F3RI
Photo
خب رفقا، یه داستان داغ داریم😂🔥
گروه Shadowbits ادعا کرده که زده به دل دیتابیس همراه اول!
میگه اطلاعات حدود ۳۰ میلیون کاربر و ۶۰ میلیون سیمکارت فعال رو کشیده بیرون.
چی برداشتن؟ همهچی...
از اسم و فامیل و کد ملی بگیر تا محل تولد، آدرس، شماره موبایل و حتی اطلاعات سیمکارت.اگه این ادعا درست باشه، یعنی با یه دیتای کامل طرفیم که برای هر نوع سوءاستفادهای آمادهست اگه واقعاً تونسته باشه دیتابیس همراه اول رو بزنه، چندتا مسیر میتونه منطقی باشه که بخوان ازش استفاده کرده باشن:
۱. دسترسی از طریق زیرساختهای BSS / CRM اینا سیستمهاییان که اپراتورها باهاش اطلاعات کاربر و سیمکارتها رو مدیریت میکنن.اگه مثلاً یکی از کارمندای IT یا پیمانکارهای بیرونی دسترسی بهش داشته و لو رفته باشه؟ Game over...🥴
۲. استفاده از باگ در پنلهای مدیریتی داخلی یا پورتالهاخیلی از این سیستمها تو شبکه داخلی هستن و قدیمیان. یه RCE ساده روی Tomcat یا یه دسترسی به Jenkins کافیه تا به همه چیز برسی.
۳. VPN یا Remote Access کانفیگ اشتباه یکی از رایجترین سناریوها تو ایران هستش:
یه Fortigate یا Mikrotik با پسورد ضعیف، یا بدون 2FA که یه اسکن ساده با Shodan پیداش میکنه.
۴. حمله از طریق زنجیره تأمین (Supply Chain)مثلاً اگه یکی از شرکتهای پیمانکار یا سرویسدهنده نرمافزاری که با همراه اول کار میکنه، خودش قبلاً هک شده باشه، میتونن از اون مسیر دسترسی گرفته باشن.
۵. دسترسی فیزیکی یا دستکاری از داخل (Insider Threat)به احتمال زیاد کسی از داخل نقش داشته. همچین دیتایی معمولاً از طریق دسترسی روت در دیتاسنتر برداشته میشه، نه از بیرون با یه باگ ساده.
و حالا یه چیز باحال
تو نمونه دیتای فاششده، حتی سریال سیمکارت، شماره IMSI و حتی TCI ID بعضی سیمکارتها هست!این یعنی فقط دیتا نیست... اینا میتونن ازش برای cloning سیمکارت، ردیابی مکان کاربر، یا حتی دور زدن احراز هویت بعضی سرویسها استفاده کنن.
یعنی چی؟ یعنی ممکنه یه روز گوشیت هنوز آنتن داشته باشه ولی یه نفر دیگه جای تو داره پیامک تایید بانکی میگیره!😵
اگه این حمله واقعیه، فقط یه هشدار نیست، یه زنگ خطره برای کل زیرساختهای مخابراتی ایران🤥
گروه Shadowbits ادعا کرده که زده به دل دیتابیس همراه اول!
میگه اطلاعات حدود ۳۰ میلیون کاربر و ۶۰ میلیون سیمکارت فعال رو کشیده بیرون.
چی برداشتن؟ همهچی...
از اسم و فامیل و کد ملی بگیر تا محل تولد، آدرس، شماره موبایل و حتی اطلاعات سیمکارت.اگه این ادعا درست باشه، یعنی با یه دیتای کامل طرفیم که برای هر نوع سوءاستفادهای آمادهست اگه واقعاً تونسته باشه دیتابیس همراه اول رو بزنه، چندتا مسیر میتونه منطقی باشه که بخوان ازش استفاده کرده باشن:
۱. دسترسی از طریق زیرساختهای BSS / CRM اینا سیستمهاییان که اپراتورها باهاش اطلاعات کاربر و سیمکارتها رو مدیریت میکنن.اگه مثلاً یکی از کارمندای IT یا پیمانکارهای بیرونی دسترسی بهش داشته و لو رفته باشه؟ Game over...🥴
۲. استفاده از باگ در پنلهای مدیریتی داخلی یا پورتالهاخیلی از این سیستمها تو شبکه داخلی هستن و قدیمیان. یه RCE ساده روی Tomcat یا یه دسترسی به Jenkins کافیه تا به همه چیز برسی.
۳. VPN یا Remote Access کانفیگ اشتباه یکی از رایجترین سناریوها تو ایران هستش:
یه Fortigate یا Mikrotik با پسورد ضعیف، یا بدون 2FA که یه اسکن ساده با Shodan پیداش میکنه.
۴. حمله از طریق زنجیره تأمین (Supply Chain)مثلاً اگه یکی از شرکتهای پیمانکار یا سرویسدهنده نرمافزاری که با همراه اول کار میکنه، خودش قبلاً هک شده باشه، میتونن از اون مسیر دسترسی گرفته باشن.
۵. دسترسی فیزیکی یا دستکاری از داخل (Insider Threat)به احتمال زیاد کسی از داخل نقش داشته. همچین دیتایی معمولاً از طریق دسترسی روت در دیتاسنتر برداشته میشه، نه از بیرون با یه باگ ساده.
و حالا یه چیز باحال
تو نمونه دیتای فاششده، حتی سریال سیمکارت، شماره IMSI و حتی TCI ID بعضی سیمکارتها هست!این یعنی فقط دیتا نیست... اینا میتونن ازش برای cloning سیمکارت، ردیابی مکان کاربر، یا حتی دور زدن احراز هویت بعضی سرویسها استفاده کنن.
یعنی چی؟ یعنی ممکنه یه روز گوشیت هنوز آنتن داشته باشه ولی یه نفر دیگه جای تو داره پیامک تایید بانکی میگیره!😵
اگه این حمله واقعیه، فقط یه هشدار نیست، یه زنگ خطره برای کل زیرساختهای مخابراتی ایران🤥
👍2😨2👌1
F3RI
Photo
گیمر های عزیز مراقب باشین! 🎮🔥
حواستون باشه، یه بدافزار تازه به اسم AgeoStealer اومده تو کار که مخصوصاً گیمرها رو هدف گرفته!
قضیه چیه؟
هکرها با یه ترفند مهندسی اجتماعی خیلی خفن، میان تو دیسکورد یا جاهای دیگه بهتون پیام میدن:
"هی، میشه بازی جدیدمو تست کنی؟" یا "یه پروژه جدید ساختم، نظرتو میخوام!" و از این دسته پیاما
بعدش یه فایل فشرده (zip یا 7z) میدن که دوبار پسورد داره!
یعنی چی؟ یعنی یه بار اکسترکت میکنی یه پسورد میخواد، بعد دوباره یه فایل میاد که اونم یه پسورد جدا داره.
هدف اینکار چیه؟
دور زدن آنتیویروسها مخصوصاً سیستمهایی که فقط با Signature کار میکنن. چون آنتیویروسها اکثراً فایلهای رمزدار رو باز نمیکنن و اسکن نمیکنن.
حالا وقتی فایل باز شد و اجرا کردی، AgeoStealer شروع میکنه کارشو:
میره سراغ مرورگرات (Chrome, Edge, Firefox) و رمزات، کوکیات، هرچی تو ذخیره کردی رو میدزده.
اکانتهای دیسکورد، استیم و هرچی برنامه گیمینگ داری رو شخم میزنه!
اگه کیف پول کریپتو (ارز دیجیتال) روی سیستمت باشه؟ بای بای!
حتی پوشه Document رو هم چک میکنه دنبال چیزای حساس.
بدترش چیه؟
این بدافزار با Electron نوشته شده و کدش با جاوااسکریپت obfuscate شده (یعنی کدها قاطی پاطی شدن که نخونیش راحت)،
و فهمیدن اینکه داره چه غلطی میکنه خیلی سخت شده!
از اون بدتر:
تشخیص میده داری تو محیط Sandbox یا ماشین مجازی اجراش میکنی؟ خودش رو پاک میکنه!
وارد StartUp ویندوز میشه که با هر بار روشن شدن سیستم، دوباره فعال بشه.
یعنی اگه یکبار اجراش کنی، دیگه خودتو کشتی هم نمیفهمی چی شد و از کجا داری درز اطلاعات میدی!
چطور فریب نخوریم؟
هرچی فایل ناشناس و لینک تست بازی دیدی، مخصوصاً با فایل رمزدار، دلت قنج نره!
حتی اگه فرستنده خیلی باحال و مودب باشه، شک کن!
حتماً آنتیویروست آپدیت باشه و real-time protection رو روشن بذار.
لاگین دو مرحلهای (2FA) رو برای دیسکورد، استیم، و ایمیل حتماً فعال کن.
این دفعه قضیه فقط یه بازی قلابی نیست!
یه اشتباه کوچیک میتونه رمز همه چیتو بده دست یکی که نمیدونی کیه و کجاست...
مراقب باشید که وسط یه رنک خفن، ناگهان حسابتون رو هوا نره!😂
حواستون باشه، یه بدافزار تازه به اسم AgeoStealer اومده تو کار که مخصوصاً گیمرها رو هدف گرفته!
قضیه چیه؟
هکرها با یه ترفند مهندسی اجتماعی خیلی خفن، میان تو دیسکورد یا جاهای دیگه بهتون پیام میدن:
"هی، میشه بازی جدیدمو تست کنی؟" یا "یه پروژه جدید ساختم، نظرتو میخوام!" و از این دسته پیاما
بعدش یه فایل فشرده (zip یا 7z) میدن که دوبار پسورد داره!
یعنی چی؟ یعنی یه بار اکسترکت میکنی یه پسورد میخواد، بعد دوباره یه فایل میاد که اونم یه پسورد جدا داره.
هدف اینکار چیه؟
دور زدن آنتیویروسها مخصوصاً سیستمهایی که فقط با Signature کار میکنن. چون آنتیویروسها اکثراً فایلهای رمزدار رو باز نمیکنن و اسکن نمیکنن.
حالا وقتی فایل باز شد و اجرا کردی، AgeoStealer شروع میکنه کارشو:
میره سراغ مرورگرات (Chrome, Edge, Firefox) و رمزات، کوکیات، هرچی تو ذخیره کردی رو میدزده.
اکانتهای دیسکورد، استیم و هرچی برنامه گیمینگ داری رو شخم میزنه!
اگه کیف پول کریپتو (ارز دیجیتال) روی سیستمت باشه؟ بای بای!
حتی پوشه Document رو هم چک میکنه دنبال چیزای حساس.
بدترش چیه؟
این بدافزار با Electron نوشته شده و کدش با جاوااسکریپت obfuscate شده (یعنی کدها قاطی پاطی شدن که نخونیش راحت)،
و فهمیدن اینکه داره چه غلطی میکنه خیلی سخت شده!
از اون بدتر:
تشخیص میده داری تو محیط Sandbox یا ماشین مجازی اجراش میکنی؟ خودش رو پاک میکنه!
وارد StartUp ویندوز میشه که با هر بار روشن شدن سیستم، دوباره فعال بشه.
یعنی اگه یکبار اجراش کنی، دیگه خودتو کشتی هم نمیفهمی چی شد و از کجا داری درز اطلاعات میدی!
چطور فریب نخوریم؟
هرچی فایل ناشناس و لینک تست بازی دیدی، مخصوصاً با فایل رمزدار، دلت قنج نره!
حتی اگه فرستنده خیلی باحال و مودب باشه، شک کن!
حتماً آنتیویروست آپدیت باشه و real-time protection رو روشن بذار.
لاگین دو مرحلهای (2FA) رو برای دیسکورد، استیم، و ایمیل حتماً فعال کن.
این دفعه قضیه فقط یه بازی قلابی نیست!
یه اشتباه کوچیک میتونه رمز همه چیتو بده دست یکی که نمیدونی کیه و کجاست...
مراقب باشید که وسط یه رنک خفن، ناگهان حسابتون رو هوا نره!😂
😨4
امسال تو اینوتکس ۲۰۲۵
برخلاف چیزی که انتظار داشتم سطح استارتاپ ها چنگی به دل نمیزد ولی از نظر تنوع و عمق استارتآپهای امنیت سایبری (بهخصوص SOC محور)، چندتا تیم بودن که واقعاً توجه جلب کردن.
استارتآپهایی که کارشون حول مانیتورینگ بلادرنگ تهدیدات، تحلیل لاگ، و حتی پاسخ خودکار به نفوذها میچرخید.
جالبتر اینجا بود که بعضیاشون دیگه فقط به SIEM ساده بسنده نکرده بودن. داشتن با کمک AI و الگوریتمهای یادگیری ماشین، رفتار عادی کاربرها رو یاد میگرفتن تا انحراف از نُرم رو سریع تشخیص بدن. حتی یکیشون یه ماژول پاسخ خودکار طراحی کرده بود که در لحظه میتونه دسترسی کاربر مشکوک رو محدود کنه، لاگ رو ذخیره کنه و همزمان یه هشدار B2B برای تیم امنیت بفرسته. انگار یه SOC کوچیک و هوشمند داشتی که خودش فکر میکنه!🫤
برخی دیگه تمرکزشون روی "بومیسازی SOC-as-a-Service" بود. یعنی بدون اینکه یه شرکت کلی تجهیزات و نیروی متخصص بچینه، فقط با سابسکرایب کردن میتونه لاگهای شبکهشو به این پلتفرمها بفرسته و گزارشهای امنیتی آماده دریافت کنه. یه جورایی SOC برای استارتآپها و شرکتهای کوچیک که منابع کافی ندارن.
یه مورد دیگه که توجهم رو گرفت، کارش روی تحلیل همزمان چندین منبع داده بود: مثل logهای فایروال، سیستمعامل، حتی سیستمهای فیزیکی مثل کنترل دسترسی. ایدهشون این بود که با ترکیب این دیتاها، تصویر دقیقتری از وضعیت امنیتی سازمان بهدست بیارن.
بعد از بخش امنیت، رفتم سراغ استارتآپهای حوزه IT کلیتر. خیلیها سعی کرده بودن با چسبوندن هوش مصنوعی به اسمشون، جذابتر به نظر بیان، ولی خب، همهشون نوآوری نداشتن.
ولی بعضیاشون واقعاً خفن بودن. مثلاً یه تیم بود که ابزار دستیار برنامهنویسی ساخته بود با قدرت تحلیل ساختار کد و پیشنهاد هوشمند. نه صرفاً autocomplete، بلکه میتونست منطق کد رو بفهمه و بهت هشدار بده که مثلاً تابع فلانی داره با دیتای ناپایدار کار میکنه.
یه استارتآپ دیگه، یه پلتفرم قیمتگذاری هوشمند برای فروشگاههای آنلاین ساخته بود که خیلی جالب بود. با تحلیل دیتاهای بازار، رفتار مشتری و موجودی، قیمت رو داینامیک تعیین میکرد. انگار یه مغز تحلیلگر پشت هر محصول بود.
در کل، هرچند بخش قابل توجهی از غرفهها صرفاً با buzzwordهایی مثل "AI" و "دانشبنیان" سعی داشتن توجه جذب کنن، ولی این چندتا استارتآپ تو حوزه IT و امنیت واقعاً کارشون درست بود و از نظر فنی، مشخص بود پشت قضیه تحقیق و توسعه بوده نه فقط بازارگرمی😶🌫
🔰@Im_F3ri
برخلاف چیزی که انتظار داشتم سطح استارتاپ ها چنگی به دل نمیزد ولی از نظر تنوع و عمق استارتآپهای امنیت سایبری (بهخصوص SOC محور)، چندتا تیم بودن که واقعاً توجه جلب کردن.
استارتآپهایی که کارشون حول مانیتورینگ بلادرنگ تهدیدات، تحلیل لاگ، و حتی پاسخ خودکار به نفوذها میچرخید.
جالبتر اینجا بود که بعضیاشون دیگه فقط به SIEM ساده بسنده نکرده بودن. داشتن با کمک AI و الگوریتمهای یادگیری ماشین، رفتار عادی کاربرها رو یاد میگرفتن تا انحراف از نُرم رو سریع تشخیص بدن. حتی یکیشون یه ماژول پاسخ خودکار طراحی کرده بود که در لحظه میتونه دسترسی کاربر مشکوک رو محدود کنه، لاگ رو ذخیره کنه و همزمان یه هشدار B2B برای تیم امنیت بفرسته. انگار یه SOC کوچیک و هوشمند داشتی که خودش فکر میکنه!🫤
برخی دیگه تمرکزشون روی "بومیسازی SOC-as-a-Service" بود. یعنی بدون اینکه یه شرکت کلی تجهیزات و نیروی متخصص بچینه، فقط با سابسکرایب کردن میتونه لاگهای شبکهشو به این پلتفرمها بفرسته و گزارشهای امنیتی آماده دریافت کنه. یه جورایی SOC برای استارتآپها و شرکتهای کوچیک که منابع کافی ندارن.
یه مورد دیگه که توجهم رو گرفت، کارش روی تحلیل همزمان چندین منبع داده بود: مثل logهای فایروال، سیستمعامل، حتی سیستمهای فیزیکی مثل کنترل دسترسی. ایدهشون این بود که با ترکیب این دیتاها، تصویر دقیقتری از وضعیت امنیتی سازمان بهدست بیارن.
بعد از بخش امنیت، رفتم سراغ استارتآپهای حوزه IT کلیتر. خیلیها سعی کرده بودن با چسبوندن هوش مصنوعی به اسمشون، جذابتر به نظر بیان، ولی خب، همهشون نوآوری نداشتن.
ولی بعضیاشون واقعاً خفن بودن. مثلاً یه تیم بود که ابزار دستیار برنامهنویسی ساخته بود با قدرت تحلیل ساختار کد و پیشنهاد هوشمند. نه صرفاً autocomplete، بلکه میتونست منطق کد رو بفهمه و بهت هشدار بده که مثلاً تابع فلانی داره با دیتای ناپایدار کار میکنه.
یه استارتآپ دیگه، یه پلتفرم قیمتگذاری هوشمند برای فروشگاههای آنلاین ساخته بود که خیلی جالب بود. با تحلیل دیتاهای بازار، رفتار مشتری و موجودی، قیمت رو داینامیک تعیین میکرد. انگار یه مغز تحلیلگر پشت هر محصول بود.
در کل، هرچند بخش قابل توجهی از غرفهها صرفاً با buzzwordهایی مثل "AI" و "دانشبنیان" سعی داشتن توجه جذب کنن، ولی این چندتا استارتآپ تو حوزه IT و امنیت واقعاً کارشون درست بود و از نظر فنی، مشخص بود پشت قضیه تحقیق و توسعه بوده نه فقط بازارگرمی😶🌫
🔰@Im_F3ri
👍4🔥2
کارآموزی مفتی دیگه چیه که تو کامپیوتر مد شده؟🫤
طرف یه ماه جون میکنه تهش میگن "تجربهست داداش!"
داداش تو مغزت هم مفتی واست کار نمیکنه!
یه ۲۰ صفحه کتاب بخونی، مغزت میگه:
من تا اینجا مجانی پردازش کردم
از این به بعد یا یه قهوه بفرست تو،
یا یه تفریح ردیف کن که خاموش نشم🙂↕️
طرف یه ماه جون میکنه تهش میگن "تجربهست داداش!"
داداش تو مغزت هم مفتی واست کار نمیکنه!
یه ۲۰ صفحه کتاب بخونی، مغزت میگه:
من تا اینجا مجانی پردازش کردم
از این به بعد یا یه قهوه بفرست تو،
یا یه تفریح ردیف کن که خاموش نشم🙂↕️
🤣7
This media is not supported in your browser
VIEW IN TELEGRAM
پخش کردن این ویدئو ممکنه باعث بشه تلگرام [نسخه موبایل] کرش کنه و بسته بشه!
اینجور باگها معمولا مربوط هستن به موتوری که در پشت صحنه قراره این ویدئو رو دیکد کنه. معمولا دیتای اشتباهی توی ویدئو یا عکس هست که باعث کرش اون موتور و در نتیجه کرش تلگرام میشه. نمونههای مشابهش در ابزارهای دیگه هم بارها پیدا و بعد از مدتی حل شدن. مثل پینگ مرگ، اسمس مرگ و ... که دیتای اشتباه توی یه چیزی باعث می شد اونی که میخواد تفسیرش کنه کرش کنه.
نمونههای مشابه زیاد بودن و هستن و در بهترین حالت باعث بسته شدن این برنامه میشن. در حالتهای «بدتر» ممکنه مثلا باعث یه لوپ بینهایت بشن که دستگاه رو نیازمند ریبوت سخت افزاری کنه یا مثلا می گن «این عکس رو بذارین عکس والپیپر موبایل تا...» و وقتی می ذارین هر بار که دستگاه بوت می شه، کرش میکنه (: یا مثلا اگر یه متن باشه می تونین بفرستین به یه نفری و موبایلش کرش کنه بدون اینکه حتی بهش دست بزنه :)
#جادی
اینجور باگها معمولا مربوط هستن به موتوری که در پشت صحنه قراره این ویدئو رو دیکد کنه. معمولا دیتای اشتباهی توی ویدئو یا عکس هست که باعث کرش اون موتور و در نتیجه کرش تلگرام میشه. نمونههای مشابهش در ابزارهای دیگه هم بارها پیدا و بعد از مدتی حل شدن. مثل پینگ مرگ، اسمس مرگ و ... که دیتای اشتباه توی یه چیزی باعث می شد اونی که میخواد تفسیرش کنه کرش کنه.
نمونههای مشابه زیاد بودن و هستن و در بهترین حالت باعث بسته شدن این برنامه میشن. در حالتهای «بدتر» ممکنه مثلا باعث یه لوپ بینهایت بشن که دستگاه رو نیازمند ریبوت سخت افزاری کنه یا مثلا می گن «این عکس رو بذارین عکس والپیپر موبایل تا...» و وقتی می ذارین هر بار که دستگاه بوت می شه، کرش میکنه (: یا مثلا اگر یه متن باشه می تونین بفرستین به یه نفری و موبایلش کرش کنه بدون اینکه حتی بهش دست بزنه :)
#جادی
👍5
دیده بودیم ویندوز بپره
ولی تو دیگه چرا؟!🥲
برای ویندوز طبیعی بود روزی سه بار صفحه آبی، هفتهای یه بار بوت نشدن و اینا رو ببینیم
اینا همهش جزئی از ویندوزه اصلاااا! 😅
اما تو ای لینوکس👨🏻🦯
تو که قرار بود همونی باشی که نمیپره!
تو اونی بودی که همیشه ترمینالش رو باز میکردیم و فاز هکری میگرفتیم😔👨🏻🦯
اونی که با root شدن همه مشکلاتش حل میشد
چی شد که تو هم پریدی؟
یه sudo apt upgrade زدم
صبح دیدم فقط یه صفحهی سیاه که نوشته:
kernel panic - not syncing 💀
اونی که میگفت "من باجافزار نمیگیرم"
"من کرش نمیکنم"
"من نیازی به ریست ندارم"
الان چرا داره از Live USB بالا میاد؟! 🤕
ویندوز رو بخشیدیم، چون ویندوزه.
ولی تو رو... تو رو با چه رویی دوباره mount کنیم؟ 🥲
ولی تو دیگه چرا؟!🥲
برای ویندوز طبیعی بود روزی سه بار صفحه آبی، هفتهای یه بار بوت نشدن و اینا رو ببینیم
اینا همهش جزئی از ویندوزه اصلاااا! 😅
اما تو ای لینوکس👨🏻🦯
تو که قرار بود همونی باشی که نمیپره!
تو اونی بودی که همیشه ترمینالش رو باز میکردیم و فاز هکری میگرفتیم😔👨🏻🦯
اونی که با root شدن همه مشکلاتش حل میشد
چی شد که تو هم پریدی؟
یه sudo apt upgrade زدم
صبح دیدم فقط یه صفحهی سیاه که نوشته:
kernel panic - not syncing 💀
اونی که میگفت "من باجافزار نمیگیرم"
"من کرش نمیکنم"
"من نیازی به ریست ندارم"
الان چرا داره از Live USB بالا میاد؟! 🤕
ویندوز رو بخشیدیم، چون ویندوزه.
ولی تو رو... تو رو با چه رویی دوباره mount کنیم؟ 🥲
🤣11
📣 داستان داغ امروز: هک نوبیتکس 🔥💰
خب امروز یه زلزله امنیتی تو فضای کریپتوی ایران رخ داد 😵💫
گروه هکری «گنجشک درنده» (Gonjeshke Darande) ادعا کرده که زده به قلب نوبیتکس، بزرگترین صرافی رمزارز کشور...
و نه فقط یه ادعا ساده – بلکه یه کیفپول گرم با بیش از ۴۸ میلیون دلار رو خالی کرده!💸
چی بردن؟ تقریباً همه چیز...
فقط روی شبکه Tron، چیزی حدود ۴۸.۶ میلیون دلار USDT جابهجا شده و پایان ماجرا نیستش.
تراکنشها خیلی سریع و زنجیرهای بوده تا ردیابی سختتر بشه، و حتی آدرس مقصد هم با پیام سیاسی ضدایرانی طراحی شده (Vanity address). یعنی یه پلن قوی از قبل طراحی شده اومدن.
🔍 حالا چطوری ممکنه این حمله انجام شده باشه؟ بیایید سناریوهای فنی رو بررسی کنیم:
۱. دسترسی به کیفپول گرم (Hot Wallet Access)
نقطه اصلی نفوذ همینجاست.
کیفپول گرم نوبیتکس که برای پردازش سریع برداشتها استفاده میشه، احتمالاً روی یه سرور نیمهمتصل به اینترنت یا شبکه داخلی بوده. اگه کلید خصوصی (Private Key) یا مسیر دسترسی بهش لو بره، بازی تمومه.
چطور ممکنه لو رفته باشه؟
ذخیره کلید در فایل متنی روی سرور (یه اشتباه مرگبار کلاسیک)
یا استفاده از Wallet Management Systemهایی مثل BitGo یا TronLink که بهدرستی ایزوله نشدن.
یا یه اسکريپت cron ساده که رمزگذاری نشده بوده و دسترسی لو رفته.
۲. نفوذ از طریق سرور اطلاعرسانی (Internal Messaging)
نوبیتکس تو اطلاعیه خودش گفته "بخشی از زیرساخت اطلاعرسانی" هم دستکاری شده.
این یعنی هکر نهفقط دزدی کرده، بلکه داخل پنل مدیریت یا سیستمهای نظارتی/پیامرسان داخلی هم نفوذ کرده – شاید برای جلوگیری از تشخیص فوری حمله.
۳. سناریوی نفوذ با VPN / Remote Access
مثل همیشه، یکی از محتملترین مسیرها همینه:
یه VPN سرور Fortigate یا Mikrotik با رمز عبور ضعیف یا 2FA غیرفعال.
یه اسکن ساده با ابزارهایی مثل Shodan کافیه تا به پنل دسترسی پیدا کنن.
از اونجا تا دسترسی به شبکه داخلی و سرور hot wallet فقط یه قدمه.
۴. باگ تو یکی از اسکریپتهای برداشت (Withdrawal APIs)
اگه اسکریپتهای برداشت اتوماتیک بهدرستی ایزوله یا rate-limit نشده باشن، میتونه به یه RCE ساده ختم بشه:
مثلاً یه باگ تو پارامترهای برداشت USDT روی Tron که اجازه داده تراکنشهای سنگین بدون تائید admin اجرا بشه.
یا یه تزریق command به کیفپول داخلی (مثلاً از طریق اسکریپتهایی که با NodeJS یا Python نوشته شدن).
۵.موردی بعدی Insider Threat یا درز داخلی
بهخصوص با توجه به اینکه فقط کیفپول گرم هدف بوده، یکی از سناریوهای محتمل دسترسی از داخل مجموعه یا پیمانکاره.
شاید کسی که به کلیدها، cron jobs یا سیستمهای مانیتورینگ دسترسی داشته، همکاری کرده یا لو رفته.
حتی ممکنه کل سیستم به خاطر یه credential دزدیدهشده در تلگرام یا ایمیل به خطر افتاده باشه.
📡 و حالا چیز جالب: پیام روی بلاکچین!
آدرس مقصد تراکنشها یه Vanity Address سفارشیشده بوده که اسم نوبیتکس توشه + کلمه "terrorists" 😬
یعنی دارن پیام میدن: فقط دنبال پول نبودیم، یه حمله هدفمند و سیاسی هم بوده!
📛 اگه این حمله واقعی باشه (که با شواهد آنچین تقریباً قطعی شده)، اینا فقط دزدی نیست...
یه اخطار بزرگه برای کل صنعت رمزارز ایران – چون خیلی از صرافیها معماری مشابه دارن.
🚨 هشدار برای صرافیها:
کلیدهای کیفپول گرم باید جدا از سرور اصلی و با HSM یا Custodyهای امن نگهداری بشن.
2FA، لاگ مانیتورینگ بلادرنگ، و دسترسی محدودشده برای هر کدوم از ماژولها اجباریه.
سرورها باید با WAF و EDR امنسازی بشن و دسترسی RDP/VPN رمزگذاریشده و لایهبندیشده باشه.
🔥 نتیجه؟ یکی از حرفهایترین حملات روی یه صرافی ایرانی، با پیامی سیاسی، ساختار دقیق، و حجم بالای سرقت.
و حالا همه صرافیها باید یه جمله رو بنویسن جلوشون:
"ما نفر بعدی نباشیم..."
خب امروز یه زلزله امنیتی تو فضای کریپتوی ایران رخ داد 😵💫
گروه هکری «گنجشک درنده» (Gonjeshke Darande) ادعا کرده که زده به قلب نوبیتکس، بزرگترین صرافی رمزارز کشور...
و نه فقط یه ادعا ساده – بلکه یه کیفپول گرم با بیش از ۴۸ میلیون دلار رو خالی کرده!💸
چی بردن؟ تقریباً همه چیز...
فقط روی شبکه Tron، چیزی حدود ۴۸.۶ میلیون دلار USDT جابهجا شده و پایان ماجرا نیستش.
تراکنشها خیلی سریع و زنجیرهای بوده تا ردیابی سختتر بشه، و حتی آدرس مقصد هم با پیام سیاسی ضدایرانی طراحی شده (Vanity address). یعنی یه پلن قوی از قبل طراحی شده اومدن.
🔍 حالا چطوری ممکنه این حمله انجام شده باشه؟ بیایید سناریوهای فنی رو بررسی کنیم:
۱. دسترسی به کیفپول گرم (Hot Wallet Access)
نقطه اصلی نفوذ همینجاست.
کیفپول گرم نوبیتکس که برای پردازش سریع برداشتها استفاده میشه، احتمالاً روی یه سرور نیمهمتصل به اینترنت یا شبکه داخلی بوده. اگه کلید خصوصی (Private Key) یا مسیر دسترسی بهش لو بره، بازی تمومه.
چطور ممکنه لو رفته باشه؟
ذخیره کلید در فایل متنی روی سرور (یه اشتباه مرگبار کلاسیک)
یا استفاده از Wallet Management Systemهایی مثل BitGo یا TronLink که بهدرستی ایزوله نشدن.
یا یه اسکريپت cron ساده که رمزگذاری نشده بوده و دسترسی لو رفته.
۲. نفوذ از طریق سرور اطلاعرسانی (Internal Messaging)
نوبیتکس تو اطلاعیه خودش گفته "بخشی از زیرساخت اطلاعرسانی" هم دستکاری شده.
این یعنی هکر نهفقط دزدی کرده، بلکه داخل پنل مدیریت یا سیستمهای نظارتی/پیامرسان داخلی هم نفوذ کرده – شاید برای جلوگیری از تشخیص فوری حمله.
۳. سناریوی نفوذ با VPN / Remote Access
مثل همیشه، یکی از محتملترین مسیرها همینه:
یه VPN سرور Fortigate یا Mikrotik با رمز عبور ضعیف یا 2FA غیرفعال.
یه اسکن ساده با ابزارهایی مثل Shodan کافیه تا به پنل دسترسی پیدا کنن.
از اونجا تا دسترسی به شبکه داخلی و سرور hot wallet فقط یه قدمه.
۴. باگ تو یکی از اسکریپتهای برداشت (Withdrawal APIs)
اگه اسکریپتهای برداشت اتوماتیک بهدرستی ایزوله یا rate-limit نشده باشن، میتونه به یه RCE ساده ختم بشه:
مثلاً یه باگ تو پارامترهای برداشت USDT روی Tron که اجازه داده تراکنشهای سنگین بدون تائید admin اجرا بشه.
یا یه تزریق command به کیفپول داخلی (مثلاً از طریق اسکریپتهایی که با NodeJS یا Python نوشته شدن).
۵.موردی بعدی Insider Threat یا درز داخلی
بهخصوص با توجه به اینکه فقط کیفپول گرم هدف بوده، یکی از سناریوهای محتمل دسترسی از داخل مجموعه یا پیمانکاره.
شاید کسی که به کلیدها، cron jobs یا سیستمهای مانیتورینگ دسترسی داشته، همکاری کرده یا لو رفته.
حتی ممکنه کل سیستم به خاطر یه credential دزدیدهشده در تلگرام یا ایمیل به خطر افتاده باشه.
📡 و حالا چیز جالب: پیام روی بلاکچین!
آدرس مقصد تراکنشها یه Vanity Address سفارشیشده بوده که اسم نوبیتکس توشه + کلمه "terrorists" 😬
یعنی دارن پیام میدن: فقط دنبال پول نبودیم، یه حمله هدفمند و سیاسی هم بوده!
📛 اگه این حمله واقعی باشه (که با شواهد آنچین تقریباً قطعی شده)، اینا فقط دزدی نیست...
یه اخطار بزرگه برای کل صنعت رمزارز ایران – چون خیلی از صرافیها معماری مشابه دارن.
🚨 هشدار برای صرافیها:
کلیدهای کیفپول گرم باید جدا از سرور اصلی و با HSM یا Custodyهای امن نگهداری بشن.
2FA، لاگ مانیتورینگ بلادرنگ، و دسترسی محدودشده برای هر کدوم از ماژولها اجباریه.
سرورها باید با WAF و EDR امنسازی بشن و دسترسی RDP/VPN رمزگذاریشده و لایهبندیشده باشه.
🔥 نتیجه؟ یکی از حرفهایترین حملات روی یه صرافی ایرانی، با پیامی سیاسی، ساختار دقیق، و حجم بالای سرقت.
و حالا همه صرافیها باید یه جمله رو بنویسن جلوشون:
"ما نفر بعدی نباشیم..."
👍5❤1
F3RI
📣 داستان داغ امروز: هک نوبیتکس 🔥💰 خب امروز یه زلزله امنیتی تو فضای کریپتوی ایران رخ داد 😵💫 گروه هکری «گنجشک درنده» (Gonjeshke Darande) ادعا کرده که زده به قلب نوبیتکس، بزرگترین صرافی رمزارز کشور... و نه فقط یه ادعا ساده – بلکه یه کیفپول گرم با بیش از…
📌 فقط یه نکته:
سناریوهایی که بالا گفته شد بیشتر مسیرهای متداول و پیشپاافتادن.
واقعیت اینه که هنوز مکانیزم دقیق حمله مشخص نیست و احتمالاً با یه نفوذ خیلی پیچیدهتر و هدفمندتر طرفیم.
فعلاً باید منتظر اطلاعات رسمیتر بمونیم.
سناریوهایی که بالا گفته شد بیشتر مسیرهای متداول و پیشپاافتادن.
واقعیت اینه که هنوز مکانیزم دقیق حمله مشخص نیست و احتمالاً با یه نفوذ خیلی پیچیدهتر و هدفمندتر طرفیم.
فعلاً باید منتظر اطلاعات رسمیتر بمونیم.
👍5❤1
🧱 پایان VPNهای تونلی در ایران؛ فایروال جدید همه رو قورت داده!
چند وقتیه هر چی VPN میگیریم، یا قطع میشه، یا سرعتش افتضاحه، یا اصلاً وصل نمیشه. خیلیا فکر میکنن مشکل از سرور یا اپه، ولی اصل ماجرا یه چیز دیگهست: فایروال جدید ایران رسماً اومده دمار از روزگار تونلها درآورده!
❓ اصلاً تونل چی بود که تموم شد؟
VPNهای تونلی مثل OpenVPN، WireGuard، VLESS + Reality و Shadowsocks روش کارشون این بود که یه تونل رمزنگاری شده میساختن و ترافیک رو از وسط فیلترینگ عبور میدادن. تا قبل از این فایروال جدید، با یه کم ترفند و کانفیگ خاص، میشد راحت ازشون رد شد.
ولی حالا...
🔥 فایروال DPI نسل جدید وارد میشود!
فایروال جدید ایران با استفاده از Deep Packet Inspection (DPI) یا همون "بررسی عمیق بستهها" دقیقاً میفهمه داری چی از توی تونل رد میکنی. دیگه برایش مهم نیست که VPN روی چه پورتیه یا چقدر رمزگذاری شده ـ هر مدل رفتاری که "شبیه VPN" باشه رو تشخیص میده و میزنه تو دهنش.
🔍 چه چیزایی رو مسدود کرده؟
OpenVPN؟ نابود
WireGuard؟ با همهی پورتها و روشهای obfuscation، فریز.
Shadowsocks؟ شناسایی کامل.
V2Ray (VLESS + Reality)؟ به شدت تحت فشار.
حتی HTTPS Fake SNI با CDN؟ دیگه جواب نمیده، یا سریع قطع میشه.
🤔 پس دیگه راهی نیست؟
راه هست، ولی:
موقتی و ناپایداره
برای عموم نیست
سطح فنی بالایی میخواد
مثل چی؟
تونل زنجیرهای (مثلاً SSH داخل VPN داخل CDN)
استقاده از دامنههای ناشناخته روی CDNهای خاص (مثلاً دامنههای صفرکیلومتر روی Cloudflare)
حتی بعضیا با IPv6 و تونلسازی لایهپایین، تستهایی کردن... ولی اونا هم دیگه راحت گیر میافتن.
🪪 فقط VPNهای دولتی باقی موندن؟
دقیقاً. الان تنها چیزی که اجازه رسمی داره، VPNهای سازمانی با مجوز دولت هستن که عملاً برای دور زدن فیلتر نیستن، برای ارتباط داخلی شرکتها طراحی شدن. یعنی عملاً دیگه چیزی برای کاربر عادی باقی نمونده!
✊ جمعبندی خودمونی
دولت با این فایروال جدید، کمر VPNها رو شکسته. دیگه دورهی راحت کانکت شدن با یه کانفیگ ساده گذشته. الان یا باید خودت امنیتکار حرفهای باشی و یه روش ترکیبی درست کنی، یا منتظر بمونی شاید اوضاع تغییر کنه.
چند وقتیه هر چی VPN میگیریم، یا قطع میشه، یا سرعتش افتضاحه، یا اصلاً وصل نمیشه. خیلیا فکر میکنن مشکل از سرور یا اپه، ولی اصل ماجرا یه چیز دیگهست: فایروال جدید ایران رسماً اومده دمار از روزگار تونلها درآورده!
❓ اصلاً تونل چی بود که تموم شد؟
VPNهای تونلی مثل OpenVPN، WireGuard، VLESS + Reality و Shadowsocks روش کارشون این بود که یه تونل رمزنگاری شده میساختن و ترافیک رو از وسط فیلترینگ عبور میدادن. تا قبل از این فایروال جدید، با یه کم ترفند و کانفیگ خاص، میشد راحت ازشون رد شد.
ولی حالا...
🔥 فایروال DPI نسل جدید وارد میشود!
فایروال جدید ایران با استفاده از Deep Packet Inspection (DPI) یا همون "بررسی عمیق بستهها" دقیقاً میفهمه داری چی از توی تونل رد میکنی. دیگه برایش مهم نیست که VPN روی چه پورتیه یا چقدر رمزگذاری شده ـ هر مدل رفتاری که "شبیه VPN" باشه رو تشخیص میده و میزنه تو دهنش.
🔍 چه چیزایی رو مسدود کرده؟
OpenVPN؟ نابود
WireGuard؟ با همهی پورتها و روشهای obfuscation، فریز.
Shadowsocks؟ شناسایی کامل.
V2Ray (VLESS + Reality)؟ به شدت تحت فشار.
حتی HTTPS Fake SNI با CDN؟ دیگه جواب نمیده، یا سریع قطع میشه.
🤔 پس دیگه راهی نیست؟
راه هست، ولی:
موقتی و ناپایداره
برای عموم نیست
سطح فنی بالایی میخواد
مثل چی؟
تونل زنجیرهای (مثلاً SSH داخل VPN داخل CDN)
استقاده از دامنههای ناشناخته روی CDNهای خاص (مثلاً دامنههای صفرکیلومتر روی Cloudflare)
حتی بعضیا با IPv6 و تونلسازی لایهپایین، تستهایی کردن... ولی اونا هم دیگه راحت گیر میافتن.
🪪 فقط VPNهای دولتی باقی موندن؟
دقیقاً. الان تنها چیزی که اجازه رسمی داره، VPNهای سازمانی با مجوز دولت هستن که عملاً برای دور زدن فیلتر نیستن، برای ارتباط داخلی شرکتها طراحی شدن. یعنی عملاً دیگه چیزی برای کاربر عادی باقی نمونده!
✊ جمعبندی خودمونی
دولت با این فایروال جدید، کمر VPNها رو شکسته. دیگه دورهی راحت کانکت شدن با یه کانفیگ ساده گذشته. الان یا باید خودت امنیتکار حرفهای باشی و یه روش ترکیبی درست کنی، یا منتظر بمونی شاید اوضاع تغییر کنه.
👍4👌2
🚁 تونل هوایی ملیشکن چیه؟ با اینترنت ملی هم جهانی بمونیم؟🙄
تو این روزا که اینترنت بینالملل شده یه چیز لوکس و فانتزی، خیلیا دیگه به این فکر میکنن که «اگه همه چی ملی شد، چی میشه؟!» خب، اینجاست که پای یه روش زیرزمینی و باحال وسط میاد: تونل هوایی ملیشکن!
🛰 یه نگاه به سناریو:
فرض کن یه نفر که دستش به استارلینک میرسه (مثلاً همون آقای جاسوس معروف)، میاد یه دیش استارلینک تو ایران میزاره. این دیش مستقیماً از ماهواره اینترنت بینالملل میگیره — بدون سانسور، بدون فیلتر.
حالا این آدم زرنگ، با یه IP استاتیک ایران و دوتا کارت شبکه، یه جادو میکنه:
1. یکی از کارت شبکهها به استارلینکه (اینترنت آزاد)
2. اون یکی به شبکه داخلی ایرانه (مثلاً اینترنت همراه اول یا ایرانسل شما)
3. میاد با یه ابزار مثل SoftEther VPN Server یا حتی SSH، یه VPN سرور راه میندازه روی این گیتوی
4. حالا ترافیک شما، که از موبایلت به سمت یه IP داخل ایران (مثلاً روی ایرانسل) میره، وارد این تونل میشه، و اون سمت، از طریق استارلینک میره تو دل اینترنت آزاد!
📶 چه سودی داره این مدل؟
چون شما داری به یه آیپی ایران وصل میشی، اینترنت ملی بهت اجازه اتصال میده.
چون اون سرِ اتصال به استارلینکه، ترافیکت وارد نت جهانی میشه!
دیگه فایروال هوشمند نمیفهمه که داری VPN میزنی، چون از دیدش، تو داری به یه سرور داخلی وصل میشی.
🧠 چرا بهش میگن "تونل هوایی"؟
چون از یه طرف ورودیاش از ایرانه (زمینی)، ولی خروجیش از استارلینک رد میشه (هوایی). یعنی ترافیکت پَر میکشه و بدون اینکه ردپا از خودش بزاره، از بالا رد میشه. یه جورایی میشه گفت:
سوار یه تاکسی پراید میشی اولش و چند لحظه بعد داخل بوگاتی ویرون نشستی داری گاز میدی
🛠 چی لازم داره؟ (سطح فنی بالا)
دسترسی به استارلینک (واضحه!)
آیپی استاتیک داخل ایران (مثلاً از یه دیتاسنتر یا حتی بعضی خطوط خاص اینترنت ثابت)
سرور با دوتا کارت شبکه (یا یه روتر دوگانه)
دانش شبکه، تنظیمات NAT و Routing Policy
🚫 قابل خرید برای مردم عادی نیست؟
نه، فعلاً این بیشتر یه روش زیرمیزی برای افرادیه که یا توی دیتاسنتر کار میکنن، یا دسترسی به استارلینک دارن. ولی اگه یه روزی شبکهی استارلینک بهطور رسمی به ایران یا اطرافش بیاد، ممکنه این روشها گستردهتر شن.
🧩 چرا فایروال نمیفهمه؟
چون:
1. آیپی مقصد توی ایران تعریف شده.
2. ترافیکت رمزنگاریشدهست ولی شبیه ترافیک داخلی.
3. خروج نهایی از استارلینکه، جایی که فیلترینگ ایران دستش نمیرسه.
@Im_F3ri
تو این روزا که اینترنت بینالملل شده یه چیز لوکس و فانتزی، خیلیا دیگه به این فکر میکنن که «اگه همه چی ملی شد، چی میشه؟!» خب، اینجاست که پای یه روش زیرزمینی و باحال وسط میاد: تونل هوایی ملیشکن!
🛰 یه نگاه به سناریو:
فرض کن یه نفر که دستش به استارلینک میرسه (مثلاً همون آقای جاسوس معروف)، میاد یه دیش استارلینک تو ایران میزاره. این دیش مستقیماً از ماهواره اینترنت بینالملل میگیره — بدون سانسور، بدون فیلتر.
حالا این آدم زرنگ، با یه IP استاتیک ایران و دوتا کارت شبکه، یه جادو میکنه:
1. یکی از کارت شبکهها به استارلینکه (اینترنت آزاد)
2. اون یکی به شبکه داخلی ایرانه (مثلاً اینترنت همراه اول یا ایرانسل شما)
3. میاد با یه ابزار مثل SoftEther VPN Server یا حتی SSH، یه VPN سرور راه میندازه روی این گیتوی
4. حالا ترافیک شما، که از موبایلت به سمت یه IP داخل ایران (مثلاً روی ایرانسل) میره، وارد این تونل میشه، و اون سمت، از طریق استارلینک میره تو دل اینترنت آزاد!
📶 چه سودی داره این مدل؟
چون شما داری به یه آیپی ایران وصل میشی، اینترنت ملی بهت اجازه اتصال میده.
چون اون سرِ اتصال به استارلینکه، ترافیکت وارد نت جهانی میشه!
دیگه فایروال هوشمند نمیفهمه که داری VPN میزنی، چون از دیدش، تو داری به یه سرور داخلی وصل میشی.
🧠 چرا بهش میگن "تونل هوایی"؟
چون از یه طرف ورودیاش از ایرانه (زمینی)، ولی خروجیش از استارلینک رد میشه (هوایی). یعنی ترافیکت پَر میکشه و بدون اینکه ردپا از خودش بزاره، از بالا رد میشه. یه جورایی میشه گفت:
سوار یه تاکسی پراید میشی اولش و چند لحظه بعد داخل بوگاتی ویرون نشستی داری گاز میدی
🛠 چی لازم داره؟ (سطح فنی بالا)
دسترسی به استارلینک (واضحه!)
آیپی استاتیک داخل ایران (مثلاً از یه دیتاسنتر یا حتی بعضی خطوط خاص اینترنت ثابت)
سرور با دوتا کارت شبکه (یا یه روتر دوگانه)
دانش شبکه، تنظیمات NAT و Routing Policy
🚫 قابل خرید برای مردم عادی نیست؟
نه، فعلاً این بیشتر یه روش زیرمیزی برای افرادیه که یا توی دیتاسنتر کار میکنن، یا دسترسی به استارلینک دارن. ولی اگه یه روزی شبکهی استارلینک بهطور رسمی به ایران یا اطرافش بیاد، ممکنه این روشها گستردهتر شن.
🧩 چرا فایروال نمیفهمه؟
چون:
1. آیپی مقصد توی ایران تعریف شده.
2. ترافیکت رمزنگاریشدهست ولی شبیه ترافیک داخلی.
3. خروج نهایی از استارلینکه، جایی که فیلترینگ ایران دستش نمیرسه.
@Im_F3ri
👍4🤯3👎1
🚨 دستکاری مسیر اینترنت؟ وقتی ترافیکت گم میشه وسط راه!📡
اگه تو ۴۸ ساعت اخیر حس کردی اینترنت یه بوی خاصی میده و یه طوری شده
نه اشتباه کردی نه مودمت خرابه!!
قضیه پیچیدهتر از این حرفاست
بریم یه نگاهی به پشت پرده داشته باشیم:
📊 طبق دادههای رسمی از Cloudflare Radar، تو دو روز گذشته ایران شاهد ۳ رویداد مشکوک از نوع BGP Hijack بوده. یعنی چی؟ یعنی مسیری که بستههای اینترنتیات باید میرفتن تا برسن به گوگل یا تلگرام یا هرجای دیگه، وسط راه برده شدن یه جای دیگه! حالا چرا؟ چطوری؟ با کی؟ بشین بگم.
🧠 اول بفهمیم BGP چیه؟
کلمه BGP (Border Gateway Protocol) یعنی اون نقشهکش اصلی اینترنت که تعیین میکنه کدوم مسیر از کدوم کشور و کدوم اپراتور رد شه تا بستههای داده برسن مقصد.
حالا فرض کن یکی بیاد وسط راه بگه: "سلام! منم گوگلم!" و همه بستهها بهجای اینکه برن پیش گوگل واقعی، برن پیش اون! اینو بهش میگن BGP Hijack.
😬چی شده تو ایران؟
طبق گزارش Cloudflare (لینک)، تو بازه زمانی خیلی کوتاه (بین ۱۵ دقیقه تا ۱ ساعت) مسیر ترافیک اینترنت ایران در سه شناسه زیر تغییرات عجیبی داشته
1️⃣ رویداد 105257
2️⃣ رویداد 105410
3️⃣ رویداد 105455
🔗 لینک مستقیم به نمودارها و رویدادها:
https://radar.cloudflare.com/routing/ir
🎯 چرا این اتفاقا میافته؟
حالا بریم سراغ تحلیل
🛠 1. اشتباه انسانی؟
شاید یه مهندس شبکه یه Route اشتباه زده باشه. ولی وقتی چند تا AS (Autonomous System) مختلف با هم اینکارو کردن و مسیرها RPKI-invalid بودن، اشتباه خیلی بعیده.
🧪 2. تست زیرساختی یا مانور؟
ترافیک فقط مدت کوتاهی منحرف شده و درصد کمی از روترهای دنیا این مسیر جدید رو قبول کردن. این میتونه نشونهی یه تست یا مانور هماهنگ بین اپراتورهای داخلی باشه.
🕵️♂️ 3. شنود و رصد دادهها؟
اگه مسیر ترافیک عوض بشه و بره از یه جایی رد شه که قابل شنود باشه، معلومه که یکی داره گوش میده! مثل اینه که نامهتو بفرستن از پستخونه امنیتی رد شه بعد برسه به گیرنده.
🔐 4. فیلتر هدفمند؟
میتونن با همین روش، دسترسی به یه سرور خاص رو ببندن. مثلاً یه سرویس ویپیان معروف رو بیارن سمت یه AS داخلی و قطعش کنن، ولی کاربر فکر کنه مشکل از اونوره!
📉 5. ضعف امنیتی؟
ساختار مسیریابی BGP تو ایران خیلی وقتا نه RPKI داره، نه IRR درست حسابی. یعنی راحت میشه مسیر تقلبی فرستاد، کسی هم نمیفهمه!
📌 جمعبندی
وقتی میبینی اینترنت یهویی کند شد، یا یه سایتی فقط از یه اپراتور خاص باز نمیشه، شاید داری از مسیری میری که اصلاً مال تو نیست!
✅ این اتفاقها به احتمال بالا:
یا یه تست/مانور از طرف نهادهای شبکهای کشوره
یا شنود و فیلتر هدفمند برای کنترل جریان اطلاعات
🧩 منابع:
1. Cloudflare Radar: https://radar.cloudflare.com
2. تحلیل ترافیک IP ایران: https://radar.cloudflare.com/routing/ir
3. دیتابیس رخدادهای BGP Hijack: https://bgpstream.caida.org/
🧠 یه چیزی یادتون نره:
پروتکل BGP مثل GPS اینترنتیه، ولی اگه یکی تو مسیر GPS دست ببره، ممکنه تو فکر کنی داری میری شمال ولی سر از جای دیگه دربیاری!
@Im_F3ri
اگه تو ۴۸ ساعت اخیر حس کردی اینترنت یه بوی خاصی میده و یه طوری شده
نه اشتباه کردی نه مودمت خرابه!!
قضیه پیچیدهتر از این حرفاست
بریم یه نگاهی به پشت پرده داشته باشیم:
📊 طبق دادههای رسمی از Cloudflare Radar، تو دو روز گذشته ایران شاهد ۳ رویداد مشکوک از نوع BGP Hijack بوده. یعنی چی؟ یعنی مسیری که بستههای اینترنتیات باید میرفتن تا برسن به گوگل یا تلگرام یا هرجای دیگه، وسط راه برده شدن یه جای دیگه! حالا چرا؟ چطوری؟ با کی؟ بشین بگم.
🧠 اول بفهمیم BGP چیه؟
کلمه BGP (Border Gateway Protocol) یعنی اون نقشهکش اصلی اینترنت که تعیین میکنه کدوم مسیر از کدوم کشور و کدوم اپراتور رد شه تا بستههای داده برسن مقصد.
حالا فرض کن یکی بیاد وسط راه بگه: "سلام! منم گوگلم!" و همه بستهها بهجای اینکه برن پیش گوگل واقعی، برن پیش اون! اینو بهش میگن BGP Hijack.
😬چی شده تو ایران؟
طبق گزارش Cloudflare (لینک)، تو بازه زمانی خیلی کوتاه (بین ۱۵ دقیقه تا ۱ ساعت) مسیر ترافیک اینترنت ایران در سه شناسه زیر تغییرات عجیبی داشته
1️⃣ رویداد 105257
2️⃣ رویداد 105410
3️⃣ رویداد 105455
🔗 لینک مستقیم به نمودارها و رویدادها:
https://radar.cloudflare.com/routing/ir
🎯 چرا این اتفاقا میافته؟
حالا بریم سراغ تحلیل
🛠 1. اشتباه انسانی؟
شاید یه مهندس شبکه یه Route اشتباه زده باشه. ولی وقتی چند تا AS (Autonomous System) مختلف با هم اینکارو کردن و مسیرها RPKI-invalid بودن، اشتباه خیلی بعیده.
🧪 2. تست زیرساختی یا مانور؟
ترافیک فقط مدت کوتاهی منحرف شده و درصد کمی از روترهای دنیا این مسیر جدید رو قبول کردن. این میتونه نشونهی یه تست یا مانور هماهنگ بین اپراتورهای داخلی باشه.
🕵️♂️ 3. شنود و رصد دادهها؟
اگه مسیر ترافیک عوض بشه و بره از یه جایی رد شه که قابل شنود باشه، معلومه که یکی داره گوش میده! مثل اینه که نامهتو بفرستن از پستخونه امنیتی رد شه بعد برسه به گیرنده.
🔐 4. فیلتر هدفمند؟
میتونن با همین روش، دسترسی به یه سرور خاص رو ببندن. مثلاً یه سرویس ویپیان معروف رو بیارن سمت یه AS داخلی و قطعش کنن، ولی کاربر فکر کنه مشکل از اونوره!
📉 5. ضعف امنیتی؟
ساختار مسیریابی BGP تو ایران خیلی وقتا نه RPKI داره، نه IRR درست حسابی. یعنی راحت میشه مسیر تقلبی فرستاد، کسی هم نمیفهمه!
📌 جمعبندی
وقتی میبینی اینترنت یهویی کند شد، یا یه سایتی فقط از یه اپراتور خاص باز نمیشه، شاید داری از مسیری میری که اصلاً مال تو نیست!
✅ این اتفاقها به احتمال بالا:
یا یه تست/مانور از طرف نهادهای شبکهای کشوره
یا شنود و فیلتر هدفمند برای کنترل جریان اطلاعات
🧩 منابع:
1. Cloudflare Radar: https://radar.cloudflare.com
2. تحلیل ترافیک IP ایران: https://radar.cloudflare.com/routing/ir
3. دیتابیس رخدادهای BGP Hijack: https://bgpstream.caida.org/
🧠 یه چیزی یادتون نره:
پروتکل BGP مثل GPS اینترنتیه، ولی اگه یکی تو مسیر GPS دست ببره، ممکنه تو فکر کنی داری میری شمال ولی سر از جای دیگه دربیاری!
@Im_F3ri
Cloudflare
Routing Information in Iran | Cloudflare Radar
BGP routing trends and insights in Iran, including statistics, announced IP address space, and associated ASNs.
❤7
F3RI
https://github.com/MrF3ri/F3Manta-Android-RAT
بعد از مدت ها برگشتم ولی دست پر اومدم
خیلی وقت بود میخواستم یه ابزارکی درست کنم برای مدیریت گوشی از راه دور:))👾
قبلتر برای ویندوزش رو نوشته بودم و روی گیت هابم هستش، ولی یه نسخه اندروید جاش اینجا خالی بود.
ابزاری که به تازگی نوشتم اسمشو گذاشتم F3-MANTA که مخفف شده Mobile Attack & Network Testing Arena هستش
این F3-MANTA ابزاریه که دستت رو باز میزاره تا سناریوهای واقعی هک های صورت گرفته اندروید رو بی کم وکاست توی یک محیط کاملاً کنترلشده بازسازی کنی
از پیامک های جعلی ابلاغیه تا صفحات فیشینگ اینستاگرام 🕷️
عملا با خروجی نهایی این ابزار دسترسی کامل به گوشی رو میگیرین و حتی کارایی رو میتونین انجام بدین باهاش که حالت عادی حتی فکرشم نمیکردین😂
چند تا از خفناش رو بگم:
🔸 نمونهسازی حملات قابلپیکربندی (Android-focused): قابلیت پیاده سازی و ساخت بستههای آزمایشی برای شبیهسازی حملات مخرب ، از سناریوهای جمعآوری اطلاعات محیطی تا سناریوهای تعامل کنترلشده با سرور
🔸 ماژولهای کشف آسیبپذیری (Vulnerability Discovery — Conceptual): ساختاری برای تست کنترلشده انواع سناریوها و سنجش همراه افشای روشهای بهرهبرداری با جزئیات اجرایی
🔸 قابلیت تطبیق با CVEهای منتشرشده: سیستم بررسی خودکار از پایگاههای عمومی که عملی، نقاط هدف اون CVE رو چک میکنن و در صورت امکان ازش استفاده میکنن
🔸ضبط ترافیک شبکه برای تحلیل (Network Capture — Audited): امکان ذخیره ترافيک شبکه گوشی ، به چه دردی میخوره؟ مثال ساده بخام بگم وارد هرسایتی بشه کاربر میفهمیم و حتی password و username بزنه برای ما میاد😶🌫️
♦️علاوه بر همه این موارد بالا کلی قابلیت ریز دیگه داره:
چی مثلا ؟
دسترسی کامل به دستگاه چطوره؟ از لوکیشن لحظهای گرفته تا درصد باتری گوشی
جالبی قضیه وقتی شروع میشه که ظاهر اپ دست شما باشه
این دیگه یعنی چی؟
یعنی میتونی هر طور بخوای ظاهرشو عوض کنی:
مثلاً میخوای شبیه یه VPN باشه؟ باشه. خوشات نیومد؟ بزارش مثل یه موزیکپلیر و بده بره، باز هم دوست نداشتی؟ خب قالبی شبیه اینستاگرام میاره برات
خلاصه که یه ابزار کامل حساب میشه
اینم بگم که هنوز کامل نشده و کلی راه داره
و در آخر اینو اضافه کنم که صرفا جنبه اموزشی داره این ابزار و هرگونه سو استفاده غیر اخلاقی به عهده خودتون میباشه و ما گردن نمیگیریم👾
لینک گیت هاب پروژه 👇🏻
F3-MANTA
به خوشی استفاده کنین :)🕷️
@Im_F3ri
خیلی وقت بود میخواستم یه ابزارکی درست کنم برای مدیریت گوشی از راه دور:))👾
قبلتر برای ویندوزش رو نوشته بودم و روی گیت هابم هستش، ولی یه نسخه اندروید جاش اینجا خالی بود.
ابزاری که به تازگی نوشتم اسمشو گذاشتم F3-MANTA که مخفف شده Mobile Attack & Network Testing Arena هستش
این F3-MANTA ابزاریه که دستت رو باز میزاره تا سناریوهای واقعی هک های صورت گرفته اندروید رو بی کم وکاست توی یک محیط کاملاً کنترلشده بازسازی کنی
از پیامک های جعلی ابلاغیه تا صفحات فیشینگ اینستاگرام 🕷️
عملا با خروجی نهایی این ابزار دسترسی کامل به گوشی رو میگیرین و حتی کارایی رو میتونین انجام بدین باهاش که حالت عادی حتی فکرشم نمیکردین😂
چند تا از خفناش رو بگم:
🔸 نمونهسازی حملات قابلپیکربندی (Android-focused): قابلیت پیاده سازی و ساخت بستههای آزمایشی برای شبیهسازی حملات مخرب ، از سناریوهای جمعآوری اطلاعات محیطی تا سناریوهای تعامل کنترلشده با سرور
🔸 ماژولهای کشف آسیبپذیری (Vulnerability Discovery — Conceptual): ساختاری برای تست کنترلشده انواع سناریوها و سنجش همراه افشای روشهای بهرهبرداری با جزئیات اجرایی
🔸 قابلیت تطبیق با CVEهای منتشرشده: سیستم بررسی خودکار از پایگاههای عمومی که عملی، نقاط هدف اون CVE رو چک میکنن و در صورت امکان ازش استفاده میکنن
🔸ضبط ترافیک شبکه برای تحلیل (Network Capture — Audited): امکان ذخیره ترافيک شبکه گوشی ، به چه دردی میخوره؟ مثال ساده بخام بگم وارد هرسایتی بشه کاربر میفهمیم و حتی password و username بزنه برای ما میاد😶🌫️
♦️علاوه بر همه این موارد بالا کلی قابلیت ریز دیگه داره:
چی مثلا ؟
دسترسی کامل به دستگاه چطوره؟ از لوکیشن لحظهای گرفته تا درصد باتری گوشی
جالبی قضیه وقتی شروع میشه که ظاهر اپ دست شما باشه
این دیگه یعنی چی؟
یعنی میتونی هر طور بخوای ظاهرشو عوض کنی:
مثلاً میخوای شبیه یه VPN باشه؟ باشه. خوشات نیومد؟ بزارش مثل یه موزیکپلیر و بده بره، باز هم دوست نداشتی؟ خب قالبی شبیه اینستاگرام میاره برات
خلاصه که یه ابزار کامل حساب میشه
اینم بگم که هنوز کامل نشده و کلی راه داره
و در آخر اینو اضافه کنم که صرفا جنبه اموزشی داره این ابزار و هرگونه سو استفاده غیر اخلاقی به عهده خودتون میباشه و ما گردن نمیگیریم👾
لینک گیت هاب پروژه 👇🏻
F3-MANTA
به خوشی استفاده کنین :)🕷️
@Im_F3ri
1❤7🤯4
Forwarded from Linuxor ?
دقایقی پیش کلادفلر از قطعی اینترنت ایران خبر داد : امروز، ساعت 3 الی 4 بعد از ظهر، میزان فضای آدرس IPv6 اعلامشده در ایران حدود 98.5 درصد کاهش یافت، همزمان با آن سهم ترافیک IPv6 از حدود 12 درصد به حدود 1.8 درصد سقوط کرد، زیرا دولت بهطور گزینشی دسترسی به اینترنت را در جریان اعتراضات مسدود میکند.
همچنین گفته از ساعت 5 بعد از ظهر به بعد ترافیک IPv6 کاملا قطع شده.
@Linuxor
همچنین گفته از ساعت 5 بعد از ظهر به بعد ترافیک IPv6 کاملا قطع شده.
@Linuxor
👍2