حمله خطرناک: React2Shell + EtherRAT — وقتی توسعه وب به نقطه نفوذ بدل می‌شود
در این حمله، مهاجمان با سوءاستفاده از ضعف React2Shell در فریم‌ورک‌های محبوب وب مانند React یا Next.js، بدون نیاز به احراز هویت تنها با ارسال یک درخواست HTTP مخرب، امکان اجرای کد دلخواه روی سرور را به‌دست می‌آورند.
از این نقطه، بدافزار EtherRAT روی سرور بارگذاری می‌شود. EtherRAT پس از نصب، با استفاده از چند مکانیزم برای پایداری در سیستم، کنترل طولانی‌مدت سرور را حفظ می‌کند؛ همچنین این بدافزار برای ارتباط با مهاجمان از قراردادهای هوشمند بلاک‌چین (Ethereum) استفاده می‌کند — یعنی کانال فرمان‌ و کنترل آن بر بستر بلاک‌چین است و ردیابی آن بسیار دشوار است.
پس از استقرار، مهاجم می‌تواند دسترسی کامل به فایل‌ها، داده‌ها و پیکربندی‌های سرور پیدا کند، اقدام به سرقت اطلاعات، استقرار درازمدت، یا جاسوسی نماید. این حمله نشان می‌دهد که ضعف در کتابخانه‌ای ساده می‌تواند به دروازه‌ای برای نفوذهای پیچیده و زیرساختی تبدیل شود.

در صنایع هسته‌ای و دفاعی، تهدید اصلی دیگر الزاماً حمله مستقیم نظامی یا نفوذ آشکار سایبری نیست؛ بلکه اختلال نامرئی در منطق کنترل، اعتماد و تصمیم‌گیری سیستم است. سیستم‌های کنترل صنعتی (ICS/OT) طوری طراحی شده‌اند که پایدار، قابل پیش‌بینی و ایمن باشند، اما همین ویژگی‌ها آن‌ها را به هدفی ایده‌آل برای عملیات‌های پنهان تبدیل می‌کند. در این فضا، دشمن به‌دنبال انفجار یا خاموشی کامل نیست؛ بلکه به‌دنبال تغییرات کوچک، تدریجی و منطقی است که در ظاهر طبیعی به‌نظر می‌رسند اما در نهایت، کل ساختار را از درون فرسوده می‌کنند.

واقعیت این است که معماری شبکه‌های صنعتی در صنایع حساس، ذاتاً شبکه‌ای و چندلایه است. PLCها، HMIها، ایستگاه‌های مهندسی، شبکه‌های مانیتورینگ، پیمانکاران نگهداری، لینک‌های دسترسی از راه دور و حتی سیستم‌های IT متصل به OT، همگی در یک زنجیره به‌هم‌پیوسته قرار دارند. امنیت این زنجیره نه با «قوی‌ترین حلقه»، بلکه با ضعیف‌ترین اتصال پنهان تعریف می‌شود. در بسیاری از موارد، نفوذ نه از هسته اصلی تأسیسات، بلکه از یک دسترسی جانبی، یک پیمانکار فرعی یا یک مسیر ارتباطی به‌ظاهر کم‌اهمیت آغاز می‌شود؛ مسیری که از نظر فنی مجاز است، اما از نظر امنیتی، کنترل‌شده نیست.

در چنین حملاتی، هدف اصلی تخریب فیزیکی مستقیم نیست، بلکه دستکاری در منطق فرآیند است. تغییر جزئی در آستانه‌های کنترلی، تأخیرهای میلی‌ثانیه‌ای در ارسال فرمان‌ها، تحریف داده‌های سنسورها یا هم‌زمان‌سازی غلط بین اجزای سیستم، می‌تواند به حوادثی منجر شود که در گزارش‌ها به‌عنوان «خطای اپراتور»، «فرسودگی تجهیزات» یا «نقص فنی» ثبت می‌شوند. این همان نقطه‌ای است که حمله موفق می‌شود؛ زمانی که سیستم امنیتی حتی متوجه نمی‌شود با یک عملیات هدفمند مواجه بوده است.

عامل انسانی در این میان، نه یک تهدید فرعی، بلکه مرکز ثقل امنیت OT است. اپراتورها، مهندسان کنترل، تکنسین‌های تعمیر، و نیروهای IT که به محیط صنعتی دسترسی دارند، همگی بخشی از سطح حمله هستند؛ نه به‌دلیل ضعف فردی، بلکه به‌دلیل اعتماد ساختاری. بسیاری از شبکه‌های صنعتی بر پایه اعتماد ضمنی بنا شده‌اند: «این کاربر سال‌هاست اینجاست»، «این سیستم همیشه همین‌طور کار کرده»، «این تغییر منطقی به‌نظر می‌رسد». عملیات‌های پیشرفته دقیقاً روی همین اعتماد سرمایه‌گذاری می‌کنند.

از سوی دیگر، جنگ در صنایع حیاتی فقط در سطح تجهیزات اتفاق نمی‌افتد؛ بلکه در سطح تفسیر داده‌ها و روایت حوادث جریان دارد. لاگ‌ها، آلارم‌ها و گزارش‌ها همیشه حقیقت را نمی‌گویند؛ آن‌ها آن چیزی را نشان می‌دهند که سیستم تشخیص داده است، نه لزوماً آنچه واقعاً رخ داده. اگر تیم‌های فنی و امنیتی، دید فرآیندمحور نداشته باشند و صرفاً به شاخص‌های کلاسیک IT تکیه کنند، حمله می‌تواند در پوشش «وضعیت نرمال» پنهان بماند. در این حالت، شکست امنیتی نه در لحظه نفوذ، بلکه در لحظه تحلیل اشتباه اتفاق می‌افتد.

پیامد این وضعیت برای صنایع هسته‌ای و دفاعی روشن است: امنیت دیگر با دیوار آتش، آنتی‌ویروس یا تفکیک شبکه به‌تنهایی تأمین نمی‌شود. تشخیص زودهنگام، درک عمیق از رفتار فرآیند، و هم‌زمان‌سازی امنیت انسان، ماشین و منطق کنترل شرط بقاست. تهدید واقعی لزوماً از بیرون مرزها یا از اینترنت عمومی نمی‌آید؛ گاهی از همان جایی می‌آید که بیشترین اطمینان به آن وجود دارد.

در جنگ امروز، هر کشوری که نتواند تغییرات کوچک را قبل از تبدیل‌شدن به بحران تشخیص دهد، امنیت تأسیسات حیاتی خود را نه با یک ضربه بزرگ، بلکه با مجموعه‌ای از خطاهای «به‌ظاهر طبیعی» از دست خواهد داد.

— امیر رضوانی | نوشته ۲۵ ادر ماه ۱۴۰۴

آینده امنیت سیستم‌های کنترل دفاعی

قدرت دفاعی آینده نه در تسلیحات، بلکه در کنترل، الگوریتم و داده تعریف می‌شود. دیجیتالی‌شدن و شبکه‌ای‌شدن سامانه‌ها سطح حمله را افزایش داده و تهدیدهای ترکیبی، لایه‌های سایبری، فیزیکی و انسانی را همزمان هدف می‌گیرند. در این فضا، داده، مدل‌سازی و دیجیتال‌توئین به ابزار اصلی پیش‌بینی و تاب‌آوری تبدیل شده‌اند. نفوذ هوش مصنوعی به هسته کنترل، کارایی را افزایش می‌دهد اما ریسک دستکاری و بحران اعتماد را نیز تشدید می‌کند. سامانه‌ای که منطق کنترلی آن آسیب‌پذیر باشد، حتی با پیشرفته‌ترین تجهیزات، به نقطه ضعف راهبردی بدل خواهد شد.

این تصویر نشان می‌دهد که امنیت در صنایع هسته‌ای مستقیماً به منطق سیستم‌های کنترل صنعتی وابسته است، نه صرفاً به حفاظت فیزیکی.
هر فرآیند حیاتی بر پایه تصمیم‌های شرطی و منطقی عمل می‌کند و دستکاری این منطق می‌تواند رفتار کل سامانه را تغییر دهد.
دیجیتالی‌شدن و اتصال‌پذیری ICSها سطح حمله را افزایش داده و تفکیک خطای فنی از حمله هدفمند را دشوار کرده است.
تهدیدها ماهیتی ترکیبی دارند و از هم‌پوشانی حملات سایبری، نفوذ منطقی و آسیب‌پذیری زنجیره تأمین شکل می‌گیرند.
در این فضا، امنیت به معنای حفظ رفتار صحیح سیستم در شرایط بحرانی است، نه صرفاً جلوگیری از نفوذ.
منطق کنترلی، نقطه آغاز پایداری یا فروپاشی عملیات هسته‌ای است.

آزمایش Aurora در سال ۲۰۰۷ توسط وزارت انرژی آمریکا انجام شد و نشان داد که تخریب فیزیکی تجهیزات صنعتی فقط با فرمان کنترلی ممکن است.
در این آزمایش، یک ژنراتور صنعتی بزرگ بدون هیچ‌گونه خرابکاری فیزیکی هدف قرار گرفت.
مهاجمان صرفاً به سیستم کنترل ژنراتور دسترسی داشتند، نه به خود دستگاه.
هیچ بدافزار پیچیده یا exploit خاصی استفاده نشد.
تنها کاری که انجام شد، ارسال دنباله‌ای دقیق از فرمان‌های قطع و وصل بریکر بود.
این فرمان‌ها با زمان‌بندی میلی‌ثانیه‌ای و کاملاً حساب‌شده ارسال شدند.
نتیجه، ایجاد تنش شدید مکانیکی در شفت ژنراتور بود.
گشتاور ناپایدار باعث لرزش‌های خارج از محدوده‌ی طراحی شد.
سیستم‌های حفاظتی فرصت واکنش نداشتند.
در نهایت ژنراتور به‌صورت فیزیکی آسیب دید و از مدار خارج شد.
این آزمایش ثابت کرد که پروتکل‌های صنعتی می‌توانند خودشان سلاح باشند.
Aurora نشان داد دانش فرایند از کد مخرب مهم‌تر است.
هیچ تغییری در منطق PLC لازم نبود.
اعتماد به «فرمان مجاز» نقطه‌ی شکست اصلی بود.
این اتفاق نگاه امنیتی به زیرساخت‌های حیاتی را برای همیشه تغییر داد.

۲۶ سپتامبر ۱۹۸۳، سیستم هشدار زودهنگام هسته‌ای شوروی (Oko) یک هشدار با اطمینان بالا از پرتاب موشک بالستیک از آمریکا ثبت کرد. این سامانه مبتنی بر سنسورهای مادون‌قرمز ماهواره‌ای بود و طبق دکترین جنگ سرد، باید ظرف چند دقیقه به زنجیره تصمیم هسته‌ای گزارش می‌شد. استانیسلاو پتروف، افسر شیفت، به‌جای اجرای کور پروتکل، اعتبار سناریوی تهدید را بررسی کرد. حمله‌ای واقعی با تعداد محدود موشک از نظر عملیاتی منطقی نبود و با الگوی حمله شناخته‌شده هم‌خوانی نداشت. از سوی دیگر، سیستم تازه عملیاتی شده بود و احتمال خطای سنسور وجود داشت. پتروف تحت تأثیر Automation Bias قرار نگرفت و نقش Human-in-the-Loop را حفظ کرد. او گزارش را تا دریافت تأیید از رادارهای زمینی به تعویق انداخت. هیچ تأییدی دریافت نشد و مشخص شد هشدار ناشی از خطای تفسیر داده‌های ماهواره‌ای بوده است. این حادثه نشان می‌دهد در سیستم‌های هسته‌ای، دفاعی و صنعتی، False Positive می‌تواند فاجعه‌بارتر از False Negative باشد. امنیت این سامانه‌ها فقط مسئله‌ی دقت الگوریتم نیست، بلکه به معماری تصمیم و جایگاه قضاوت انسانی وابسته است.

سال‌هاست که در مهندسی کنترل به ما گفته می‌شود اگر یک سیستم پایدار باشد، اگر PID درست تیون شده باشد یا اگر MPC با قیود مناسب طراحی شده باشد، مسئله اساساً حل شده است. این طرز فکر اما روی یک فرض پنهان بنا شده: اینکه محیط صادق است. کنترل کلاسیک در دنیایی خوب کار می‌کند که اغتشاش‌ها تصادفی‌اند، نویزها کور هستند و هیچ عاملی به‌صورت هدفمند علیه سیستم عمل نمی‌کند. به محض خروج از این فضا و ورود به محیط‌های adversarial، رقابتی یا حتی فقط پیچیده و غیرایستا، این فرض فرو می‌ریزد.
در چنین محیط‌هایی اغتشاش نیت دارد، ورودی‌های مزاحم به حالت سیستم وابسته‌اند و محیط به‌مرور از رفتار کنترلر یاد می‌گیرد. PID هیچ مدلی از نیت اغتشاش ندارد؛ فقط به خطا واکنش نشان می‌دهد. MPC آینده را پیش‌بینی می‌کند، اما فقط در چارچوب مدلی که خودش فرض کرده درست است. وقتی مدل کمی غلط باشد، وقتی دینامیک سیستم به‌صورت تطبیقی تغییر کند یا وقتی عامل بیرونی عمداً خارج از افق پیش‌بینی حرکت کند، کنترلر از یک تصمیم‌گیر به یک واکنش‌گر تبدیل می‌شود. در این نقطه سیستم ممکن است هنوز از نظر ریاضی پایدار باشد، اما عملاً دیگر تحت کنترل نیست.

اینجاست که یک تمایز مهم خودش را نشان می‌دهد؛ تمایزی که معمولاً فقط کسانی درک می‌کنند که سیستم واقعی را زیر فشار دیده‌اند: تفاوت بین stability و resilience. پایداری یعنی اگر سیستم کمی از نقطه تعادل منحرف شود، به آن بازمی‌گردد. تاب‌آوری اما یعنی اگر سیستم مورد حمله قرار گیرد، ساختار رفتارش را تغییر می‌دهد. یک سیستم می‌تواند کاملاً پایدار باشد و در عین حال به‌آرامی دچار افت عملکرد شود، در یک ناحیه امن ولی بی‌فایده قفل شود، یا تحت حمله طوری رفتار کند که تمام معیارهای کلاسیک برقرار بمانند اما مأموریت سیستم عملاً شکست بخورد.
کنترل کلاسیک عاشق تعادل است، اما دنیای واقعی عاشق تعادل نیست؛ دنیای واقعی عاشق بهره‌کشی از الگوهاست. هرجا الگویی ثابت باشد، چیزی پیدا می‌شود که آن را exploit کند. سیستمی که فقط error را کم می‌کند اما فرض می‌کند آینده شبیه گذشته است، در بهترین حالت در برابر محیط‌های هوشمند شکننده است. سیستم resilient سیستمی است که فقط پایدار نمی‌ماند، بلکه یاد می‌گیرد چه زمانی باید رفتار کنترلی خود را تغییر دهد، چه زمانی مدلش را به‌روزرسانی کند و چه زمانی فرضیات اولیه‌اش دیگر معتبر نیستند.
به همین دلیل است که در دنیای واقعی، robust control، adaptive strategies، game-theoretic control و learning-based approaches دیگر ابزار لوکس یا دانشگاهی نیستند؛ شرط بقا هستند. اگر سیستم تو فقط stable است، برای کتاب و شبیه‌سازی خوب است. اما اگر resilient نیست، دیر یا زود در محیطی که علیه تو بازی می‌کند کم می‌آورد؛ حتی اگر همه معادلات روی کاغذ بی‌نقص باشند.

📌 گاهی یک ایمیل، بیش از آن‌چه فکر می‌کنی معنا دارد. سال‌ها تلاش می‌تواند در چند خط خلاصه شود…فردا می‌گویم چرا

کنترل صنعتی نسل بعد، شبیه آن چیزی نیست که در بلوک‌دیاگرام‌های کلاسیک می‌بینیم. مسئله دیگر فقط این نیست که ورودی به خروجی برسد و error کم شود. در معماری‌های جدید، فرض اصلی عوض شده است: سیستم دیگر با یک «محیط خنثی» طرف نیست، بلکه با مجموعه‌ای از عامل‌ها، سیاست‌ها و رفتارهای متغیر تعامل می‌کند. به همین دلیل، هسته کنترل از یک حلقه ساده بازخوردی، به یک لایه تصمیم‌گیری چندسطحی تبدیل می‌شود؛ جایی که مشاهده، پیش‌بینی و اقدام هم‌زمان و تطبیقی انجام می‌شوند.

در این معماری‌ها، کنترلر فقط state سیستم را نمی‌بیند؛ بلکه سعی می‌کند الگوی رفتار محیط را تخمین بزند. داده صرفاً برای کاهش خطا استفاده نمی‌شود، بلکه برای تشخیص تغییر رژیم رفتاری به‌کار می‌رود. به‌جای یک مدل ثابت، مجموعه‌ای از فرضیات فعال داریم که دائماً وزن‌دهی و بازتنظیم می‌شوند. کنترل دیگر یک قانون نیست، بلکه یک policy است؛ چیزی بین control theory، decision theory و learning. این سیستم‌ها طوری طراحی می‌شوند که بپذیرند مدل همیشه ناقص است و به‌جای جنگیدن با این واقعیت، با آن زندگی کنند.

مشکل اینجاست که کنترل کلاسیک اساساً چیزهایی را نمی‌بیند که برای این فضا حیاتی‌اند. یکی از بزرگ‌ترین blind spotها، تفاوت بین anomaly و attack است. از دید کلاسیک، هر دو «انحراف از رفتار نرمال» هستند. اما در دنیای واقعی این دو زمین تا آسمان فرق دارند. anomaly معمولاً تصادفی، بدون حافظه و بدون هدف است. attack اما رفتاری است، سازگار می‌شود، تست می‌کند و واکنش سیستم را وارد مدل ذهنی خودش می‌کند. چیزی که امروز شبیه نویز است، فردا تبدیل به استراتژی می‌شود.

کنترل کلاسیک به سیگنال نگاه می‌کند، نه به نیت پشت سیگنال. به مقدار انحراف حساس است، نه به ساختار آن. اگر حمله آهسته، تدریجی و در محدوده مجاز اتفاق بیفتد، از دید بسیاری از سیستم‌های پایدار کاملاً قابل‌قبول است. سیستم stable می‌ماند، constraintها نقض نمی‌شوند، اما رفتار کلی به‌سمتی می‌رود که طراح هرگز قصدش را نداشته است. این همان جایی است که سیستم «درست کار می‌کند» و هم‌زمان شکست می‌خورد.

کنترل نسل بعد دقیقاً روی همین نقاط کور بنا می‌شود. به‌جای سؤال «آیا سیستم پایدار است؟» سؤال این است: «آیا رفتاری که می‌بینم با آنچه انتظار دارم هم‌راستاست؟» این سیستم‌ها به‌دنبال تشخیص intent هستند، نه صرفاً deviation. تغییر الگوی تصمیم‌گیری، تغییر هم‌بستگی سیگنال‌ها، یا تغییر رابطه بین state و disturbance برایشان مهم‌تر از اندازه لحظه‌ای خطاست. در این نگاه، attack یک anomaly بزرگ‌تر نیست؛ یک پدیده کیفی متفاوت است.

به همین دلیل است که کنترل صنعتی آینده کمتر شبیه یک کنترلر تمیز و بیشتر شبیه یک موجود زنده طراحی می‌شود: مشاهده می‌کند، حدس می‌زند، اشتباه می‌کند، خودش را اصلاح می‌کند و مهم‌تر از همه، فرض نمی‌کند محیط همیشه همان محیط دیروز است. این چیزی نیست که در کتاب‌های کلاسیک به تو یاد بدهند، اما چیزی است که در دنیای واقعی، سیستم‌ها را زنده نگه می‌دارد

یک نقص امنیتی جدی در فریم‌ور UEFI برخی مادربوردهای تولیدکنندگان بزرگ موجب شده است که مکانیزم‌های محافظتی حافظه در مراحل اولیه بوت به‌طور کامل فعال نشوند. این ضعف به مهاجم اجازه می‌دهد پیش از بارگذاری سیستم‌عامل و فعال‌شدن کنترل‌های امنیتی، به حافظه سیستم دسترسی مستقیم پیدا کند.
در صورت دسترسی فیزیکی، مهاجم می‌تواند با اتصال یک سخت‌افزار مخرب از طریق رابط‌هایی مانند PCIe، حمله‌ای مبتنی بر Direct Memory Access (DMA) اجرا کند. از آنجا که این نفوذ در مرحله پیش از بوت رخ می‌دهد، ابزارهای امنیتی سیستم‌عامل، Secure Boot و مکانیزم‌های نظارتی عملاً بی‌اثر خواهند بود.
امکان دستکاری یا تزریق کد پیش از راه‌اندازی سیستم
دسترسی به داده‌های حساس و کلیدهای رمزنگاری ذخیره‌شده در حافظه
تضعیف اعتماد به زنجیره بوت و زیرساخت‌های پایه سیستم
اقدامات پیشنهادی
به‌روزرسانی فوری BIOS/UEFI به نسخه‌های اصلاح‌شده
فعال‌سازی و بازبینی تنظیمات امنیتی مانند Secure Boot و IOMMU
اعمال کنترل‌های سخت‌گیرانه برای جلوگیری از دسترسی فیزیکی غیرمجاز

یک مرکز دولتی در تهران در نظر دارد از بین داوطلبین مرد متخصص در حوزه SOC سطح 1، 2 و 3 با شرایط ذیل اقدام به جذب نیرو به صورت پروژه ای نماید :

نیازمندی‌های نیروی سطح 1:

1️⃣متولدین دهه هفتاد به بعد با حداقل شش ماه سابقه کار
2️⃣ دارای کارت پایان خدمت
3️⃣حداقل مدرک لیسانس در رشته های مرتبط
4️⃣شایستگی های تخصصی:
• آشنایی با مفاهیم امنیت و SOC
• آشنایی بایکی از SIEM های بومی وغیر بومی
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• آشنا به لاگ های انواع سیستم عامل ، وب وشبکه
• آشنایی با انواع حملات در لایه‌های مختلف شبکه
• آشنایی با انواع حملات وب
• آشنا به مفاهیم شبکه و محصولات امنیتی مانند فایروال‌ها، WAF ,DLP ,IPS/IDS
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
•توانایی حضور در شیفت ساعات غیر کاری

نیازمندی‌های نیروی سطح 2:

1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 2 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• تسلط به مفاهیم امنیت و SOC
• تسلط به splunk و SPL پیشرفته (advanced SPL)
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• تسلط به لاگ های انواع سیستم عامل ، وب وشبکه
• تسلط به انواع حملات در لایه‌های مختلف شبکه
• توانایی ایجاد use case و correlation search در splunk
• تسلط به متدهای MITRE ATT&CK
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
• تسلط بر مهارت‌های Incident Response

نیازمندی‌های نیروی سطح 3 :

1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 4 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:

• توانایی شکار تهدیدات (Threat Hunting & Proactive Analysis)
• آشنایی با معماری امنیتی شبکه نظیر Zero Trust
• تسلط بر روی تحلیل حملات سطح وب
• طراحی و توسعه ماژول های مختلف اسپلانک اعم از ES، UBA و MLTK
• تجربه کاری با ابزار هایThreat Intelligence ، SOAR و EDR
• آشنایی با دیجیتال فارنزیک (Digital Forensics برای جمع‌آوری شواهد
• توانایی خودکارسازی فرایندهای امنیتی، توسعه پلی‌بوک‌ها و بسترهای SOAR
• تسلط و سفارشی سازی ابزارهایEDR،SIEM و Sysmon برای پایش رفتارهای مخرب
• آشنایی با تکنیک‌های شبیه‌سازی حملات با ابزارهایی مانند Atomic Red Team و Caldera
• تجربه‌ی عملی در حوزه‌ تحلیل رخدادهای امنیتی(Incident Response) و شناسایی منشا حملات (Root Cause Analysis)
• تسلط عمیق بر روی فریم ورک هایی هایی نظیر MITRE ATT&CK / D3FEND و نحوه استفاده از آن در تحلیل‌های امنیتی و یوزکیس نویسی
• تسلط بر روی پروتکل های شبکه نظیر TCP/IP, DNS, SSL, SMB, HTTP, IP Routing و تحلیل ترافیک (PCAP, NetFlow) جهت شناسایی C2 و فعالیت های مخرب
• مستندسازی یافته‌ها و پیشنهاد راهکارهای مقابله با تهدید



امکانات و تسهیلات:
⭕️ محیط پویا و برگزاری دوره های اموزشی مورد نیاز
⭕️پرداخت به موقع حقوق و مزایا
⭕️پرداخت پاداش عملکرد
⭕️بیمه کامل تامین اجتماعی
⭕️بیمه تکمیلی
⭕️هدایای سازمانی
⭕️وام سازمانی

⬅️ روز و ساعات کاری: شنبه تا چهارشنبه | ۷ تا ۱۵:۳۰
⬅️محدوده محل کار: تهران، چهارراه ولیعصر

🖥 ارسال رزومه به : info@soorinsec.ir

استاکس‌نت: نخستین سلاح سایبری-فیزیکی تاریخ و تأثیر آن بر برنامه هسته‌ای ایران – تحلیل فنی دقیق به بررسی عمیق و دقیق عملیات استاکس‌نت (Stuxnet) می‌پردازیم – یکی از پیچیده‌ترین و ترسناک‌ترین حملات سایبری تاریخ که نه تنها یک بدافزار ساده بود، بلکه نخستین سلاح سایبری-فیزیکی (cyber-physical weapon) واقعی به شمار می‌رود. این کرم کامپیوتری، طراحی‌شده برای ایجاد آسیب فیزیکی (kinetic) واقعی در زیرساخت‌های صنعتی، برنامه غنی‌سازی اورانیوم ایران در تأسیسات نطنز را هدف قرار داد. بر اساس گزارش‌های معتبر مانند تحلیل رالف لانگنر (کارشناس برجسته ICS)، گزارش CCDCOE، و اسناد افشاشده از منابع مانند New York Times و کتاب "Confront and Conceal"، جزئیات فنی، حساس و شوکه‌کننده این عملیات را بررسی می‌کنیم. این نوشتار بر پایه facts مستند تهیه شده و حتی جنبه‌های محرمانه و جنجالی آن را پوشش می‌دهد – حتی اگر طولانی شود، ارزش مطالعه دارد!

پیشینه عملیاتی و حساس: همکاری محرمانه آمریکا و اسرائیل
استاکس‌نت بخشی از عملیات فوق‌محرمانه مشترک ایالات متحده و اسرائیل با نام رمز Operation Olympic Games بود که از سال ۲۰۰۶ میلادی تحت نظارت دولت جرج بوش آغاز شد و در دوران باراک اوباما به اوج رسید. هدف اصلی: جلوگیری از پیشرفت برنامه هسته‌ای ایران بدون نیاز به حمله نظامی مستقیم، که اسرائیل (تحت رهبری نتانیاهو) بارها تهدید به انجام آن کرده بود. شوکه‌کننده‌ترین بخش: این عملیات با بودجه‌ای در حدود صدها میلیون دلار و تیمی متشکل از حداقل ۳۰ تا ۴۵ متخصص elite – شامل مهندسان ICS، برنامه‌نویسان PLC، کارشناسان فیزیک هسته‌ای، توسعه‌دهندگان ویندوز و مأموران اطلاعاتی – توسعه یافت. توسعه آن حداقل ۱۰,۰۰۰ نفر-روز (معادل ۲۷ نفر-سال) زمان برد و نیاز به دانش عمیق از سانتریفیوژهای IR-1 (دزدیده‌شده از شبکه عبدالقدیر خان) داشت.
حساس‌ترین جزئیات: آزمایش استاکس‌نت در مجتمع اتمی دیمونا اسرائیل با استفاده از سانتریفیوژهای واقعی مشابه نطنز انجام شد. همچنین، آزمایشگاه ملی آیداهو (INL) آمریکا در سال ۲۰۰۸ با زیمنس همکاری کرد تا آسیب‌پذیری‌های Step7 را شناسایی کند – اطلاعاتی که مستقیماً برای ساخت payload استفاده شد. کد استاکس‌نت حاوی سرنخ‌های جنجالی مانند "19790509" (تاریخ اعدام حبیب القانیان، تاجر یهودی ایرانی پس از انقلاب) و "Myrtus" (اشاره به کتاب استر در تورات، نماد حمله پیش‌دستانه) بود، که به همکاری آمریکا-اسرائیل اشاره دارد. حتی برخی تحلیل‌ها پیشنهاد می‌کنند کد توسط دو تیم جداگانه نوشته شد: اسرائیلی‌ها بخش سلاح (weapon system) و آمریکایی‌ها payload را توسعه دادند. شوکه‌کننده: اوباما شخصاً دستور ادامه عملیات را داد، حتی پس از لو رفتن کد، برای جلوگیری از حمله هوایی اسرائیل! جزئیات فنی تخصصی: از عفونت تا نابودی فیزیکی
استاکس‌نت یک کرم کامپیوتری پیشرفته بود که در سه لایه عمل می‌کرد: لایه IT برای انتشار، لایه کنترل برای دستکاری، و لایه فیزیکی برای آسیب. اندازه آن حدود ۱ مگابایت (۲۰ برابر بدافزارهای معمولی) بود و شامل چهار آسیب‌پذیری روز صفر (zero-day) ویندوز بود که حتی کارکنان مایکروسافت از برخی از آن‌ها بی‌خبر بودند.
۱. بهره‌برداری از آسیب‌پذیری‌های روز صفر (رکورد بی‌سابقه):

CVE-2010-2568: آسیب‌پذیری LNK در Windows Shell – کد مخرب هنگام نمایش آیکون فایل‌های .lnk روی USB بدون نیاز به کلیک یا autorun اجرا می‌شد.
MS10-061: آسیب‌پذیری Print Spooler برای ارتقای محلی privileges به سطح SYSTEM.
MS08-067: آسیب‌پذیری RPC در Server Service (مشابه کرم Conficker) برای اجرای کد از راه دور.
MS10-092: آسیب‌پذیری Task Scheduler برای ارتقای privileges.
علاوه بر این، از دو آسیب‌پذیری دیگر (CVE-2010-2772 و CVE-2010-3888) برای rootkit و escalation استفاده کرد. شوکه‌کننده: این اولین بدافزاری بود که شش آسیب‌پذیری (چهار zero-day) را همزمان بهره‌برداری کرد!

۲. امضای دیجیتال سرقت‌شده و روت‌کیت پیشرفته:
درایورهای kernel-mode (MrxCls.sys و MrxNet.sys) با گواهی‌های معتبر دزدیده‌شده از شرکت‌های Realtek، JMicron و C-Media (تایوان) امضا شده بودند تا مکانیسم Windows Driver Signature Enforcement را دور بزنند. روت‌کیت دوگانه: MrxNet.sys فایل‌ها را با hooking توابع kernel مانند ZwQueryDirectoryFile مخفی می‌کرد؛ اجرای in-memory با تزریق به فرآیندهای legitimate (مانند lsass.exe) و hooking APIهای ntdll.dll (مانند ZwMapViewOfSection). حساس: این تکنیک‌ها اجازه می‌داد استاکس‌نت بدون نوشتن روی دیسک اجرا شود و کاملاً نامرئی بماند – حتی برای آنتی‌ویروس‌های پیشرفته آن زمان.
۳. مکانیسم‌های انتشار در شبکه‌های air-gapped:
عفونت اولیه احتمالاً از طریق یک جاسوس هلندی (مهندس ایرانی‌الاصل) با USB وارد نطنز شد. انتشار از طریق USB (بدون autorun)، شبکه محلی (SMB، RPC، HTTP، MSSQL)، پرینترهای اشتراکی و پروژه‌های Siemens SIMATIC Step7/WinCC (.s7p و .mcp). ایجاد سرور RPC داخلی برای command-and-control محلی و آپدیت peer-to-peer بدون اینترنت. شوکه‌کننده: استاکس‌نت به بیش از ۱۰۰,۰۰۰ سیستم در جهان (از جمله در آمریکا و اروپا) گسترش یافت، اما payload فقط در نطنز فعال می‌شد – این لو رفتن ناخواسته کد منبع را به wild برد و پایه‌ای برای بدافزارهای بعدی شد!
۴. Payload هدفمند و حمله man-in-the-middle بر PLCها:
استاکس‌نت فقط در محیط دقیق نطنز فعال می‌شد (fingerprinting پیشرفته): شبکه Profibus-DP، frequency converterهای Vacon NX (فنلاند) یا Fararo Paya (ایران)، و cascadeهای ۱۶۴ تایی سانتریفیوژهای IR-1 (۶ مرحله با ۲۷-۲۸ ماشین در هر مرحله).

جایگزینی DLL ارتباطی s7otbxdx.dll با نسخه مخرب برای رهگیری بلوک‌های سازمانی OB1 و OB35 در PLCهای Siemens S7-315/417.
دو payload اصلی:
• حمله overpressure: بستن شیرهای ایزوله در مراحل ۱-۲ و ۱۵، افزایش فشار در سانتریفیوژها با غیرفعال کردن سنسورهای فشار و جلوگیری از تخلیه به dump system. ضبط ۲۱ ثانیه داده نرمال (۱۰۶۴ هرتز) و replay جعلی به HMI (WinCC) برای فریب اپراتورها.
• حمله rotor speed: افزایش سرعت به ۱۴۱۰ هرتز (over-speed و رزونانس مرگبار) برای ۱۵ دقیقه، سپس کاهش به ۲ هرتز (فشار استاتیک نامتعادل) برای ۵۰ دقیقه – تکرار هر ۲۷ روز. کد مشروع را suspend می‌کرد و داده‌های جعلی به SCADA می‌فرستاد.
حساس و شوکه‌کننده: این حمله باعث می‌شد سانتریفیوژها از داخل پاره شوند، اما اپراتورها هیچ چیز غیرعادی نمی‌دیدند – منجر به اخراج اشتباه دانشمندان ایرانی به اتهام بی‌کفایتی یا خیانت شد!

نابودی فیزیکی و فریب کامل: استاکس‌نت حدود ۹۰۰ تا ۱۰۰۰ سانتریفیوژ (۱۰-۲۰% ظرفیت نطنز) را نابود کرد، اما نه با انفجار فوری، بلکه با کاهش تدریجی عمر روتورها – شبیه "شیطان در ماشین" که مهندسان ایرانی را دیوانه کرد. IAEA ثبت کرد که ایران هزاران سانتریفیوژ جدید جایگزین کرد، اما ایران آن را "حادثه فنی محدود" نامید.
لو رفتن و گسترش جهانی: کد استاکس‌نت ناخواسته لو رفت و بیش از ۲۰۰,۰۰۰ سیستم را آلوده کرد (۶۰% در ایران)، اما فقط نطنز را نابود کرد. این منجر به variants مانند Duqu (جاسوسی) و Flame (جاسوسی گسترده) شد – بخشی از پلتفرم Tilded که حداقل سه بدافزار دیگر داشت.
ریسک‌های محرمانه: حمله overpressure می‌توانست باعث جامد شدن گاز UF6 و انفجار detectable شود، اما طراحان ریسک را پذیرفتند تا پوشش حفظ شود. هیچ قابلیت remote stop نداشت – پس از مسدود کردن سرورهای C&C توسط ایران در اوت ۲۰۱۰، автоном عمل می‌کرد.
جاسوسی و انگیزه‌های پنهان: استاکس‌نت داده‌ها را exfiltrate می‌کرد و از انتشار برای جمع‌آوری هوش از سایت‌های دیگر استفاده کرد. شوکه‌کننده: ممکن است برای نمایش قابلیت‌های سایبری آمریکا/اسرائیل طراحی شده باشد، نه فقط تأخیر ایران – حتی با ریسک جنگ سایبری متقابل. ایران پس از آن واحد سایبری سپاه را تشکیل داد و حملات متقابل (مانند Shamoon) زد.
اشتباهات و bugs: bugs باعث ری‌بوت سیستم‌ها و BSOD در ایران شد، که منجر به کشف توسط VirusBlokAda در ژوئن ۲۰۱۰ گردید. خودنابودی در ۲۴ ژوئن ۲۰۱۲ برنامه‌ریزی شده بود.

تأثیرات استراتژیک و بلندمدت

تأخیر حداقل ۱ تا ۲ سال در برنامه غنی‌سازی (برخی تخمین‌ها ۱۸ ماه)؛ کاهش نرخ تزریق UF6 و تولید LEU. گزارش‌های IAEA و ISIS جایگزینی گسترده را تأیید کردند.
میراث: استاکس‌نت پارادایم جنگ سایبری را تغییر داد – اولین حمله موفق با آسیب فیزیکی واقعی. اما انتشار کد منبع، چارچوبی برای حملات آینده فراهم کرد. ایران دفاع سایبری‌اش را تقویت کرد و برنامه‌اش را ادامه داد. جهانی: کشورها مانند انگلیس استراتژی سایبری‌شان را بازنگری کردند؛ ریسک false flag و attribution نادرست می‌تواند به جنگ واقعی منجر شود.

یک کمپین مخرب با استفاده از دامنه‌ای جعلی که خود را به‌عنوان سرویس فعال‌سازی ویندوز معرفی می‌کند، کاربران را فریب داده و آن‌ها را به اجرای اسکریپت‌های مخرب PowerShell ترغیب می‌کند. این روش با تکیه بر اعتماد کاربران به فرآیندهای رسمی مایکروسافت، امکان اجرای کد دلخواه را بدون نیاز به فایل اجرایی سنتی فراهم می‌سازد.
کاربران از طریق لینک‌های فریبنده یا صفحات جعلی به محیطی هدایت می‌شوند که ظاهری کاملاً قانونی دارد. در این مرحله، با نمایش پیام‌های اضطراری مرتبط با فعال‌سازی سیستم‌عامل، از کاربر خواسته می‌شود دستورات مشخصی را در PowerShell اجرا کند. اجرای این دستورات منجر به بارگذاری و اجرای بدافزار شده و دسترسی اولیه مهاجم به سیستم را برقرار می‌کند.
اجرای کد مخرب در بستر PowerShell
دانلود و اجرای مؤلفه‌های ثانویه
ایجاد بستر برای حرکت جانبی در شبکه
افزایش ریسک سرقت اطلاعات و تداوم نفوذ
اقدامات پیشگیرانه
منع اجرای دستورات PowerShell از منابع ناشناس
بازبینی سیاست‌های امنیتی برای محدودسازی اجرای اسکریپت‌ها
استفاده از راهکارهای EDR و پایش رفتار اسکریپت‌ها
ارتقای آگاهی کاربران نسبت به فریب‌های مبتنی بر مهندسی اجتماعی