجیبه! صندوق ۱۰۰۰ دلار ارزش داره، ولی هیچ رسیدی (yETH) براش چاپ نشده. پس حتماً این ۱۶ وِی که الان واریز شد، معادل همون ۱۰۰۰ دلار ارزشه!» (سیستم فکر کرد هکر با واریز ۱۶ وِی، مالکیت آن ۱۰۰۰ دلارِ خیالی را احیا کرده است).
  4. چاپ توکن: سیستم برای اینکه تعادل ریاضی برقرار شود، ناگهان تعداد نجومی و بی‌نهایتی رسید (yETH) چاپ کرد و به هکر داد تا ارزش آن ۱۶ وِی را با آن ۱۰۰۰ دلار (که فکر می‌کرد هست) تراز کند.
پرده چهارم: چرا هکر به این توکن‌ها (رسیدها) نیاز داشت؟

شاید بپرسید: “هکر که فقط رسید گرفت، پول واقعی کجاست؟”

در DeFi، رسید (yETH) یعنی پول نقد. هکر این تریلیون‌ها رسید (yETH) را برداشت و به یک صرافی (مثل Uniswap یا Balancer) برد.

  • در صرافی، مردم و استخرها قبول دارند که “هر ۱ عدد yETH برابر با مقدار مشخصی اتریوم است”.
  • هکر رسیدهای بی‌ارزش (که سیستم به اشتباه چاپ کرده بود) را فروخت و در عوض اتریوم‌های واقعی و دلارهای دیگران را از صرافی‌ها بیرون کشید.

خیلی‌ها شاید ندانند «وِی» چیست.

  • ریاضی: هر ۱ واحد اتریوم برابر است با ۱,۰۰۰,۰۰۰,۰۰۰,۰۰۰,۰۰۰,۰۰۰ (۱۸ صفر) وِی.
  • تشبیه: اگر ۱ اتریوم را «کره زمین» در نظر بگیریم، ۱۶ وِی از اندازه یک «دانه شن» هم کوچک‌تر است.
  • نکته: هکر با مبلغی که حتی «صفر تومان» هم نمی‌شود (عملاً هیچ)، ۹ میلیون دلار دزدید. این یعنی «اهرم بی‌نهایت» (Infinite Leverage).
یک تشبیه در دنیای واقعی:

فرض کنید شما یک انباردار هستید.
۱. انبار پر از ۱۰۰۰ شمش طلاست. شما روی تخته‌سیاه می‌نویسید: «موجودی: ۱۰۰۰ شمش».
۲. یک نفر می‌آید و همه ۱۰۰۰ شمش را می‌برد. انبار خالی می‌شود، اما شما یادتان می‌رود تخته‌سیاه را پاک کنید. تخته هنوز می‌گوید ۱۰۰۰ شمش داریم.
۳. نفر بعدی (هکر) می‌آید و یک تکه‌ی کوچک شکلات در انبار می‌گذارد.
۴. شما طبق فرمول اشتباهتان می‌گویید: «خب، طبق تخته‌سیاه موجودی انبار خیلی زیاد است، پس این شکلات تو باید خیلی باارزش باشد که توانسته موجودی را حفظ کند!»
۵. در ازای آن شکلات، سند مالکیت کل انبار را به او می‌دهید!

این یک بهره‌برداری «کارآمد از نظر سرمایه» (capital-efficient) بود. مهاجم برای سرقت میلیون‌ها دلار، تقریباً به هیچ سرمایه اولیه‌ای نیاز نداشت. این حمله خطر باگ‌های مدیریت وضعیت (state management) در قراردادهای هوشمند را برجسته می‌کند و تأیید می‌کند که در دنیای DeFi، نادیده گرفتن یک مورد استثنایی (edge case) در کد می‌تواند مرگبار باشد.

“بذار خلاصه بگم 👇”
یه هکر با یه باگ هوشمندانه در یک استخر ارز دیجیتال، با واریز مبلغی نزدیک به صفر، تونست ۹ میلیون دلار بدزده. یه خطای محاسباتی ساده در کد باعث شد سیستم فکر کنه اون مقدار ناچیز، سرمایه کل استخره و کنترل همه چیز رو به هکر بده.

منابع این بخش:

۸. از دنیای واقعی تا صفر و یک: ابزارهای هک فیزیکی، از کابل شارژ جاسوس تا دستگاه بُر زدن کارت و سرخ کن

سطح حمله دیگر محدود به نرم‌افزارهای سنتی نیست و به سخت‌افزارهای روزمره و دستگاه‌های اینترنت اشیاء (IoT) گسترش یافته است. مهاجمان در حال تعبیه قابلیت‌های مخرب در اشیاء فیزیکی به ظاهر بی‌خطر هستند و مرز بین فناوری مصرفی و ابزارهای جاسوسی را کمرنگ کرده‌اند.

کابل شارژ جاسوس Evil Crow

کابل Evil Crow Cable Wind (ای-وِل-کرو-کِی-بِل-ویند) در ظاهر یک کابل شارژ USB معمولی است، اما در داخل آن یک تراشه هک (ESP32-S3) به قیمت حدود ۴۳ دلار پنهان شده است. این دستگاه به عنوان یک دستگاه رابط انسانی (HID) عمل می‌کند و می‌تواند حملات تزریق کیبورد (keystroke injection) را اجرا کند. مهاجم می‌تواند از راه دور و از طریق یک رابط وب مبتنی بر Wi-Fi، دستورات را به دستگاه متصل به کابل ارسال کند. این ابزار، یک جایگزین متن‌باز و مقرون‌به‌صرفه برای ابزارهای گران‌قیمت‌تری مانند O.MG Cable (اُ-اِم-جی-کِی-بِل) است.

هک دستگاه کارت‌پخش‌کن DeckMate 2

دستگاه DeckMate 2، یک دستگاه بُر زدن خودکار کارت است که به طور گسترده در کازینوها استفاده می‌شود. مشخص شده است که این دستگاه دارای آسیب‌پذیری‌های فنی جدی است. نفوذ اولیه با استفاده از رمزهای عبور کارخانه‌ای ثابت (hard-coded) امکان‌پذیر شده است. مهاجمان با اتصال یک دستگاه به پورت USB آن و بازنویسی هش مرجع ذخیره‌شده در حافظه، مکانیزم بررسی یکپارچگی فریمور را دور زده‌اند. این کار به آن‌ها اجازه داد تا به دوربین داخلی دسترسی پیدا کرده و ترتیب دقیق کارت‌ها را در لحظه مشاهده کنند. لازم به ذکر است که مدل قبلی (DeckMate 1) به دلیل نداشتن دوربین داخلی، در برابر این نوع حمله آسیب‌پذیر نبود. گزارش شده که گروه‌های جرایم سازمان‌یافته از این روش در بازی‌های پوکر با مبالغ بالا سوءاستفاده کرده‌اند.

نمونه دیگر، در پادکست Malwarebytes و بر اساس گزارشی از یک گروه حقوق مصرف‌کننده در سال ۲۰۲۴ مطرح شده است. محققان دریافتند که اپلیکیشن‌های اندرویدی چندین مدل سرخ‌کن بدون روغن (Air Fryer)، درخواست دسترسی‌های بیش از حد و غیرضروری مانند موقعیت مکانی دقیق و قابلیت ضبط صدا از طریق میکروفون تلفن کاربر را دارند، بدون اینکه هیچ دلیل مشخصی برای این کار ارائه دهند.

این ابزارها اهمیت امنیت فیزیکی و ریسک «تهدیدات داخلی» را نشان می‌دهند، حتی اگر آن «داخلی» یک دستگاه به ظاهر بی‌خطر باشد. کابل Evil Crow هر پورت USB را به یک نقطه دسترسی از راه دور تبدیل می‌کند، در حالی که هک DeckMate 2 اعتماد به سیستم‌های خودکاری را که برای جلوگیری از تقلب طراحی شده‌اند، از بین می‌برد.

نکته کاربردی

نسبت به دستگاه‌های USB ناشناس، حتی کابل‌های شارژ، بدبین باشید. یک سیاست «اعتماد صفر» (zero trust) برای تمام دستگاه‌های USB پیاده‌سازی کنید. از مسدودکننده‌های پورت روی کامپیوترهای حساس استفاده کنید. همیشه دسترسی‌های اپلیکیشن‌ها را در دستگاه‌های IoT به دقت بررسی کنید و هر دسترسی که برای عملکرد اصلی دستگاه ضروری نیست را رد کنید.

“بذار خلاصه بگم 👇”
مراقب وسایلی که استفاده می‌کنید باشید. الان کابل‌های شارژری در بازار هست که می‌تونه کیبورد شما رو هک کنه و حتی اپلیکیشن سرخ‌کن (Air Fryer) شما ممکنه بدون دلیل به میکروفون گوشی‌تون دسترسی بخواد.

منابع این بخش:

۹.واکنش دولت‌ها و پلیس: هند اپلیکیشن امنیتی را اجباری می‌کند و یوروپل یک سرویس پولشویی کریپتو را تعطیل می‌کند

دولت‌ها و سازمان‌های بین‌المللی انتظامی در حال افزایش تلاش‌های خود برای مبارزه با جرایم سایبری از طریق ترکیبی از قوانین نظارتی و عملیات‌های مستقیم برای از کار انداختن زیرساخت‌های مجرمانه هستند.

قوانین جدید دولت هند

دولت هند در دو اقدام مهم، کنترل خود را بر اکوسیستم دیجیتال افزایش داده است:

اپلیکیشن غیرقابل حذف

وزارت ارتباطات هند به تولیدکنندگان گوشی‌های هوشمند دستور داده است تا اپلیکیشن دولتی “Sanchar Saathi” را به صورت پیش‌فرض و غیرقابل حذف روی تمام دستگاه‌های جدید نصب کنند. این اپلیکیشن برای مبارزه با کلاهبرداری‌های دیجیتال و ردیابی گوشی‌های سرقتی طراحی شده است.

الزام اتصال به سیم‌کارت

قانونی جدید اپلیکیشن‌های پیام‌رسان مانند واتس‌اپ و تلگرام را ملزم می‌کند که به طور مداوم به یک سیم‌کارت فعال متصل باشند و نشست‌های وب (web sessions) هر شش ساعت یک‌بار به طور خودکار خارج شوند. این اقدام برای جلوگیری از کلاهبرداری‌هایی است که از خارج از کشور با استفاده از شماره‌های هندی انجام می‌شود.

عملیات یوروپل علیه پولشویی رمزارز

یوروپل در عملیاتی به نام “Operation Olympia”، سرویس میکس‌کننده رمزارز Cryptomixer.io را تعطیل کرد. این سرویس از سال ۲۰۱۶ بیش از ۱.۳ میلیارد یورو (۱.۵ میلیارد دلار) پولشویی کرده بود. در این عملیات، سرورها توقیف، ۱۲ ترابایت داده جمع‌آوری و بیش از ۲۵ میلیون یورو بیت‌کوین مصادره شد.

این دو رویکرد متفاوت، استراتژی‌های دولت‌ها را در مقابله با جرایم سایبری نشان می‌دهد. اقدامات هند نشان‌دهنده یک فشار نظارتی قوی در سطح ملی برای حفاظت از مصرف‌کنندگان است، هرچند که نگرانی‌هایی در مورد حریم خصوصی و کنترل بر دستگاه‌ها ایجاد می‌کند. از سوی دیگر، عملیات یوروپل کارایی همکاری‌های بین‌المللی در از بین بردن زیرساخت‌های مالی را که جرایم سایبری مانند باج‌افزارها به آن وابسته هستند، به نمایش می‌گذارد.

“بذار خلاصه بگم 👇”
دولت هند نصب یک اپلیکیشن امنیتی غیرقابل‌حذف را روی تمام گوشی‌های هوشمند اجباری کرده است. در اروپا هم پلیس یک سرویس بزرگ پولشویی رمزارز را که توسط مجرمان سایبری استفاده می‌شد، از کار انداخت.

منابع این بخش:

جمع‌بندی

چشم‌انداز امنیت سایبری امروز توسط سه نیروی اصلی در حال تغییر است: اول، صنعتی‌سازی ابزارهای حمله، از پلتفرم‌های فیشینگ به عنوان سرویس گرفته تا ارکستراتورهای حمله کاملاً خودکار مبتنی بر هوش مصنوعی. دوم، تبدیل شدن هویت و زنجیره تأمین نرم‌افزار به اصلی‌ترین بردارهای نفوذ، که در آن مهاجمان به جای شکستن دیوارها، از درهای باز اعتماد سوءاستفاده می‌کنند. و سوم، یک واکنش هرچند کند اما رو به تقویت از سوی دولت‌ها و نهادهای انتظامی برای مقابله با این تهدیدات.

برای سازمان‌ها، این به معنای یک تغییر بنیادین در استراتژی دفاعی است. دیگر نمی‌توان تنها به امنیت پیرامونی تکیه کرد. آینده دفاع سایبری در یک مدل پویا نهفته است که بر تأیید هویت، تضمین یکپارچگی زنجیره تأمین، و شکار فعالانه تهدیدات در داخل شبکه متمرکز است. در این دنیای جدید، بهترین دفاع، پیش‌بینی حمله بعدی است.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

نوشته‌ای مرتبط

آنچه در این مطلب می‌خوانید

فهرست مطالب