افزایش فعالیت‌های شناسایی سایبری در ایران؛ نشانه‌هایی از آماده‌سازی برای حملات هدفمند در آینده نزدیک

به گزارش سیتنا، بررسی رفتارهای مشاهده‌شده در سطح شبکه طی ۲۴ ساعت گذشته نشان می‌دهد بخش قابل‌توجهی از فعالیت‌های مشکوک، نه در قالب حملات مخرب مستقیم، بلکه در قالب Reconnaissance و Asset Discovery بوده است. این مرحله در چرخه حملات سایبری به‌عنوان فاز ابتدایی «آماده‌سازی عملیات» شناخته می‌شود.

در این بازه، حجم بالایی از اسکن‌های خودکار روی سرویس‌های در معرض اینترنت مشاهده شده است؛ به‌ویژه روی پورت‌ها و سرویس‌هایی که معمولاً دروازه ورود به شبکه‌های سازمانی محسوب می‌شوند، از جمله VPNها، SSH و RDP. این الگو معمولاً نشان‌دهنده تلاش برای شناسایی نسخه‌های نرم‌افزاری، پیکربندی‌های ضعیف یا سرویس‌های بدون وصله امنیتی است.

آنچه این رفتار را مهم‌تر می‌کند، پیوستگی و هدف‌گیری سازمانی آن است. برخلاف اسکن‌های تصادفی اینترنتی، بخشی از این فعالیت‌ها دارای الگوی تکرارشونده و متمرکز روی زیرساخت‌های حساس (مانند گیت‌وی‌های سازمانی و سرویس‌های بانکی) بوده است؛ موضوعی که معمولاً با فاز «pre-exploitation intelligence gathering» هم‌راستا است.

در چنین سناریوهایی، مهاجم ابتدا نقشه‌ای از سطح حمله (attack surface) ترسیم می‌کند، سپس در مرحله بعدی با استفاده از آسیب‌پذیری‌های شناخته‌شده یا تنظیمات ضعیف، اقدام به نفوذ محدود یا دسترسی اولیه می‌کند. این فرایند می‌تواند از چند ساعت تا چند روز یا حتی چند هفته ادامه داشته باشد.

در همین حال، برخلاف موج‌های DDoS که معمولاً اثر فوری و قابل مشاهده دارند، فعالیت‌های فعلی ماهیت خاموش و جمع‌آورانه دارند و هدف آن‌ها ایجاد اختلال نیست، بلکه آماده‌سازی برای دسترسی پایدارتر و دقیق‌تر در آینده است.

در جمع‌بندی امنیتی، می‌توان گفت وضعیت فعلی در ایران بیشتر با یک فاز پیش‌حمله (pre-attack phase) هم‌خوانی دارد تا یک حمله فعال. این فاز معمولاً زمانی دیده می‌شود که مهاجمان در حال انتخاب اهداف نهایی و بررسی نقاط ورود کم‌ریسک‌تر هستند.

در چنین شرایطی، تمرکز تیم‌های دفاعی معمولاً روی:

* سخت‌سازی VPN و دسترسی‌های راه دور
* بستن سرویس‌های expose شده
* پایش logهای غیرعادی
* و تشخیص رفتارهای اسکن تکرارشونده

قرار می‌گیرد، زیرا همین مرحله تعیین می‌کند حمله احتمالی آینده چقدر موفق یا محدود خواهد بود.

انتهای پیام