سال 2025 نقطه انفجار تهدیدات صنعتی است، چون:
شدت حملات بیسابقه شده است.
حملات باجافزاری علیه OT ۸۷٪ رشد کرده و بیش از ۶۰٪ گروهها سراغ اهداف صنعتی رفتهاند. تولید با فاصله زیاد آسیبپذیرترین حوزه است.
بازیگران جدید و متخصص OT وارد صحنه شدهاند.
تهدیدات صنعتی دیگر محدود به دولتها نیست؛ گروههای تازهوارد هم توان نفوذ عمیق دارند.
بدافزارهای صنعتی واقعی و عملیاتی شدهاند.
از Fuxnet تا FrostyGoop که مستقیم Modbus TCP را هدف میگیرد؛ بدافزار ICS دیگر یک سناریوی تئوری نیست.
همگرایی خطرناک تهدیدات: دولتها + باجافزار + هکتیویستها.
این ترکیب، پیشبینیناپذیری و سرعت حملات را چند برابر کرده است.
ضعف بنیادی در سازمانها: ۴۵٪ هنوز Visibility کافی ندارند.
کنترل ترافیک، پروتکلها و تغییرات سیستمهای صنعتی همچنان نقطهضعف اصلی است.
پنج کنترل حیاتی که مسیر 2025 را میسازند:
Incident Response واقعیمحور برای ICS
معماری دفاعی قابل دفاع (Segmentation، محدودسازی EWS، حذف Exposure)
Visibility و DPI روی پروتکلهای صنعتی
دسترسی راهدور امن
مدیریت آسیبپذیری مبتنی بر ریسک، نه Patchکردن کور
شدت حملات بیسابقه شده است.
حملات باجافزاری علیه OT ۸۷٪ رشد کرده و بیش از ۶۰٪ گروهها سراغ اهداف صنعتی رفتهاند. تولید با فاصله زیاد آسیبپذیرترین حوزه است.
بازیگران جدید و متخصص OT وارد صحنه شدهاند.
تهدیدات صنعتی دیگر محدود به دولتها نیست؛ گروههای تازهوارد هم توان نفوذ عمیق دارند.
بدافزارهای صنعتی واقعی و عملیاتی شدهاند.
از Fuxnet تا FrostyGoop که مستقیم Modbus TCP را هدف میگیرد؛ بدافزار ICS دیگر یک سناریوی تئوری نیست.
همگرایی خطرناک تهدیدات: دولتها + باجافزار + هکتیویستها.
این ترکیب، پیشبینیناپذیری و سرعت حملات را چند برابر کرده است.
ضعف بنیادی در سازمانها: ۴۵٪ هنوز Visibility کافی ندارند.
کنترل ترافیک، پروتکلها و تغییرات سیستمهای صنعتی همچنان نقطهضعف اصلی است.
پنج کنترل حیاتی که مسیر 2025 را میسازند:
Incident Response واقعیمحور برای ICS
معماری دفاعی قابل دفاع (Segmentation، محدودسازی EWS، حذف Exposure)
Visibility و DPI روی پروتکلهای صنعتی
دسترسی راهدور امن
مدیریت آسیبپذیری مبتنی بر ریسک، نه Patchکردن کور
🧑💻OT Sentinel🧑💻
سال 2025 نقطه انفجار تهدیدات صنعتی است، چون: شدت حملات بیسابقه شده است. حملات باجافزاری علیه OT ۸۷٪ رشد کرده و بیش از ۶۰٪ گروهها سراغ اهداف صنعتی رفتهاند. تولید با فاصله زیاد آسیبپذیرترین حوزه است. بازیگران جدید و متخصص OT وارد صحنه شدهاند. تهدیدات…
جمعبندی:
در 2025، حمله به صنعت «یک احتمال» نیست؛ یک قطعیت زمانی است.
سازمانها با تهدیدات واقعی در حال اجرا مواجهاند—نه سناریوهای فرضی.
در 2025، حمله به صنعت «یک احتمال» نیست؛ یک قطعیت زمانی است.
سازمانها با تهدیدات واقعی در حال اجرا مواجهاند—نه سناریوهای فرضی.
اجافزار باتنت ShadowV2
ShadowV2بهعنوان یک باتنت/بدافزار مبتنی بر IoT شناسایی شده که در بازه قطعی گسترده سرویسهای ابری AWS بهعنوان «فرصتی برای آزمایش» مورد استفاده قرار گرفته است. این تهدید، هم دستگاههای خانگی (روتر، DVR، NAS و غیره) و هم زیرساختهای سازمانی را هدف قرار میدهد.
مهاجمان با بهرهگیری از آسیبپذیریهای شناختهشده یا پسمانده در دستگاههای IoT، به آنها نفوذ کرده و بارگذاری اولیه بدافزار (loader) را انجام میدهند.
پس از نفوذ موفق، بدافزار اصلی از سرور کنترل (C2) دانلود میشود و دستگاه آلوده به عضوی از شبکه زامبیها تبدیل میگردد.
این ارتش زامبی امکان اجرای حملات گسترده از نوع DDoS (بر بستر پروتکلهای UDP، TCP و HTTP) را فراهم میکند — هم بهصورت مستقیم و هم بهعنوان سرویس اجارهای برای مجرمان دیگر.
تعداد زیادی از دستگاههای IoT در سطح خانگی و تجاری دارای بهروزسانی منظم نیستند یا به حالت End-of-Life رسیدهاند؛ این دستگاهها بیشترین آسیبپذیری را دارند.
بسیاری از این دستگاهها در شبکه داخلی مشترک قرار دارند؛ بنابراین در صورت آلوده شدن، امکان گسترش تهدید به بخشهای حساستر شبکه وجود دارد.
ShadowV2بهعنوان یک باتنت/بدافزار مبتنی بر IoT شناسایی شده که در بازه قطعی گسترده سرویسهای ابری AWS بهعنوان «فرصتی برای آزمایش» مورد استفاده قرار گرفته است. این تهدید، هم دستگاههای خانگی (روتر، DVR، NAS و غیره) و هم زیرساختهای سازمانی را هدف قرار میدهد.
مهاجمان با بهرهگیری از آسیبپذیریهای شناختهشده یا پسمانده در دستگاههای IoT، به آنها نفوذ کرده و بارگذاری اولیه بدافزار (loader) را انجام میدهند.
پس از نفوذ موفق، بدافزار اصلی از سرور کنترل (C2) دانلود میشود و دستگاه آلوده به عضوی از شبکه زامبیها تبدیل میگردد.
این ارتش زامبی امکان اجرای حملات گسترده از نوع DDoS (بر بستر پروتکلهای UDP، TCP و HTTP) را فراهم میکند — هم بهصورت مستقیم و هم بهعنوان سرویس اجارهای برای مجرمان دیگر.
تعداد زیادی از دستگاههای IoT در سطح خانگی و تجاری دارای بهروزسانی منظم نیستند یا به حالت End-of-Life رسیدهاند؛ این دستگاهها بیشترین آسیبپذیری را دارند.
بسیاری از این دستگاهها در شبکه داخلی مشترک قرار دارند؛ بنابراین در صورت آلوده شدن، امکان گسترش تهدید به بخشهای حساستر شبکه وجود دارد.
بحرانی که بسیاری از سازمانها نادیده میگیرند
گزارشهای جدید نشان میدهد که بخش بزرگی از سازمانها با وجود اتکای گسترده به هوش مصنوعی، سرویسهای ابری و اتوماسیون، هنوز در مهمترین حوزه امنیتی خود دچار کمبود هستند: محافظت از هویتها. امروز هویتهای ماشینی و سرویسها دهها برابر بیشتر از کاربران انسانی شدهاند و اغلب بدون نظارت کافی، دسترسیهای حساس را در اختیار دارند.
این رشد بیرویه هویتها، همراه با ساختارهای جدا افتاده مدیریت دسترسی، شکافهای بزرگی ایجاد کرده که مهاجمان از آن سوءاستفاده میکنند. برای مقابله، سازمانها باید هویت را بهصورت یکپارچه — انسان، ماشین و عاملهای خودکار — مدیریت کنند، دسترسیهای حساس را تحت کنترل متمرکز قرار دهند و رویکرد «امن از روز اول» را در پروژهها و سیستمهای جدید اجرا کنند.
گزارشهای جدید نشان میدهد که بخش بزرگی از سازمانها با وجود اتکای گسترده به هوش مصنوعی، سرویسهای ابری و اتوماسیون، هنوز در مهمترین حوزه امنیتی خود دچار کمبود هستند: محافظت از هویتها. امروز هویتهای ماشینی و سرویسها دهها برابر بیشتر از کاربران انسانی شدهاند و اغلب بدون نظارت کافی، دسترسیهای حساس را در اختیار دارند.
این رشد بیرویه هویتها، همراه با ساختارهای جدا افتاده مدیریت دسترسی، شکافهای بزرگی ایجاد کرده که مهاجمان از آن سوءاستفاده میکنند. برای مقابله، سازمانها باید هویت را بهصورت یکپارچه — انسان، ماشین و عاملهای خودکار — مدیریت کنند، دسترسیهای حساس را تحت کنترل متمرکز قرار دهند و رویکرد «امن از روز اول» را در پروژهها و سیستمهای جدید اجرا کنند.
بدافزار GlassWorm در سومین موج حملات خود، با آلودهسازی افزونههای VS Code و نسخههای متنباز آن، محیط توسعه را هدف قرار داده است. مهاجمان افزونههای بهظاهر عادی را منتشر میکنند و پس از نصب، کد مخرب پنهانشده با تکنیکهای یونی کد نامرئی فعال میشود.
این بدافزار پس از اجرا اقدام به سرقت توکنها، رمزها و کلیدهای توسعه، ایجاد دسترسی راهدور و حرکت جانبی در شبکه میکند. GlassWorm همچنین با استفاده از حسابهای سرقتشده توسعهدهندگان، نسخههای آلوده جدید منتشر میکند و بهصورت زنجیرهای گسترش مییابد.
توصیهها: بازبینی افزونههای نصبشده، حذف موارد ناشناخته، چرخش اعتبارنامهها، محدودسازی نصب افزونهها در سازمان و پایش رفتار غیرعادی سیستم و شبکه.
این بدافزار پس از اجرا اقدام به سرقت توکنها، رمزها و کلیدهای توسعه، ایجاد دسترسی راهدور و حرکت جانبی در شبکه میکند. GlassWorm همچنین با استفاده از حسابهای سرقتشده توسعهدهندگان، نسخههای آلوده جدید منتشر میکند و بهصورت زنجیرهای گسترش مییابد.
توصیهها: بازبینی افزونههای نصبشده، حذف موارد ناشناخته، چرخش اعتبارنامهها، محدودسازی نصب افزونهها در سازمان و پایش رفتار غیرعادی سیستم و شبکه.
👍2
انتشار نسخه رسمی ۲۰۲۵ چیتشیت امنیت ICS/OT
🛡️✨ این سند نتیجهی ماهها تحلیل، بررسی تهدیدات نوظهور و تجربهی عملی در محیطهای صنعتی است.
در این نسخه، ۱۶ تهدید کلیدی سال ۲۰۲۵ همراه با مجموعهای از دفاعهای ترکیبی مبتنی بر فناوریهای کوانتومی و هوشمصنوعی ارائه شدهاند؛ راهکارهایی کاملاً کاربردی و قابلپیادهسازی در شبکههای OT/ICS، صنایع انرژی، نفتوگاز، تولید و سایر زیرساختهای حیاتی.
محتوای چیتشیت شامل موارد زیر است:
• تهدیدات USB، دستکاری firmware و حملات spoofing
• راهکارهای مقاوم در برابر تهدیدات کوانتومی (PQC)
• کاربردهای هوشمصنوعی در تشخیص ناهنجاری و محافظت از تجهیزات legacy
• تحلیل دفاعی در برابر بدافزارهای مولد و حملات مبتنی بر deepfake
• ساختار Zero-Trust ویژه محیطهای OT
• راهکارهای عملی برای بازیابی پس از حملات ransomware صنعتی
• و مجموعهای از قوانین CTL برای اعتبارسنجی رسمی معماری امنیتی
این نسخه از معدود منابعی است که بهصورت یکپارچه
Quantum Security و AI-driven Defense
را برای حوزهی امنیت صنعتی ترکیب میکند.
🛡️✨ این سند نتیجهی ماهها تحلیل، بررسی تهدیدات نوظهور و تجربهی عملی در محیطهای صنعتی است.
در این نسخه، ۱۶ تهدید کلیدی سال ۲۰۲۵ همراه با مجموعهای از دفاعهای ترکیبی مبتنی بر فناوریهای کوانتومی و هوشمصنوعی ارائه شدهاند؛ راهکارهایی کاملاً کاربردی و قابلپیادهسازی در شبکههای OT/ICS، صنایع انرژی، نفتوگاز، تولید و سایر زیرساختهای حیاتی.
محتوای چیتشیت شامل موارد زیر است:
• تهدیدات USB، دستکاری firmware و حملات spoofing
• راهکارهای مقاوم در برابر تهدیدات کوانتومی (PQC)
• کاربردهای هوشمصنوعی در تشخیص ناهنجاری و محافظت از تجهیزات legacy
• تحلیل دفاعی در برابر بدافزارهای مولد و حملات مبتنی بر deepfake
• ساختار Zero-Trust ویژه محیطهای OT
• راهکارهای عملی برای بازیابی پس از حملات ransomware صنعتی
• و مجموعهای از قوانین CTL برای اعتبارسنجی رسمی معماری امنیتی
این نسخه از معدود منابعی است که بهصورت یکپارچه
Quantum Security و AI-driven Defense
را برای حوزهی امنیت صنعتی ترکیب میکند.
❤2
Ctl Cheatsheet ICS OT.pdf
44.8 KB
انتشار این چیتشیت برای من تنها یک خروجی فنی نیست؛
بلکه نقطهای است که سالها تلاش، مطالعه، کار میدانی و تجربهی واقعی در حوزهی امنیت ICS/OT در آن جمع شده است.
این نسخه حاصل مسیری طولانی از حضور در پروژههای صنعتی، تحلیل تهدیدات نوظهور، بررسی چالشهای تجهیزات legacy، و درک عمیق از نیازهای امنیتی زیرساختهای حیاتی است؛
مسیری که هر مرحلهاش با یادگیری، آزمون، خطا و ارتقای دیدگاه همراه بوده.
چیتشیت ۲۰۲۵ ترکیبی از دانش فنی، تجربه میدانی و نگاه آیندهمحور است:
از امنیت شبکههای صنعتی و کنترل فرایند گرفته تا بهرهگیری از دفاعهای مبتنی بر هوشمصنوعی و فناوریهای مقاوم کوانتومی.
هدف این سند، ارائهی مجموعهای قابل اتکا برای متخصصان، مهندسان و مدیرانی است که میخواهند با دید بازتر و دقیقتر به امنیت OT نگاه کنند.
این انتشار برای من تنها یک «مستند» نیست؛
خلاصهای است از سالها کار، یادگیری و تعهد به ارتقای امنیت صنعتی—
و نقطهای برای شروع مسیرهای بزرگتر در ادامه
بلکه نقطهای است که سالها تلاش، مطالعه، کار میدانی و تجربهی واقعی در حوزهی امنیت ICS/OT در آن جمع شده است.
این نسخه حاصل مسیری طولانی از حضور در پروژههای صنعتی، تحلیل تهدیدات نوظهور، بررسی چالشهای تجهیزات legacy، و درک عمیق از نیازهای امنیتی زیرساختهای حیاتی است؛
مسیری که هر مرحلهاش با یادگیری، آزمون، خطا و ارتقای دیدگاه همراه بوده.
چیتشیت ۲۰۲۵ ترکیبی از دانش فنی، تجربه میدانی و نگاه آیندهمحور است:
از امنیت شبکههای صنعتی و کنترل فرایند گرفته تا بهرهگیری از دفاعهای مبتنی بر هوشمصنوعی و فناوریهای مقاوم کوانتومی.
هدف این سند، ارائهی مجموعهای قابل اتکا برای متخصصان، مهندسان و مدیرانی است که میخواهند با دید بازتر و دقیقتر به امنیت OT نگاه کنند.
این انتشار برای من تنها یک «مستند» نیست؛
خلاصهای است از سالها کار، یادگیری و تعهد به ارتقای امنیت صنعتی—
و نقطهای برای شروع مسیرهای بزرگتر در ادامه
❤6
به زودی یک دورهٔ کامل، جامع و دقیق در حوزهٔ امنیت سیستمهای کنترل صنعتی و شبکههای OT با محوریت شناسایی، مپسازی و تحلیل تهدیدات، و همچنین بررسی آناتومی محصولات SIEM/NDR/XDR در محیطهای ICS/SCADA ضبط خواهم کرد. در این دوره تلاش میکنم پروندهی اطلاعات نادرست، آموزشهای ضعیف و برداشتهای اشتباه از امنیت صنعتی را برای همیشه ببندم و یک استاندارد واقعی در این حوزه ایجاد کنم.
تمام روند یادگیری با محوریت Elastic و Splunk در بسترهای صنعتی طراحی شده تا با معماری، جریانهای ترافیک، پروتکلها، تهدیدات و چالشهای واقعی OT از صفر تا سطح پیشرفته آشنا شوید. این دوره، پایه و مکمل دورههای آینده InduShield Cyber Lab خواهد بود تا یک مسیر حرفهای و منسجم در امنیت صنعتی شکل بگیرد.
همچنین دورههای دیگر مانند درایورنویسی صنعتی، ماژولنویسی OT، G-AI و ... نیز طراحی شدهاند و بهصورت مرحلهبهمرحله منتشر خواهند شد تا یک مسیر جامع یادگیری در اختیار علاقهمندان و متخصصان قرار گیرد.
اگر نظری یا پیشنهادی دارید، خوشحال میشوم در پیام خصوصی ارسال کنید. هدف این است که دورهی Blue Team صنعتی به شکلی ضبط شود که تمام نیازهای عملیاتی و فنی محیطهای ICS/OT را پوشش دهد. نقشهٔ راه فعلی شامل حدود ۲۷۴ ویدیو است که از تحلیل ساختار و مهندسی ELK در محیطهای OT آغاز شده و مرحلهبهمرحله وارد مباحث حیاتی امنیت صنعتی میشود. با این حال، از پیشنهادات ارزشمند شما استقبال میکنم.
بهزودی خبرهای جذاب و مهمی از InduShield Cyber Lab منتشر خواهم کرد — کار اصولی همیشه نتیجه داده است.
تمام روند یادگیری با محوریت Elastic و Splunk در بسترهای صنعتی طراحی شده تا با معماری، جریانهای ترافیک، پروتکلها، تهدیدات و چالشهای واقعی OT از صفر تا سطح پیشرفته آشنا شوید. این دوره، پایه و مکمل دورههای آینده InduShield Cyber Lab خواهد بود تا یک مسیر حرفهای و منسجم در امنیت صنعتی شکل بگیرد.
همچنین دورههای دیگر مانند درایورنویسی صنعتی، ماژولنویسی OT، G-AI و ... نیز طراحی شدهاند و بهصورت مرحلهبهمرحله منتشر خواهند شد تا یک مسیر جامع یادگیری در اختیار علاقهمندان و متخصصان قرار گیرد.
اگر نظری یا پیشنهادی دارید، خوشحال میشوم در پیام خصوصی ارسال کنید. هدف این است که دورهی Blue Team صنعتی به شکلی ضبط شود که تمام نیازهای عملیاتی و فنی محیطهای ICS/OT را پوشش دهد. نقشهٔ راه فعلی شامل حدود ۲۷۴ ویدیو است که از تحلیل ساختار و مهندسی ELK در محیطهای OT آغاز شده و مرحلهبهمرحله وارد مباحث حیاتی امنیت صنعتی میشود. با این حال، از پیشنهادات ارزشمند شما استقبال میکنم.
بهزودی خبرهای جذاب و مهمی از InduShield Cyber Lab منتشر خواهم کرد — کار اصولی همیشه نتیجه داده است.
🔥3❤1
عصر طلایی سایبر در سامانههای کنترل صنعتی ایران
همانطور که پیشتر گفته بودم، اگر برای فضای هک و امنیت ایران یک عصر طلایی قائل باشیم، برای حوزهٔ امنیت سیستمهای کنترل صنعتی و شبکههای SCADA شاید بتوان دورهی بین ۲۰۰۸ تا ۲۰۱۶ را یکی از جنجالیترین و تأثیرگذارترین مقاطع دانست؛ زمانی که بسیاری از متخصصان امنیت تازه فهمیدند زیر لایهی فناوریهای دفاعی و هستهای کشور، چه معماری پیچیدهای در حال کار است و حملات سایبر چگونه میتوانند بهجای کامپیوترهای شخصی، سانتریفیوژ، ژنراتور، PLC و حتی سامانههای فرماندهی را هدف قرار دهند.
در آن سالها دنیا هنوز در شوک روشهای جدید نفوذ به سیستمهای صنعتی بود. بیشتر متخصصان امنیت بهصورت سنتی روی شبکههای IT، بدافزارهای معمول، باگهای نرمافزاری یا حملات وب تمرکز داشتند. اما کمکم مشخص شد که جنگ سایبری تنها یک شوخی نیست؛ بلکه میتواند به لایههای فیزیکی و زیرساختی کشورها نفوذ کند و نهتنها داده، بلکه رفتار یک ماشین واقعی را تغییر دهد.
همانطور که پیشتر گفته بودم، اگر برای فضای هک و امنیت ایران یک عصر طلایی قائل باشیم، برای حوزهٔ امنیت سیستمهای کنترل صنعتی و شبکههای SCADA شاید بتوان دورهی بین ۲۰۰۸ تا ۲۰۱۶ را یکی از جنجالیترین و تأثیرگذارترین مقاطع دانست؛ زمانی که بسیاری از متخصصان امنیت تازه فهمیدند زیر لایهی فناوریهای دفاعی و هستهای کشور، چه معماری پیچیدهای در حال کار است و حملات سایبر چگونه میتوانند بهجای کامپیوترهای شخصی، سانتریفیوژ، ژنراتور، PLC و حتی سامانههای فرماندهی را هدف قرار دهند.
در آن سالها دنیا هنوز در شوک روشهای جدید نفوذ به سیستمهای صنعتی بود. بیشتر متخصصان امنیت بهصورت سنتی روی شبکههای IT، بدافزارهای معمول، باگهای نرمافزاری یا حملات وب تمرکز داشتند. اما کمکم مشخص شد که جنگ سایبری تنها یک شوخی نیست؛ بلکه میتواند به لایههای فیزیکی و زیرساختی کشورها نفوذ کند و نهتنها داده، بلکه رفتار یک ماشین واقعی را تغییر دهد.
🧑💻OT Sentinel🧑💻
عصر طلایی سایبر در سامانههای کنترل صنعتی ایران همانطور که پیشتر گفته بودم، اگر برای فضای هک و امنیت ایران یک عصر طلایی قائل باشیم، برای حوزهٔ امنیت سیستمهای کنترل صنعتی و شبکههای SCADA شاید بتوان دورهی بین ۲۰۰۸ تا ۲۰۱۶ را یکی از جنجالیترین و تأثیرگذارترین…
🔥 جرقهٔ روایت: زمانی که یک مهندس امنیت راه جدیدی پیدا کرد
در همان دوره، در جامعهٔ امنیت ایران یک متخصص نسبتاً گمنام وجود داشت — فردی که بهدلیل توانایی عجیبش در مهندسی معکوس پروتکلهای صنعتی و تجهیزات PLC بین حلقههای کوچک معروف شده بود. نامش در محافل به صورت مستعار مطرح میشد، اما همه میدانستند زادهٔ شرق کشور است و سالها روی سیستمهای کنترل صنعتی کار کرده است.
او برای اینکه بفهمد سیستمهای دفاعی چگونه با PLCها، HMIها و کنترلرهای میدانی ارتباط برقرار میکنند، مجبور شد پروتکلهای اختصاصی را مهندسی معکوس کند — چیزهایی که معمولاً فقط سازندگان بزرگ مثل Siemens یا Honeywell از جزئیاتش خبر دارند.
همین کنجکاوی باعث شد متوجه شود بسیاری از تجهیزاتی که در صنایع حساس استفاده میشوند:
گذرواژهها و کلیدهای ارتباطی را در حافظهٔ دستگاه ذخیره میکنند،
بخشی از ارتباطات بدون احراز هویت قوی انجام میشود،
و حتی پروتکلهای حیاتی فاقد رمزنگاری سراسری هستند.
🔥 نسخهٔ اولیهٔ ابزار او
نسخهٔ نخست ابزاری که او ساخت بسیار ساده بود. کافی بود دستگاه یا کنسول مهندسی یک PLC آلوده شود؛ ابزار او تنظیمات و credentialهای ارتباطی را مستقیماً از رجیستری یا فایلهای پیکربندی کنترلر استخراج میکرد. در آن زمان همین قابلیت برای شناسایی ضعفهای امنیتی یک شبکه کافی بود.
اما سؤال مهم این بود:
اگر گذرواژه در سیستم ذخیره نشده باشد، چطور میتوان رفتار کنترلر را تحلیل کرد؟
🔥 انقلاب نسخهٔ بعدی
در نسخهٔ 1.5، ماجرا وارد سطحی شد که هنوز هم بین متخصصان ICS دربارهاش صحبت میشود. او ابزار خود را بهگونهای توسعه داد که:
مستقیماً به پروسس نرمافزار مهندسی تزریق میشد،
مقداردهیهای زندهٔ PLC را از RAM میخواند،
ترافیک پروتکل صنعتی مانند S7، Modbus یا DNP3 را در لحظه مانیتور میکرد.
در آن زمان بسیاری از سیستمها COM Object یا APIهای کنترل صنعتی داشتند که برنامهها میتوانستند بدون محدودیت از آنها استفاده کنند. ابزار او بعد از استخراج دادهها یک session مهندسی جعلی میساخت و دادههای حیاتی مانند پیکربندی یا behavior logic کنترلر را برای تیم امنیت مرکزی ارسال میکرد تا تحلیل کنند.
سال ۲۰۱۰ این کارها را انجام دادند — سالی که بسیاری از متخصصان جهان هنوز مفهوم
ICS Malware، OT Security و Supply Chain Attack
را درک نکرده بودند.
🔥 چرا هنوز دربارهاش صحبت میشود؟
چون این یک نمونهٔ واقعی از هوش، خلاقیت، و شهامت مهندسی امنیت صنعتی در ایران بود.
نه با هدف تخریب، بلکه برای شناخت ضعفها قبل از آنکه دشمن آن ضعفها را کشف کند.
این اتفاق نقطهای بود که بسیاری فهمیدند:
جنگ سایبری با جنگ نرمافزاری تفاوت دارد؛ اینجا اشتباه یعنی انفجار، تخریب فیزیکی یا فلج شدن یک سامانهٔ حیاتی.
و هنوز هم بعد از گذشت سالها، نام آن ابزار و سازندهاش در محافل امنیت OT بهعنوان یکی از «نبوغهای خاموش» تکرار میشود
در همان دوره، در جامعهٔ امنیت ایران یک متخصص نسبتاً گمنام وجود داشت — فردی که بهدلیل توانایی عجیبش در مهندسی معکوس پروتکلهای صنعتی و تجهیزات PLC بین حلقههای کوچک معروف شده بود. نامش در محافل به صورت مستعار مطرح میشد، اما همه میدانستند زادهٔ شرق کشور است و سالها روی سیستمهای کنترل صنعتی کار کرده است.
او برای اینکه بفهمد سیستمهای دفاعی چگونه با PLCها، HMIها و کنترلرهای میدانی ارتباط برقرار میکنند، مجبور شد پروتکلهای اختصاصی را مهندسی معکوس کند — چیزهایی که معمولاً فقط سازندگان بزرگ مثل Siemens یا Honeywell از جزئیاتش خبر دارند.
همین کنجکاوی باعث شد متوجه شود بسیاری از تجهیزاتی که در صنایع حساس استفاده میشوند:
گذرواژهها و کلیدهای ارتباطی را در حافظهٔ دستگاه ذخیره میکنند،
بخشی از ارتباطات بدون احراز هویت قوی انجام میشود،
و حتی پروتکلهای حیاتی فاقد رمزنگاری سراسری هستند.
🔥 نسخهٔ اولیهٔ ابزار او
نسخهٔ نخست ابزاری که او ساخت بسیار ساده بود. کافی بود دستگاه یا کنسول مهندسی یک PLC آلوده شود؛ ابزار او تنظیمات و credentialهای ارتباطی را مستقیماً از رجیستری یا فایلهای پیکربندی کنترلر استخراج میکرد. در آن زمان همین قابلیت برای شناسایی ضعفهای امنیتی یک شبکه کافی بود.
اما سؤال مهم این بود:
اگر گذرواژه در سیستم ذخیره نشده باشد، چطور میتوان رفتار کنترلر را تحلیل کرد؟
🔥 انقلاب نسخهٔ بعدی
در نسخهٔ 1.5، ماجرا وارد سطحی شد که هنوز هم بین متخصصان ICS دربارهاش صحبت میشود. او ابزار خود را بهگونهای توسعه داد که:
مستقیماً به پروسس نرمافزار مهندسی تزریق میشد،
مقداردهیهای زندهٔ PLC را از RAM میخواند،
ترافیک پروتکل صنعتی مانند S7، Modbus یا DNP3 را در لحظه مانیتور میکرد.
در آن زمان بسیاری از سیستمها COM Object یا APIهای کنترل صنعتی داشتند که برنامهها میتوانستند بدون محدودیت از آنها استفاده کنند. ابزار او بعد از استخراج دادهها یک session مهندسی جعلی میساخت و دادههای حیاتی مانند پیکربندی یا behavior logic کنترلر را برای تیم امنیت مرکزی ارسال میکرد تا تحلیل کنند.
سال ۲۰۱۰ این کارها را انجام دادند — سالی که بسیاری از متخصصان جهان هنوز مفهوم
ICS Malware، OT Security و Supply Chain Attack
را درک نکرده بودند.
🔥 چرا هنوز دربارهاش صحبت میشود؟
چون این یک نمونهٔ واقعی از هوش، خلاقیت، و شهامت مهندسی امنیت صنعتی در ایران بود.
نه با هدف تخریب، بلکه برای شناخت ضعفها قبل از آنکه دشمن آن ضعفها را کشف کند.
این اتفاق نقطهای بود که بسیاری فهمیدند:
جنگ سایبری با جنگ نرمافزاری تفاوت دارد؛ اینجا اشتباه یعنی انفجار، تخریب فیزیکی یا فلج شدن یک سامانهٔ حیاتی.
و هنوز هم بعد از گذشت سالها، نام آن ابزار و سازندهاش در محافل امنیت OT بهعنوان یکی از «نبوغهای خاموش» تکرار میشود
❤1
بعد از ماهها تحقیق، طراحی و مهندسی، موفق شدم ششمین نسخهٔ تکاملیافته از چارچوب متنباز و شبیهساز یکپارچهی انبارداری و تولید صنعتی را توسعه بدهم؛ یک زیرساخت استاندارد که برای توسعه، تست، مدلسازی و شبیهسازی سیستمهای لجستیک، اتوماسیون صنعتی، خطوط تولید، جابجایی مواد و مدیریت انبار طراحی شده است — کاملاً آزاد، رایگان و قابل توسعه برای همهٔ توسعهدهندگان، پژوهشگران و تیمهای مهندسی.
این پروژه حاصل ترکیب تجربهام در سیستمهای کنترل صنعتی (ICS/OT)، طراحی شبیهسازهای رویدادمحور، توسعه نرمافزارهای صنعتی، و معماری سیستمهای هوشمند است. هدف این بوده که محدودیتهای ابزارهای تجاری — مانند عدم امکان توسعهپذیری، هزینههای بالا، عدم شفافیت در مدلسازی و ناتوانی در اتصال به سیستمهای واقعی — برای همیشه برطرف شود.
این پروژه حاصل ترکیب تجربهام در سیستمهای کنترل صنعتی (ICS/OT)، طراحی شبیهسازهای رویدادمحور، توسعه نرمافزارهای صنعتی، و معماری سیستمهای هوشمند است. هدف این بوده که محدودیتهای ابزارهای تجاری — مانند عدم امکان توسعهپذیری، هزینههای بالا، عدم شفافیت در مدلسازی و ناتوانی در اتصال به سیستمهای واقعی — برای همیشه برطرف شود.
❤3