🟧 تهدید جدید Tangerine Turkey؛ سوءاستفاده از USB برای ماینینگ مخفیانه

در یک کارزار بدافزاری تازه شناسایی‌شده با نام Tangerine Turkey، مهاجمان از یک کرم مبتنی بر VBScript استفاده می‌کنند که از طریق فلش‌درایوهای USB آلوده گسترش می‌یابد. این بدافزار با بهره‌گیری از باینری‌های قانونی ویندوز مانند wscript.exe و printui.exe، اجرای خود را پنهان کرده و با ایجاد سرویس‌ها و وظایف زمان‌بندی‌شده، حضور ماندگار در سیستم برقرار می‌کند. هدف اصلی این عملیات، استخراج غیرمجاز ارز دیجیتال با استفاده از XMRig و سوءاستفاده از منابع پردازشی قربانی است.

با توجه به افزایش حملات مبتنی بر وسایل جانبی قابل‌حمل، سازمان‌ها باید سیاست‌های سخت‌گیرانه‌تری برای کنترل اجرای اسکریپت‌ها، نظارت بر تغییرات رجیستری و سرویس‌ها، و محدودسازی اجرای فایل‌های مشکوک از روی USB اعمال کنند. همچنین آموزش کاربران درباره خطرات وسایل ذخیره‌سازی ناشناس، یکی از مؤثرترین راهکارها برای پیشگیری از چنین حملاتی است.

در یک کارزار هدفمند و پیچیده، گروه باج‌افزاری CL0P با سوءاستفاده از آسیب‌پذیری بحرانی CVE-2025-61882 در Oracle E-Business Suite موفق به دسترسی غیرمجاز به محیط سازمانی برخی شرکت‌ها شده است. این نقص امنیتی امکان اجرای کد از راه دور بدون نیاز به احراز هویت را فراهم کرده و مهاجمان از این قابلیت برای استخراج داده‌های حساس، نقشه‌برداری از سامانه‌ها و استقرار ابزارهای ثانویه بهره برده‌اند.
پس از نفوذ، مهاجمان با ارسال پیام‌های تهدیدآمیز به مدیران ارشد، سازمان‌ها را تحت فشار قرار داده و باج‌خواهی را آغاز کرده‌اند. شواهد نشان می‌دهد کل زنجیره حمله با دقت بالا، استفاده از ابزارهای مشروع برای پنهان‌سازی ردپا، و تکنیک‌های ماندگاری پیشرفته انجام شده است؛ موضوعی که ضرورت بازبینی کامل امنیتی و تحقیق دیجیتال را دوچندان می‌کند.
این حادثه بار دیگر نشان می‌دهد سامانه‌های حیاتی مانند Oracle EBS، به‌دلیل ماهیت داده‌های حساس و نقش کلیدی‌شان در کسب‌وکار، باید با حداکثر سطح نظارت، وصله‌گذاری و کنترل امنیتی نگهداری شوند.

تحلیل فنی باج‌افزار The Gentlemen؛ یک تهدید نوظهور با معماری RaaS پیشرفته
باج‌افزار The Gentlemen به‌عنوان یکی از مهم‌ترین تهدیدات نوظهور سال‌های اخیر مطرح شده و با اتخاذ مدل Ransomware-as-a-Service (RaaS) توانسته است طیف وسیعی از مهاجمان را به خود جذب کند. این بدافزار با استفاده از الگوریتم‌های رمزگذاری مدرن از جمله XChaCha20 و Curve25519، داده‌های حیاتی سازمان را قفل کرده و همزمان با یک استراتژی دوگانه، اقدام به سرقت اطلاعات و تهدید به انتشار آنها می‌کند؛ رویکردی که میزان فشار و احتمال پرداخت باج را به‌طور قابل‌توجهی افزایش می‌دهد.
از منظر عملیاتی، The Gentlemen دارای یک زنجیره نفوذ بالغ و چندلایه است. این باج‌افزار از سازوکارهای مختلفی برای انتشار و ماندگاری بهره می‌گیرد؛ از جمله اجرای دستورات از طریق WMI و PowerShell Remoting، ایجاد Scheduled Task‌های اختصاصی، و سوءاستفاده از سرویس‌های قانونی ویندوز برای اجرای بی‌صدا. علاوه بر این، این خانواده دارای نسخه‌های جداگانه برای Windows، Linux و ESXi است، که نشان‌دهنده بلوغ بالای توسعه و هدف‌گذاری سیستم‌های سازمانی در مقیاس گسترده است.

تحلیل‌های جدید نشان می‌دهد گروه APT24 در چند سال اخیر رویکرد خود را از حملات محدود و خطی، به یک معماری چندوجهی و هدفمند ارتقا داده است. این گروه کمپینی با نام BADAUDIO را اجرا کرده که نشان‌دهنده سرمایه‌گذاری قابل‌توجه بر تنوع بردارهای نفوذ و افزایش دقت در انتخاب اهداف است. APT24 علاوه بر بهره‌گیری از تکنیک‌های «watering-hole» برای آلوده‌سازی وب‌سایت‌های عمومی مورد مراجعه کاربران، حملات زنجیره تأمین را نیز به‌کار گرفته و با نفوذ مکرر به یک شرکت بازاریابی دیجیتال، امکان تزریق اسکریپت‌های مخرب به صدها دامنه مشروع را فراهم کرده است.
در بُعد وب‌محور این عملیات، اسکریپت‌های جاسازی‌شده با تحلیل ویژگی‌های دستگاه کاربر، افراد یا سیستم‌های ارزشمندتر را شناسایی می‌کنند و سپس پنجره‌های جعلی مشابه به‌روزرسانی مرورگر را نمایش می‌دهند تا بدافزار اصلی را بر روی دستگاه نصب کنند. این سطح از شخصی‌سازی در مراحل حمله نشان‌دهنده توانایی بالای این گروه در انجام عملیات پیچیده، پنهان‌کار و مبتنی بر مهندسی اجتماعی پیشرفته است.

#استخدام #فرصت_همکاری #پیشنهاد_شغلی

استخدام کارشناس امنیت (Security Specialist)
محل خدمت: عسلویه | شیفت اقماری 14 روز کار / 7 روز استراحت

یک مجموعه صنعتی در عسلویه در راستای توسعه تیم امنیت سایبری خود، از متخصصین توانمند و باتجربه در حوزه امنیت و فناوری اطلاعات دعوت به همکاری می‌نماید.

شرایط و الزامات تخصصی
کاندیدای مناسب باید دارای توانمندی‌های زیر باشد:
• آشنایی کامل و تجربی با استانداردهای امنیت اطلاعات خصوصا ISO/IEC 27001
• آشنای مناسب به مدیریت ریسک امنیت اطلاعات و چارچوب‌های مرتبط
• توانایی کار با کنترل‌های امنیتی، تجهیزات و ابزارهای امنیت شبکه
• تسلط به مفاهیم و عملیات شبکه
• برخورداری از حداقل ۴ سال تجربه معتبر و مرتبط در حوزه امنیت و شبکه

مزایا و شرایط مالی
• حقوق ماهانه بین ۵۰ میلیون تا ۱۳۰ میلیون تومان (بسته به سطح مهارت و سابقه)
• کارانه
• پکیج‌های حمایتی و رفاهی
•صبحانه، ناهار، شام
•پرواز
• هدایای مناسبتی، عیدی و سنوات
• اقامتگاه، بن رفاهی و مزایای شیفت اقماری

نحوه درخواست
در صورت دارا بودن شرایط و تمایل به همکاری، لطفا رزومه به‌روز و مرتبط خود را به همراه متن همین آگهی از طریق واتس‌اپ یا تلگرام به شماره زیر ارسال نمایید:
09121964383

حملات جدید موسوم به ClickFix با سوءاستفاده از صفحات جعلی «به‌روزرسانی ویندوز» تلاش می‌کنند قربانیان را به دانلود و اجرای بدافزار سوق دهند. در این شیوه، مهاجمان با ایجاد پنجره‌های تقلبی که ظاهر رسمی و معتبر سیستم‌عامل را شبیه‌سازی می‌کنند، کاربران را فریب می‌دهند تا فایل‌های مخرب را با تصور انجام یک به‌روزرسانی ضروری اجرا کنند. این حملات اغلب از طریق وب‌سایت‌های آلوده یا تبلیغات مخرب آغاز شده و می‌توانند منجر به آلودگی سیستم با انواع بدافزارهای جاسوسی، سرقت اطلاعات یا باج‌افزار شوند.

گزارش‌ها نشان می‌دهد که مهاجمان در این کمپین از سازوکارهای مهندسی اجتماعی پیشرفته استفاده کرده و سناریوی «به‌روزرسانی ضروری» را به شکلی بسیار واقع‌گرایانه نمایش می‌دهند. استفاده از رابط کاربری مشابه ویندوز و پیام‌های هشدار جعلی میزان موفقیت حمله را به‌طور قابل توجهی افزایش می‌دهد. کارشناسان امنیتی هشدار می‌دهند که سازمان‌ها و کاربران باید نسبت به هرگونه درخواست به‌روزرسانی خارج از مسیرهای رسمی هوشیار بوده و مکانیزم‌های ایمنی مانند فیلترهای وب، راه‌حل‌های EDR و آموزش کارکنان را تقویت کنند.

حمله سایبری به OnSolve CodeRED و اختلال گسترده در سیستم‌های هشدار اضطراری آمریکا
سامانه CodeRED، یکی از مهم‌ترین زیرساخت‌های اطلاع‌رسانی فوری در آمریکا، اخیراً هدف یک حمله سایبری قرار گرفت که منجر به اختلال در ارسال هشدارهای حیاتی برای شهرها، نهادهای امنیتی و مدیریت بحران شد. در این رخداد، مهاجمان با بهره‌گیری از یک نقطه‌ضعف در زیرساخت ارتباطی و سوءاستفاده از دسترسی‌های غیرمجاز، موفق شدند به بخشی از سیستم‌های داخلی نفوذ کنند.
مهاجمان ابتدا با نفوذ به حساب‌های کاربری و سرویس‌های مدیریتی، کنترل بخش‌هایی از محیط عملیاتی CodeRED را به دست آوردند. سپس با استخراج داده‌های ذخیره‌شده در سرورها، اطلاعات کاربران شامل نام، آدرس، ایمیل و شماره تلفن را سرقت کردند. این الگوی حمله نشان‌دهنده استفاده از ترکیبی از مهندسی اجتماعی، سوءاستفاده از اعتبارنامه‌ها و ضعف‌های امنیتی در لایه احراز هویت است.
پس از عدم پرداخت باج، گروه INC Ransom مسئولیت حمله را پذیرفت و اعلام کرد داده‌های سرقت‌شده را منتشر یا برای فروش قرار داده است. این اقدام خدمات هشدار اضطراری را مختل کرد و امنیت اطلاعات شخصی میلیون‌ها کاربر را در معرض خطر قرار داد.

هر بار آگهی‌های شغلی بین‌المللی را مرور می‌کنم، مخصوصاً آن پوزیشن‌هایی که برای یک پروژه کوتاه‌مدت چندین Role تخصصی تعریف کرده‌اند، یک نکته اساسی برایم پررنگ می‌شود:

در فضای ما، تعداد عنوان‌های شغلی زیاد است…
ولی تعداد نقش‌هایی که واقعاً بر اساس چارچوب‌های معتبر شکل گرفته باشند، انگشت‌شمار است.

در مدل‌های جهانی، هر نقش ویژگی‌های روشن دارد:

محدوده مسئولیت مشخص است

مهارت‌ها استاندارد و قابل ارزیابی‌اند

جایگاه نقش با سطح بلوغ سازمان هماهنگ است

و وظایف بین افراد مختلف به‌صورت منطقی توزیع می‌شود، نه اینکه همه چیز روی دوش یک نفر باشد

اما در اکوسیستم ما، گاهی با عنوان‌هایی مواجهیم که حتی در هیچ کاتالوگ بین‌المللی وجود خارجی ندارند.
این موضوع فقط ضعف در فرآیند استخدام نیست؛ ریشه در یک نارسایی بنیادی‌تر دارد: طراحی غیراستاندارد ساختارهای امنیتی.

سؤال اصلی همین‌جاست:
چه مقدار از ساختار امنیت اطلاعات ما بر پایه‌ی چارچوب‌هایی مثل
NIST, ISO 27001, MITRE, SANS Roles, DoD Cyber Workforce
طراحی شده؟
و چقدر آن بر اساس سلیقه، محدودیت منابع انسانی یا فشارهای کوتاه‌مدت شکل گرفته است؟

تا زمانی که:

نقش‌ها علمی و مبتنی بر استاندارد تعریف نشوند

ساختار تیم‌ها شفاف نباشد

و توقعات از افراد با واقعیت بازار و تخصص هم‌خوانی نداشته باشد
امنیت سازمانی همچنان در سطح واکنشی باقی می‌ماند.

این حرف‌ها نه گلایه است و نه انتقاد از یک نهاد خاص؛
بلکه یک نگرانی برای کل زیست‌بوم امنیت.

کیفیت حرفه‌ای اتفاقی به‌وجود نمی‌آید؛
باید آن را طراحی کرد و ساخت.

سال 2025 نقطه انفجار تهدیدات صنعتی است، چون:
شدت حملات بی‌سابقه شده است.
حملات باج‌افزاری علیه OT ‌۸۷٪ رشد کرده و بیش از ۶۰٪ گروه‌ها سراغ اهداف صنعتی رفته‌اند. تولید با فاصله زیاد آسیب‌پذیرترین حوزه است.

بازیگران جدید و متخصص OT وارد صحنه شده‌اند.
تهدیدات صنعتی دیگر محدود به دولت‌ها نیست؛ گروه‌های تازه‌وارد هم توان نفوذ عمیق دارند.
بدافزارهای صنعتی واقعی و عملیاتی شده‌اند.
از Fuxnet تا FrostyGoop که مستقیم Modbus TCP را هدف می‌گیرد؛ بدافزار ICS دیگر یک سناریوی تئوری نیست.
همگرایی خطرناک تهدیدات: دولت‌ها + باج‌افزار + هکتیویست‌ها.
این ترکیب، پیش‌بینی‌ناپذیری و سرعت حملات را چند برابر کرده است.
ضعف بنیادی در سازمان‌ها: ۴۵٪ هنوز Visibility کافی ندارند.
کنترل ترافیک، پروتکل‌ها و تغییرات سیستم‌های صنعتی همچنان نقطه‌ضعف اصلی است.
پنج کنترل حیاتی که مسیر 2025 را می‌سازند:
Incident Response واقعی‌محور برای ICS
معماری دفاعی قابل دفاع (Segmentation، محدودسازی EWS، حذف Exposure)
Visibility و DPI روی پروتکل‌های صنعتی
دسترسی راه‌دور امن
مدیریت آسیب‌پذیری مبتنی بر ریسک، نه Patch‌کردن کور

جمع‌بندی:
در 2025، حمله به صنعت «یک احتمال» نیست؛ یک قطعیت زمانی است.
سازمان‌ها با تهدیدات واقعی‌ در حال اجرا مواجه‌اند—نه سناریوهای فرضی.

اج‌افزار بات‌نت ShadowV2
ShadowV2به‌عنوان یک بات‌نت/بدافزار مبتنی بر IoT شناسایی شده که در بازه قطعی گسترده سرویس‌های ابری AWS به‌عنوان «فرصتی برای آزمایش» مورد استفاده قرار گرفته است. این تهدید، هم دستگاه‌های خانگی (روتر، DVR، NAS و غیره) و هم زیرساخت‌های سازمانی را هدف قرار می‌دهد.
مهاجمان با بهره‌گیری از آسیب‌پذیری‌های شناخته‌شده یا پس‌مانده در دستگاه‌های IoT، به آن‌ها نفوذ کرده و بارگذاری اولیه بدافزار (loader) را انجام می‌دهند.
پس از نفوذ موفق، بدافزار اصلی از سرور کنترل (C2) دانلود می‌شود و دستگاه آلوده به عضوی از شبکه زامبی‌ها تبدیل می‌گردد.
این ارتش زامبی امکان اجرای حملات گسترده از نوع DDoS (بر بستر پروتکل‌های UDP، TCP و HTTP) را فراهم می‌کند — هم به‌صورت مستقیم و هم به‌عنوان سرویس اجاره‌ای برای مجرمان دیگر.
تعداد زیادی از دستگاه‌های IoT در سطح خانگی و تجاری دارای به‌روزسانی منظم نیستند یا به حالت End-of-Life رسیده‌اند؛ این دستگاه‌ها بیشترین آسیب‌پذیری را دارند.
بسیاری از این دستگاه‌ها در شبکه داخلی مشترک قرار دارند؛ بنابراین در صورت آلوده شدن، امکان گسترش تهدید به بخش‌های حساس‌تر شبکه وجود دارد.

بحرانی که بسیاری از سازمان‌ها نادیده می‌گیرند
گزارشهای جدید نشان می‌دهد که بخش بزرگی از سازمان‌ها با وجود اتکای گسترده به هوش مصنوعی، سرویس‌های ابری و اتوماسیون، هنوز در مهم‌ترین حوزه امنیتی خود دچار کمبود هستند: محافظت از هویت‌ها. امروز هویت‌های ماشینی و سرویس‌ها ده‌ها برابر بیشتر از کاربران انسانی شده‌اند و اغلب بدون نظارت کافی، دسترسی‌های حساس را در اختیار دارند.
این رشد بی‌رویه هویت‌ها، همراه با ساختارهای جدا افتاده مدیریت دسترسی، شکاف‌های بزرگی ایجاد کرده که مهاجمان از آن سوءاستفاده می‌کنند. برای مقابله، سازمان‌ها باید هویت را به‌صورت یکپارچه — انسان، ماشین و عامل‌های خودکار — مدیریت کنند، دسترسی‌های حساس را تحت کنترل متمرکز قرار دهند و رویکرد «امن از روز اول» را در پروژه‌ها و سیستم‌های جدید اجرا کنند.

بدافزار GlassWorm در سومین موج حملات خود، با آلوده‌سازی افزونه‌های VS Code و نسخه‌های متن‌باز آن، محیط توسعه را هدف قرار داده است. مهاجمان افزونه‌های به‌ظاهر عادی را منتشر می‌کنند و پس از نصب، کد مخرب پنهان‌شده با تکنیک‌های یونی کد نامرئی فعال می‌شود.

این بدافزار پس از اجرا اقدام به سرقت توکن‌ها، رمزها و کلیدهای توسعه، ایجاد دسترسی راه‌دور و حرکت جانبی در شبکه می‌کند. GlassWorm همچنین با استفاده از حساب‌های سرقت‌شده توسعه‌دهندگان، نسخه‌های آلوده جدید منتشر می‌کند و به‌صورت زنجیره‌ای گسترش می‌یابد.

توصیه‌ها: بازبینی افزونه‌های نصب‌شده، حذف موارد ناشناخته، چرخش اعتبارنامه‌ها، محدودسازی نصب افزونه‌ها در سازمان و پایش رفتار غیرعادی سیستم و شبکه.

انتشار نسخه رسمی ۲۰۲۵ چیت‌شیت امنیت ICS/OT

🛡️✨ این سند نتیجه‌ی ماه‌ها تحلیل، بررسی تهدیدات نوظهور و تجربه‌ی عملی در محیط‌های صنعتی است.

در این نسخه، ۱۶ تهدید کلیدی سال ۲۰۲۵ همراه با مجموعه‌ای از دفاع‌های ترکیبی مبتنی بر فناوری‌های کوانتومی و هوش‌مصنوعی ارائه شده‌اند؛ راهکارهایی کاملاً کاربردی و قابل‌پیاده‌سازی در شبکه‌های OT/ICS، صنایع انرژی، نفت‌وگاز، تولید و سایر زیرساخت‌های حیاتی.

محتوای چیت‌شیت شامل موارد زیر است:
• تهدیدات USB، دستکاری firmware و حملات spoofing
• راهکارهای مقاوم در برابر تهدیدات کوانتومی (PQC)
• کاربردهای هوش‌مصنوعی در تشخیص ناهنجاری و محافظت از تجهیزات legacy
• تحلیل دفاعی در برابر بدافزارهای مولد و حملات مبتنی بر deepfake
• ساختار Zero-Trust ویژه محیط‌های OT
• راهکارهای عملی برای بازیابی پس از حملات ransomware صنعتی
• و مجموعه‌ای از قوانین CTL برای اعتبارسنجی رسمی معماری امنیتی

این نسخه از معدود منابعی است که به‌صورت یکپارچه
Quantum Security و AI-driven Defense
را برای حوزه‌ی امنیت صنعتی ترکیب می‌کند.

انتشار این چیت‌شیت برای من تنها یک خروجی فنی نیست؛
بلکه نقطه‌ای است که سال‌ها تلاش، مطالعه، کار میدانی و تجربه‌ی واقعی در حوزه‌ی امنیت ICS/OT در آن جمع شده است.

این نسخه حاصل مسیری طولانی از حضور در پروژه‌های صنعتی، تحلیل تهدیدات نوظهور، بررسی چالش‌های تجهیزات legacy، و درک عمیق از نیازهای امنیتی زیرساخت‌های حیاتی است؛
مسیری که هر مرحله‌اش با یادگیری، آزمون، خطا و ارتقای دیدگاه همراه بوده.

چیت‌شیت ۲۰۲۵ ترکیبی از دانش فنی، تجربه میدانی و نگاه آینده‌محور است:
از امنیت شبکه‌های صنعتی و کنترل فرایند گرفته تا بهره‌گیری از دفاع‌های مبتنی بر هوش‌مصنوعی و فناوری‌های مقاوم کوانتومی.
هدف این سند، ارائه‌ی مجموعه‌ای قابل اتکا برای متخصصان، مهندسان و مدیرانی است که می‌خواهند با دید بازتر و دقیق‌تر به امنیت OT نگاه کنند.

این انتشار برای من تنها یک «مستند» نیست؛
خلاصه‌ای است از سال‌ها کار، یادگیری و تعهد به ارتقای امنیت صنعتی—
و نقطه‌ای برای شروع مسیرهای بزرگ‌تر در ادامه

به زودی یک دورهٔ کامل، جامع و دقیق در حوزهٔ امنیت سیستم‌های کنترل صنعتی و شبکه‌های OT با محوریت شناسایی، مپ‌سازی و تحلیل تهدیدات، و همچنین بررسی آناتومی محصولات SIEM/NDR/XDR در محیط‌های ICS/SCADA ضبط خواهم کرد. در این دوره تلاش می‌کنم پرونده‌ی اطلاعات نادرست، آموزش‌های ضعیف و برداشت‌های اشتباه از امنیت صنعتی را برای همیشه ببندم و یک استاندارد واقعی در این حوزه ایجاد کنم.

تمام روند یادگیری با محوریت Elastic و Splunk در بسترهای صنعتی طراحی شده تا با معماری، جریان‌های ترافیک، پروتکل‌ها، تهدیدات و چالش‌های واقعی OT از صفر تا سطح پیشرفته آشنا شوید. این دوره، پایه و مکمل دوره‌های آینده InduShield Cyber Lab خواهد بود تا یک مسیر حرفه‌ای و منسجم در امنیت صنعتی شکل بگیرد.

همچنین دوره‌های دیگر مانند درایورنویسی صنعتی، ماژول‌نویسی OT، G-AI و ... نیز طراحی شده‌اند و به‌صورت مرحله‌به‌مرحله منتشر خواهند شد تا یک مسیر جامع یادگیری در اختیار علاقه‌مندان و متخصصان قرار گیرد.

اگر نظری یا پیشنهادی دارید، خوشحال می‌شوم در پیام خصوصی ارسال کنید. هدف این است که دوره‌ی Blue Team صنعتی به شکلی ضبط شود که تمام نیازهای عملیاتی و فنی محیط‌های ICS/OT را پوشش دهد. نقشهٔ راه فعلی شامل حدود ۲۷۴ ویدیو است که از تحلیل ساختار و مهندسی ELK در محیط‌های OT آغاز شده و مرحله‌به‌مرحله وارد مباحث حیاتی امنیت صنعتی می‌شود. با این حال، از پیشنهادات ارزشمند شما استقبال می‌کنم.

به‌زودی خبرهای جذاب و مهمی از InduShield Cyber Lab منتشر خواهم کرد — کار اصولی همیشه نتیجه داده است.

عصر طلایی سایبر در سامانه‌های کنترل صنعتی ایران

همان‌طور که پیش‌تر گفته بودم، اگر برای فضای هک و امنیت ایران یک عصر طلایی قائل باشیم، برای حوزهٔ امنیت سیستم‌های کنترل صنعتی و شبکه‌های SCADA شاید بتوان دوره‌ی بین ۲۰۰۸ تا ۲۰۱۶ را یکی از جنجالی‌ترین و تأثیرگذارترین مقاطع دانست؛ زمانی که بسیاری از متخصصان امنیت تازه فهمیدند زیر لایه‌ی فناوری‌های دفاعی و هسته‌ای کشور، چه معماری پیچیده‌ای در حال کار است و حملات سایبر چگونه می‌توانند به‌جای کامپیوترهای شخصی، سانتریفیوژ، ژنراتور، PLC و حتی سامانه‌های فرماندهی را هدف قرار دهند.

در آن سال‌ها دنیا هنوز در شوک روش‌های جدید نفوذ به سیستم‌های صنعتی بود. بیشتر متخصصان امنیت به‌صورت سنتی روی شبکه‌های IT، بدافزارهای معمول، باگ‌های نرم‌افزاری یا حملات وب تمرکز داشتند. اما کم‌کم مشخص شد که جنگ سایبری تنها یک شوخی نیست؛ بلکه می‌تواند به لایه‌های فیزیکی و زیرساختی کشورها نفوذ کند و نه‌تنها داده، بلکه رفتار یک ماشین واقعی را تغییر دهد.

🔥 جرقهٔ روایت: زمانی که یک مهندس امنیت راه جدیدی پیدا کرد

در همان دوره، در جامعهٔ امنیت ایران یک متخصص نسبتاً گمنام وجود داشت — فردی که به‌دلیل توانایی عجیبش در مهندسی معکوس پروتکل‌های صنعتی و تجهیزات PLC بین حلقه‌های کوچک معروف شده بود. نامش در محافل به صورت مستعار مطرح می‌شد، اما همه می‌دانستند زادهٔ شرق کشور است و سال‌ها روی سیستم‌های کنترل صنعتی کار کرده است.

او برای اینکه بفهمد سیستم‌های دفاعی چگونه با PLCها، HMIها و کنترلرهای میدانی ارتباط برقرار می‌کنند، مجبور شد پروتکل‌های اختصاصی را مهندسی معکوس کند — چیزهایی که معمولاً فقط سازندگان بزرگ مثل Siemens یا Honeywell از جزئیاتش خبر دارند.
همین کنجکاوی باعث شد متوجه شود بسیاری از تجهیزاتی که در صنایع حساس استفاده می‌شوند:

گذرواژه‌ها و کلیدهای ارتباطی را در حافظهٔ دستگاه ذخیره می‌کنند،

بخشی از ارتباطات بدون احراز هویت قوی انجام می‌شود،

و حتی پروتکل‌های حیاتی فاقد رمزنگاری سراسری هستند.

🔥 نسخهٔ اولیهٔ ابزار او

نسخهٔ نخست ابزاری که او ساخت بسیار ساده بود. کافی بود دستگاه یا کنسول مهندسی یک PLC آلوده شود؛ ابزار او تنظیمات و credentialهای ارتباطی را مستقیماً از رجیستری یا فایل‌های پیکربندی کنترلر استخراج می‌کرد. در آن زمان همین قابلیت برای شناسایی ضعف‌های امنیتی یک شبکه کافی بود.

اما سؤال مهم این بود:
اگر گذرواژه در سیستم ذخیره نشده باشد، چطور می‌توان رفتار کنترلر را تحلیل کرد؟

🔥 انقلاب نسخهٔ بعدی

در نسخهٔ 1.5، ماجرا وارد سطحی شد که هنوز هم بین متخصصان ICS درباره‌اش صحبت می‌شود. او ابزار خود را به‌گونه‌ای توسعه داد که:

مستقیماً به پروسس نرم‌افزار مهندسی تزریق می‌شد،

مقداردهی‌های زندهٔ PLC را از RAM می‌خواند،

ترافیک پروتکل صنعتی مانند S7، Modbus یا DNP3 را در لحظه مانیتور می‌کرد.

در آن زمان بسیاری از سیستم‌ها COM Object یا APIهای کنترل صنعتی داشتند که برنامه‌ها می‌توانستند بدون محدودیت از آن‌ها استفاده کنند. ابزار او بعد از استخراج داده‌ها یک session مهندسی جعلی می‌ساخت و داده‌های حیاتی مانند پیکربندی یا behavior logic کنترلر را برای تیم امنیت مرکزی ارسال می‌کرد تا تحلیل کنند.

سال ۲۰۱۰ این کارها را انجام دادند — سالی که بسیاری از متخصصان جهان هنوز مفهوم
ICS Malware، OT Security و Supply Chain Attack
را درک نکرده بودند.

🔥 چرا هنوز درباره‌اش صحبت می‌شود؟

چون این یک نمونهٔ واقعی از هوش، خلاقیت، و شهامت مهندسی امنیت صنعتی در ایران بود.
نه با هدف تخریب، بلکه برای شناخت ضعف‌ها قبل از آنکه دشمن آن ضعف‌ها را کشف کند.

این اتفاق نقطه‌ای بود که بسیاری فهمیدند:
جنگ سایبری با جنگ نرم‌افزاری تفاوت دارد؛ اینجا اشتباه یعنی انفجار، تخریب فیزیکی یا فلج شدن یک سامانهٔ حیاتی.

و هنوز هم بعد از گذشت سال‌ها، نام آن ابزار و سازنده‌اش در محافل امنیت OT به‌عنوان یکی از «نبوغ‌های خاموش» تکرار می‌شود