گزارش اختصاصی گراف نشان میدهد که موجی از حملات هدفمند، جاسوسی سایبری و نشت اطلاعات در سال گذشته، کشور را بهشدت درگیر کرده است. فعالان سایبری و گروههای مهاجم، در حملاتی پیچیده زیرساختهای حساس را هدف قرار دادهاند و نقشهی تهدید در ایران را دگرگون کردهاند.
تهدیدات سایبری در ایران طی سال ۱۴۰۳، ابعاد تازهای پیداکرده است. گزارش سالانه CTI شرکت GRAPH که یکی از کاملترین تحلیلهای وضعیت امنیت سایبری کشور را ارائه میدهد، از رشد چشمگیر حملات، تغییر رفتار مهاجمان و گسترش ابزارهای پیشرفته نفوذ خبر میدهد. بررسی دقیق این گزارش، زنگ خطری برای سازمانها، نهادهای دولتی و کسبوکارهای خصوصی است که در معرض این تهدیدات قرارگرفتهاند.
جهش درشدت و تنوع حملات
در مقایسه با سال ۱۴۰۲، شدت حملات سایبری در سال ۱۴۰۳ بهطرز محسوسی افزایشیافته است. دادههای استخراجشده از این گزارش نشان میدهند که طی این سال، ۹۲ رخداد سایبری مهم در ایران ثبتشده که در مقایسه با دوره مشابه سال قبل، افزایش معناداری داشته است.
گزارش تأکید میکند که حملات از نوع هدفمند (Targeted Attacks) بیشترین سهم را داشتهاند. این حملات توسط گروههای مختلف داخلی و خارجی برنامهریزی و اجراشدهاند. دستهای از این تهدیدات توسط گروههای Hacktivist و دستهای دیگر توسط گروههای پیشرفته APT انجامشدهاند که اهداف جاسوسی، اخاذی اطلاعاتی یا تخریب زیرساخت را دنبال میکردهاند.
گروههای مهاجم، نامهای آشنا با تاکتیکهای جدید
در میان گروههایی که در این گزارش به آنها اشارهشده، نامهایی مانند Black Reward، IrLeaks، LabDookhtegan، Arvin Club، Hooshyaran-e Vatan، APT IRAN و دیگر گروههای شناختهشده به چشم میخورند. این گروهها در سال گذشته چندین حمله سنگین و موفق را به ثبت رساندهاند.
در یک بخش خاص از گزارش، حتی به درگیری اطلاعاتی بین برخی گروههای مهاجم نیز اشارهشده است. در مواردی، مهاجمان اقدام به افشای اطلاعات یکدیگر کردهاند. این پدیده که بهاصطلاح Spy vs Spy نامیده شده، از پیچیدگی و چندلایه بودن جنگ سایبری در کشور پرده برمیدارد.
نشت اطلاعات؛ تهدیدی فراگیرتر از قبل
یکی از نگرانکنندهترین یافتههای گزارش GRAPH، افزایش چشمگیر نشت دادهها (Data Breach) در سال ۱۴۰۳ است. به گزارش این نهاد، ۴۷.۸۳ درصد از حملات ثبتشده منجر به نشت اطلاعات شدهاند که در مقایسه با ۴۰.۵۸ درصد در سال گذشته، رشد قابلتوجهی محسوب میشود.
در این میان، ابزارهای Info-Stealer نقش پررنگی داشتهاند. گزارش اشاره میکند که بدافزارهایی مانند StealC و ARES در کمپینهای متعددی برای سرقت دادههای ذخیرهشده در مرورگرها، رمزهای عبور، کیف پولهای رمز ارزی و اطلاعات سازمانی بهکاررفتهاند.
کمپین هدفمند علیه SnappFood؛ موردی از سرقت گسترده
یکی از رویدادهای شاخص در گزارش، مربوط به حملهای گسترده به سامانه SnappFood است که در آذر ۱۴۰۲ صورت گرفته. طبق این گزارش، بدافزار StealC از طریق یک پویش فیشینگ موفق شد اطلاعات کاربران و کارکنان این پلتفرم را استخراج کرده و در فضای دارکوب منتشر کند. این کمپین یکی از نمونههای استفاده موفق از Malware-as-a-Service (MaaS) در ایران بوده است.
باجافزارها؛ ابزار اخاذی در حال رشد
تهدید باجافزارها نیز در سال ۱۴۰۳ شدت بیشتری یافته است. سهم حملات باجافزاری از ۸.۷ درصد در سال ۱۴۰۲ به ۱۷.۳۹ درصد در ۱۴۰۳ افزایشیافته است. گروههایی نظیر LockBit 3.0، Medusa، Babuk، Royal و Rhysida در این حوزه فعالیت داشتهاند. این باجافزارها عمدتاً شرکتهای بزرگ، سازمانهای دولتی و بخش سلامت و آموزشی را هدف گرفتهاند.
هدفهای اصلی مهاجمان: از آموزش تا انرژی
بررسی دادههای استخراجشده از گزارش نشان میدهد که بیشترین حملات متوجه نهادهای زیر بوده است:
- نهادهای بیمه و خدمات مالی
- بخش آموزش و پژوهش
- سازمانهای دولتی و دفاعی
- شرکتهای تولیدی
- مراکز درمانی و سلامت
در بخشی از گزارش آمده است که بخش آموزش با سهمی بیش از ۱۹ درصد، هدف اصلی حملات سایبری در ۱۴۰۳ بوده است. نهادهای دولتی و شرکتهای فعال در حوزه فناوری نیز در رتبههای بعدی قرار داشتهاند.
شرکتهای بزرگ، قربانیان اصلی
گزارش گراف تأکید دارد که شرکتهای بزرگ (Large) و خیلی بزرگ (Very Large) بیشترین هدف حملات بودهاند. این دسته از سازمانها به دلیل دسترسی گسترده به دادهها، زیرساختهای حیاتی و منابع مالی، اهداف ایدهآلی برای گروههای مهاجم محسوب میشوند.
همچنین اشارهشده که بخشی از حملات به شرکتهایی با تعداد کارمندان بالای ۵۰۰۰ نفر صورت گرفته و عمده آسیبها از طریق نفوذ به سامانههای مدیریت کاربران و زیرساختهای ابری این سازمانها بوده است.
تغییر در ماهیت حملات APT
حملات APT در سال ۱۴۰۳ تمرکز بیشتری بر استخراج دادههای خاص، شنود ارتباطات سازمانی و جاسوسی ساختاریافته داشتهاند. در مواردی، هدف حمله، ایجاد اختلال در سیستمهای حیاتی یا دستکاری در فرآیندهای تصمیمسازی بوده است. همچنین از تکنیکهای پیچیده مانند استفاده از فایلهای مخرب در قالب پیوست ایمیل، بهرهبرداری از آسیبپذیریهای روز صفر و دور زدن سیستمهای امنیتی استفاده شده است.
پیشتازی در حملات هدفمند
گزارش گراف نشان میدهد مهاجمان از راههای فنی غیرمستقیم هم وارد میشوند؛ مثلاً ضعف در دستگاههای ورودی شبکه (همان دروازههایی که شرکتها را به اینترنت وصل میکنند) بارها بهعنوان نقطه شروع نفوذ استفاده شده است. به بیان ساده: هککنندهها گاهی نه از درِ ایمیل که از درِ خودِ شبکه وارد میشوند و این باعث میشود دسترسی به اطلاعات حساس آسانتر شود.
در سال ۱۴۰۳، حملات هکتیویستی (Hacktivist) بهعنوان اصلیترین تهدید سایبری در ایران ظاهر شده و بیش از ۳۴ درصد کل حملات را تشکیل میدهد. بر اساس گزارش CTI، این حملات نسبت به سال ۱۴۰۲ رشد نزدیک به ۵۰ درصدی داشته و اغلب با انگیزههای سیاسی و ایدئولوژیک همراه بوده است.
حملات هکتیویستی اغلب انگیزههای سیاسی و ایدئولوژیک داشته است
گروههایی مانند IrLeaks، Arvin Club و Hooshyaran e Vatan پیشتاز این میدان حملات هکری به کشور هستند و با افشای دادههای حساس از بخشهای دولتی و مالی، اختلال گستردهای ایجاد کردهاند. برای مثال، حملات به شرکتهای بیمه و تولید ماشینآلات صنعتی کشور که ۱۶ درصد از کل حملات را شامل میشود، نشاندهنده تمرکز هکرها بر بخشهای حیاتی اقتصاد دولتی-حاکمیتی است.
این روند را میتوان در چارچوب تاریخچه سایبری ایران تحلیل کرد. از زمان حملات گسترده استاکسنت در سال ۲۰۱۰ که زیرساختهای هستهای ایران را هدف گرفت تا حملات اخیر به سیستمهای بانکی در دهه ۹۰ و چند سال اخیر، ایران همیشه در تیررس تهدیدات سایبری بوده است.
با این حال گزارش ۱۴۰۳ گراف نشان میدهد که هکتیویسم داخلی و خارجی، مانند آنچه در گروههایی مثل گنجشک درنده و تپندگان و… دیده میشود، حالا با ابزارهای پیشرفتهتری مانند defacement (تغییر ظاهر وبسایتها) و data breach (سرقت داده) ترکیب شده و بیش از ۴۷ درصد حملات را به خود اختصاص داده است.
نقش هوش مصنوعی: تهدیدی نوین و جهانی
یکی از برجستهترین یافتههای گزارش ۱۴۰۳، ورود هوش مصنوعی مولد (GenAI) به عرصه تهدیدات سایبری است. هکرها از ابزارهایی مانند ChatGPT و DeepSeek برای تولید کدهای مخرب، شبیهسازی حملات فیشینگ و حتی ایجاد deepfakeها استفاده میکنند.
در بخش دیگری از گزارش آمده است که ۱۰ درصد از حملات سایبری ایران در سال ۱۴۰۳ با استفاده از ابزارهای هوش مصنوعی مولد (GenAI) انجامشدهاند. این میزان در مقایسه با سال ۱۴۰۲ تقریباً دو برابر شده است. برای مثال، حملات LLMJacking (سرقت مدلهای زبانی بزرگ) و استفاده از AI برای تولید بدافزارهای سفارشی، ایران را در موقعیتی مشابه کشورهای غربی قرار داده است.
پیشتر طراحی حملات فیشینگ یا بدافزارهای سفارشی نیازمند مهارت بالای برنامهنویسی بود؛ اما حالا هکرها میتوانند با ابزارهای متنباز یا سرویسهای عمومی، متنهای متقاعدکننده، کدهای مخرب و حتی صدا و تصویر جعلی تولید کنند. همین امر باعث میشود سطح مهارت لازم برای اجرای یک حمله کاهش یابد و در نتیجه، تعداد بیشتری از گروههای کوچک یا تازهکار هم بتوانند حملات موثر اجرا کنند.
قبلا حملات سایبری نیازمند مهارت بالای برنامهنویسی بود، با هوش مصنوعی هک کردن سادهتر شده است
این همان پدیدهای است که آژانس امنیت سایبری اروپا (ENISA) در گزارش ۲۰۲۴ خود از آن بهعنوان «دموکراتیزه شدن حمله سایبری» یاد کرده است. درواقع به نظر میرسد از منظر جهانی، این روند بخشی از موج بزرگتر است.
در آمریکا، گزارش FBI در سال ۲۰۲۴ نشان میدهد که GenAI در ۲۵ درصد حملات ransomware نقش داشته و در اروپا، آژانس امنیت سایبری ENISA هشدار داده که AI میتواند حملات را سریعتر و ارزانتر کند. در ایران، با توجه به تاریخچه فناوری که از دهه ۱۳۷۰ با ورود اینترنت و توسعه زیرساختهای دیجیتال آغاز شد، این تهدید نوین چالشبرانگیز است.
گزارش CTI تأکید میکند که بخشهای مالی و دولتی که ۳۰ درصد حملات را متحمل شدهاند، باید به سمت ابزارهای دفاعی مبتنی بر AI حرکت کنند – چیزی که در کشورهایی مانند اسرائیل و امارات با موفقیت اجرا شده است. موج باجگیری و اخاذی دیجیتال همچنان فعال است و نامهایی مثل LockBit و Medusa در گزارش بهعنوان بازیگران بزرگ این عرصه تکرار شدهاند. این گروهها با قفلکردن دادهها یا تهدید به افشا، کسبوکارها را زیر فشار مالی و اعتباری میگذارند.
تمرکز بر اقتصاد و دولت
گزارش ۱۴۰۳ بخشهای آسیبپذیر را بهطور دقیق ترسیم میکند. بخش مالی (مانند بیمه و بانکها) با ۲۳ درصد حملات، پیشتاز است و بخش دولتی با ۱۵ درصد در رتبه بعدی قرار دارد.
تولید (مانند ماشینآلات و فلزات پایه) نیز ۸ درصد حملات را تجربه کرده که این امر نشاندهنده تلاش هکرها برای اختلال در زنجیره تأمین است. مقایسه با حملات رخ داده در سال ۱۴۰۲ جالب است: حملات به بخش انرژی از ۴ درصد به ۴.۷۶ درصد افزایشیافته، در حالی که حملات به آموزش از ۱۷ درصد به ۹.۵۲ درصد کاهش داشته است.
این آمار را میتوان با روندهای جهانی مقایسه کرد. در گزارش Verizon DBIR ۲۰۲۴، بخش مالی جهانی ۲۰ درصد حملات را جذب کرده که با آمار ایران همخوانی دارد. گزارش CTI هشدار میدهد که شرکتهای کوچک و متوسط (SMEs) با ۲۷ درصد حملات، آسیبپذیرترین هستند، زیرا منابع دفاعی کمتری دارند؛ مشکلی که در اکثر کشورها دیده میشود.
چالشها و راهکارها: نیاز به تقویت هوش سایبری
گزارش ۱۴۰۳ شرکت امنیتی گراف به چالشهای داخلی مانند کمبود زیرساختهای امن و افزایش حملات APT (مانند Fancy Bear) اشاره دارد. گروههای خارجی مانند Medusa و LockBit 3.0 با ransomware، بیش از ۱۷ درصد حملات را رقم زدهاند که جلوگیری از این امر نیازمند همکاری بینالمللی ایران با کشورهای دیگر است.
در سطح جهانی، ابتکاراتی مانند کنوانسیون بوداپست برای مبارزه با جرایم سایبری میتواند الگویی برای ایران باشد، جایی که از سال ۱۳۸۵ به عضویت آن درآمده اما به نظر میرسد اجرای آن نیاز به تقویت دارد.
در نهایت، گزارش CTI میگوید ایران باید از مدلهای موفق جهانی الگو بگیرد و سرمایهگذاری در هوش تهدیدات را افزایش دهد. با رشد انفجاری هکتیویسم و ورود GenAI، امنیت سایبری دیگر یک گزینه نیست، بلکه ضرورتی برای بقای دیجیتال کشور است.
این گزارش که بر پایه دادههای واقعی از حملات واقعی تدوین شده، میتواند نقطه شروعی برای سیاستگذاران باشد تا ایران را در برابر موج بعدی تهدیدات مقاوم سازند. میتوان گفت حملات سایبری دیگر صرفاً یک «مسئله فناوری» نیستند؛ بلکه بهطور مستقیم به تابآوری اقتصاد دیجیتال و حتی ثبات اجتماعی مربوط میشوند.
زنگ خطر برای سال ۱۴۰۴ و بعد از آن
در جمعبندی این گزارش آمده است که در سالهای پیشرو، فضای تهدیدات سایبری در ایران پیچیدهتر، پیشرفتهتر و تهاجمیتر خواهد شد. حملات پیچیدهتری به کمک GenAI، بهرهبرداری از زیرساختهای ابری و افزایش نشت دادههای حساس در دستور کار گروههای مهاجم قرار دارد.
سازمانها باید با ارتقای زیرساختهای امنیتی، آموزش نیروهای انسانی، استفاده از فناوریهای مدرن شناسایی تهدید و همکاری اطلاعاتی، خود را برای مقابله با این تهدیدات آماده کنند.
