«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

نگار علی- سال‌های ۱۴۰۲ و ۱۴۰۳، به گواه داده‌های دقیق تحلیلگران سایبری، دوران تحول بنیادی در چشم‌انداز تهدیدات ایران بود. میدان نبرد دیجیتال از حملات پنهان و تک‌بعدی خارج شده و وارد فاز یک جنگ چندوجهی و استراتژیک شد که در آن بازیگران پیشرفته سازمان‌یافته، گروه‌های هکتیویستی و باندهای مجرمانه مالی، همگی با تکنیک‌های نوظهور (از جمله هوش مصنوعی مولد) به عملیات پرداختند. این گزارش تحلیلی، بر اساس ارزیابی‌های اطلاعات تهدیدات سایبری، ابعاد این دگردیسی را در اهداف حملات، بازیگران اصلی و بخش‌های حیاتی مورد هدف قرار گرفته، ترسیم می‌کند.

دگرگونی در روش‌ها: «شرم عمومی» در صدر حملات

روند حملات سایبری در سال ۱۴۰۳ نشان می‌دهد که مهاجمان از سرقت‌های پنهان داده‌ها دست کشیده و به سمت روش‌هایی با بیشترین اثرگذاری عمومی و تخریبی گرایش پیدا کرده‌اند.

خداحافظی هکرها با سرقت پنهان: نشت داده، اولویت اول

تحلیل آمار حملات نشان می‌دهد که «نشت داده» (Data Breach) به رایج‌ترین روش حمله تبدیل شده و سهم آن در سال ۱۴۰۳ به ۴۷.۸۳ درصد افزایش یافت. این جهش، نشان‌دهنده اعتماد فزاینده مهاجمان به توانایی نفوذ و تمایل آن‌ها به افشای عمومی داده‌های حساس برای ایجاد رسوایی یا فشار سیاسی است.

در مقابل، حملات «سرقت داده» (Data Theft) که با هدف پنهانی دنبال می‌شد، با کاهشی چشمگیر، از ۳۹.۱۳ درصد در سال ۱۴۰۲ به تنها ۱۷.۳۹ درصد در سال ۱۴۰۳ رسید.

افزایش دو برابری باج‌افزار و تخریب زیرساخت‌ها

در کنار نشت داده، حملات باج‌افزار (Ransomware) نیز تقریباً دو برابر شد و سهم آن از ۸.۷۰ درصد در سال ۱۴۰۲ به ۱۷.۳۹ درصد در سال ۱۴۰۳ رسید. این امر نشان می‌دهد که باج‌افزار اکنون به ابزاری رایج برای کسب درآمد و سرقت داده‌های باارزش سازمان‌های ایرانی تبدیل شده است.

حملات با هدف تخریب و پاک‌سازی داده (Data Wipe) و اختلال شبکه (Network Disruption) هرکدام دو تا سه برابر افزایش یافتند، که سیگنالی واضح از افزایش انگیزه‌های تخریبی و بی‌ثبات‌سازی در فضای سایبری است.

سه جبهه جنگ: APT، هکتیویست و مجرم سایبری

بازیگران تهدید در ایران به سه دسته مشخص تقسیم می‌شوند که هر کدام با انگیزه‌ها و ابزارهای متمایز، عملیات خود را پیش می‌برند:

APTها: جاسوسی زیر سایه ژئوپلیتیک

گروه‌های تهدید پیشرفته و مستمر (APT) که اغلب از سازمان‌یافته هستند، اهداف ژئوپلیتیک و استراتژیک را دنبال می‌کنند. هدف اصلی این گروه‌ها جاسوسی (۲۳.۹۶٪) و خرابکاری (۴.۱۷٪) در زیرساخت‌های حیاتی کشور است. سهم این گروه‌ها از کل حملات گزارش‌شده در سال ۱۴۰۳ تقریباً سه برابر شد. APTها با استفاده از تکنیک‌های پیچیده، نهادهای دولتی، انرژی و ارتباطات راه دور را هدف قرار داده‌اند تا به داده‌های استراتژیک و اطلاعات داخلی دست یابند.

هکتیویست‌ها: ایدئولوژی پشت دیوار نشت داده

هکتیویست‌ها بازیگرانی با انگیزه‌های سیاسی و ایدئولوژیک هستند که به دنبال جلب توجه عمومی و ایجاد رسوایی‌اند. حملات نشت داده (Data Leak) با سهم ۴۷.۸۳٪، مهم‌ترین ابزار آن‌هاست. گروه‌هایی مانند Prana Network، Black Reward و Edaalate Ali با تمرکز بر افشای اطلاعات دولتی و سازمانی، به دنبال بی‌ثبات‌سازی هستند. این گروه‌ها همچنین از باج‌خواهی (با انگیزه‌های ایدئولوژیک) و تخریب وب‌سایت (Defacement) استفاده می‌کنند.

مجرمان سایبری: از باج‌افزار LockBit تا پیام‌های BEC هوش مصنوعی

مجرمان سایبری عمدتاً با اهداف مالی در این صحنه حضور دارند و برای کسب درآمد از باج‌افزارها و سرقت اطلاعات استفاده می‌کنند.

• باج‌افزار و سرقت اطلاعات: باج‌خواهی با سهم ۱۷.۳۹٪، ابزار اصلی آن‌هاست و گروه‌هایی مانند LockBit ۳.۰، Rhysida و Stormous در این زمینه فعال بوده‌اند. همچنین، سرقت اطلاعات حیاتی کاربران (Info-Stealer) مانند رمزهای عبور و سوابق مرورگر، سهمی ۷.۲۹ درصدی در اهداف تهدید داشته است (مانند استفاده از بدافزار StealC در برنامه‌هایی مانند SnappFood).

• بهره‌گیری از هوش مصنوعی: مجرمان سایبری به طور فزاینده‌ای از ابزارهای هوش مصنوعی مولد (GenAI) برای تسهیل حملات مالی استفاده می‌کنند. این شامل تولید پیام‌های قانع‌کننده و واقع‌گرایانه برای حملات سازش ایمیل تجاری (BEC) و ساخت دیپ‌فیک‌های صوتی و تصویری برای کلاهبرداری‌های پیشرفته است.

تغییر استراتژیک: چرا دولت و آموزش جایگزین «فناوری» شدند؟

در سال ۱۴۰۳، مهاجمان به‌طور استراتژیک اهداف خود را تغییر دادند. بخش فناوری که در سال ۱۴۰۲ با سهم ۳۷.۵۰٪ هدف اصلی بود، در سال ۱۴۰۳ سهم حملات آن به ۱۴.۲۹٪ کاهش یافت.

تمرکز مهاجمان به شدت به سمت نهادهای دولتی و حیاتی چرخید:

1. دولت (Government): با ۲۳.۸۱ درصد از کل حملات، در سال ۱۴۰۳ به هدف اصلی تبدیل شد. این روند نشان‌دهنده اولویت بالای مهاجمان برای دسترسی به داده‌های حاکمیتی و اطلاعات استراتژیک است.

2. آموزش (Education): این بخش شاهد یک جهش نگران‌کننده بود و سهم حملات آن از ۴.۶۹٪ در سال ۱۴۰۲ به ۱۹.۰۵ درصد در سال ۱۴۰۳ رسید. این افزایش نشان‌دهنده تلاش مهاجمان برای نفوذ به شبکه‌های دانشگاهی و سازمانی مرتبط است.

3. تولید و دفاع: بخش‌های تولید (۱۷.۱۴٪) و دفاع (۸.۳۳٪) نیز همچنان در کانون توجه باقی ماندند.

این تغییر، نشان‌دهنده آن است که مهاجمان (APTها و هکتیویست‌ها) داده‌های دولتی و نهادهای حیاتی را در اولویت قرار داده‌اند تا به اطلاعات حساس‌تر و با ارزش سیاسی و استراتژیک بالا دست یابند.

داده‌های ۱۴۰۲ و ۱۴۰۳ تأیید می‌کنند که فضای سایبری ایران اکنون صحنه یک جنگ با جبهه‌های متعدد است؛ جنگی که در آن انگیزه‌های مالی و ایدئولوژیک با هم تلاقی کرده‌اند. باج‌افزار به ابزاری دوگانه تبدیل شده و هکتیویست‌ها با نشت داده، به دنبال بی‌ثبات‌سازی عمومی هستند.

افزایش تمرکز بر نهادهای دولتی و بخش آموزش نشان می‌دهد که مهاجمان برای دستیابی به داده‌های استراتژیک، مسیر جدیدی را برگزیده‌اند. در چنین فضایی، سازمان‌ها نیازمند درک عمیق از این بازیگران و بازبینی استراتژی‌های دفاعی خود در برابر حملات چندوجهی و پرفریب‌اند.

۲۲۷۲۲۷