حمله به زیرساختهای ارتباطی در لایههای پنهان جنگ
شرکت ارتباطات زیرساخت ایران در ۳۰ روز گذشته، بیش از ۶۱ هزار حمله DDoS را شناسایی و دفع کرده است. این حجم حمله ناشی از ترافیک مخرب بزرگی بوده که حدود ۸ هزار میلیارد بسته و بالغ بر ۸.۷ پتابایت داده را در خود جای داده است.
آمار تهدیدات در مرکز اسکرابینگ شرکت ارتباطات زیرساخت طی یکماه گذشته، نشاندهنده شدت و وسعت حملات سایبری هدفمند به زیرساختهای حیاتی کشور است. این اعداد به اندازه کافی بزرگ هستند اما عمق این حملات وقتی مشخص میشود که میبینیم در میان این تهدیدات حملهای به ابعاد ۳۸۸ گیگابیت بر ثانیه بوده است. در کنار این حجم، نرخ ۱۵۸ میلیون بسته در ثانیه در حالت بیشینه ثبت شده که نشاندهنده پیچیدگی این حملات است.
حملات سایبری از زمان آغاز تجاوز اسرائیل به خاک ایران به طرز چشمگیری تشدید شدهاند. این تهدیدات، تکامل جنگ سایبری از جاسوسی سنتی به حملات مالی مخرب و هدف قرار دادن زیرساختهای حیاتی را نشان میدهد.
گزارش شرکت زیرساخت
پراکندگی نوع پروتکلها نمایانگر ساختار حملات است: حدود ۷۹.۵درصد حملات بر پایه UDP و مابقی بر بستر TCP انجامشدهاند، استفاده از پروتکلهای ICMP و IP تقریباً صفر درصد بوده است. این الگو با محوریت UDP در حملات هماهنگ است، چرا که حملات UDP معمولاً کمهزینه اما بسیار مؤثر هستند. بررسی شدت حملات نیز نشان میدهد بیش از ۵۶ درصد از حملات حجم کمتر از ۲ گیگابیت بر ثانیه داشتهاند همچنین یکی از این حملات به مدت تقریبی ۲۴ ساعت طول کشیده که نشاندهنده استمرار و پایداری عجیب در اجرای حمله است.
از نظر نوع و تکنیک، حملات “UDP NULL” با سهم ۵۹.۵۳٪ غالب هستند. پس از آن “DNS Amplification” با حدود ۱۵٪ و “TCP Malformed” با ۱۴٪ در جایگاههای بعدی قرار دارند. حملاتی با تکنیکهایی نظیر ACK Flood، حمله ترکیبی براساس DNS، و سایر روشها نیز به ترتیب مطرح هستند. این تنوع روشها نشان میدهد که مهاجمان تلاش داشتهاند از انواع مختلفی از حملات برای ایجاد اختلال استفاده کنند.
پایداری زیرساختهای ارتباطی و دفع موفق این تعداد حمله با شدت بالا نشاندهنده دفاع قابل توجه شرکت ارتباطات زیرساخت در برابر حملات است اما از سوی دیگر این هشدار وجود دارد که نسل جدید حملات صرفا مبتنی بر مدت زمان کوتاه و حجمهای محدود نیستند.
تحلیل دادههای کسپرسکی
در ماه اخیر، سیستم دفاعی محصولات کسپرسکی در ایران، بیش از چهل هزار هشدار صادر کرده است؛ این دادهها نشاندهنده فعالیت گسترده ابزارهایی چون brute force، DoS و اسکن پورتها هستند. دادههای ماهانه نشان میدهد که تقریباً ۴۳ درصد تهدیدات از نوع Bruteforce.Generic.Rdp.a بودهاند، همچنین Intrusion.Win.MS17 010.o سهمی ۳۰ درصدی داشته و Bruteforce.Generic.Rdp.d نیز نزدیک ۱۶ درصد تهدیدات را تشکیل میدهد. این ترکیب نشانگر تمرکز مهاجمان بر نفوذ از طریق پروتکل RDP و بهرهبرداری از آسیبپذیری MS17 010 (ملقب به EternalBlue) است. همچنین حملات مکاتاز (DoS) از راه TCP SYN floods نشان دهنده برنامهریزی مهاجمان برای ایجاد اختلال در دسترسی به سرویسهای حیاتی است.
در سطح عمومیتر، سهم ایران از حملات شبکه جهانی در روزهای اخیر حدود ۱.۴۵ درصد بوده است. این درصد از سهم نشان میدهد کشور در میان ده کشور نخست میزبان تهدیدات شبکه قرار دارد که با توجه به جمعیت و توسعه فناوری، میزان قابل توجهی محسوب میشود.
نقش فیلترینگ در افزایش آسیبپذیری و موفقیت حملات
فیلترینگ در ایران عملاً اثری مشابه با یک حمله دشمن دارد. تأیید و حمایت از فیلترینگ گسترده نهتنها به معنای دفاع از منافع ملی نیست، بلکه شبیه به پذیرفتن یک حمله داخلی یا حتی نوعی از تجاوز نرم دشمن به زیرساختهاست. دشمنی که نه از بیرون بلکه با مجوز و درون مرزها اقدام به محدودسازی، تضعیف و بیثباتسازی ابزارهای ارتباطی مردم و زیرساختهای اطلاعاتی کشور میکند.
فیلترینگ گسترده در ایران از نظر فنی موجب ایجاد نقاط تمرکز در شبکه اینترنت کشور میشود که این امر در معماری شبکه بهعنوان یک نقطه شکست واحد (Single Point of Failure) شناخته میشود. با هدایت ترافیک بینالمللی به چند مسیر مشخص که قابلیت بازرسی و فیلتر شدن دارند، ساختار اینترنتی کشور بهشدت متمرکز میشود و مقاومت ذاتی آن در برابر حملات سایبری (مثل DDoS) کاهش مییابد.
از سوی دیگر، فیلترینگ نیازمند استفاده از تجهیزات DPI (تحلیل عمیق بستهها) است که ترافیک ورودی و خروجی را بازرسی کرده و بر اساس الگوهای خاص مسدود یا باز میکند. این ابزارها از دیدگاه امنیتی خود بهعنوان یک سطح حمله جدید (Attack Surface) در نظر گرفته میشوند.
فیلترینگ همچنین باعث بروز ناسازگاری با استانداردهای امنیتی جهانی میشود. برای مثال، قطع یا تضعیف پروتکلهای رمزنگاری جدید مانند HTTP/3، QUIC یا DNS over HTTPS باعث میشود ترافیک امن از کار بیفتد یا کند شود.
ضمن اینکه فیلترینگ همچنین ابزارهای مانیتورینگ و تحلیل تهدید را کور میکند، زیرا استفاده گسترده از VPN و ترافیک رمزنگاریشده (که در پاسخ به فیلتر شدن انجام میشود) عملاً باعث میشود مرکز عملیات امنیتی کشور دیگر نتواند تهدیدهای واقعی را از ترافیک قانونی یا فریبکارانه تفکیک کند.
پیشنهاد
برای مقابله با تهدیدات جدید لازم است نهادهای دولتی و بخش خصوصی علاوه بر افزایش سطح آموزش و آگاهی، روی استفاده از ابزارهای دفاع چندلایه تمرکز کنند و پیکربندی سیستمهای پرترافیک را در دستور کار قرار دهند.
پشتیبانی از بهروزرسانی بهموقع سیستمها، استفاده از احراز هویت چندعاملی (MFA) برای پروتکلهای مدیریتی اهمیت بالایی دارد.
از منظر سازمانی، استفاده از سیستمهای مدیریت رخداد و مانیتورینگ SIEM، انجام تست نفوذ و تمرینهای Red Team/Blue Team بسیار توصیه میشود.
چشمانداز پیش رو نشان میدهد حملات شبکهای میتواند پیچیدهتر شود. ضمن اینکه حمله به بانک سپه و نوبیتکس نشان داد هدف حملات از جاسوسی یا غارت به انگیزههای تخریبی تغییر پیدا کرده است.