نبرد در سایه‌ها: تحلیل جامع حملات سایبری علیه جمهوری اسلامی

مقدمه

محتوا پنهان

1 مرحله اول (۲۰۰۶–۲۰۱۲): تمرکز بر برنامه هسته‌ای

2 مرحله دوم (۲۰۱۳–۲۰۲۰): جاسوسی و نفوذ تدریجی

3 مرحله سوم (۲۰۲۱–۲۰۲۵): تخریب مستقیم زیرساخت‌ها

4 هویت و وابستگی احتمالی

5 نمونه حملات کلیدی (۲۰۱۹–۲۰۲۵)

6 بدافزارها و ابزارهای اختصاصی

7 تکنیک‌های عملیات پیشرفته

8 مختصات ژئوپلیتیک

9 اوج حملات در ۲۰ روز گذشته

10 قطع اینترنت و ابعاد آن

11 گروه‌های غربی-اسرائیلی

12 پاسخ ایران: گروه‌های APT وابسته به حکومت

13 پیامدها و هزینه‌ها

14 چشم‌انداز

در دو دهه‌ی گذشته، ژئوپلیتیک خاورمیانه به عرصه‌ی نبرد بازیگران دولتی و غیردولتی در حوزه‌ی جنگ سایبری تبدیل شده است. جمهوری اسلامی ایران به یکی از مهم‌ترین اهداف این نبرد پنهان بدل شده و طیف گسترده‌ای از زیرساخت‌های حساس آن – از تأسیسات هسته‌ای گرفته تا بخش‌های مالی، انرژی و ارتباطات – آماج حملات قرار گرفته‌اند. گروه‌های گوناگون وابسته به اسرائیل، آمریکا و متحدان منطقه‌ای‌شان (به‌ویژه یگان ۸۲۰۰ ارتش اسرائیل و گروه موسوم به گنجشک درنده یا Predatory Sparrow) عملیات‌های پیچیده‌ای را علیه ایران سامان داده‌اند. این مقاله با هدف صحت‌سنجی و تحلیل ساختاری این حملات، به بررسی سیر تاریخی فازهای تاکتیکی، ابزارهای به‌کاررفته، بازیگران مؤثر و پیامدهای ژئوپلیتیک این نبرد سایبری پنهان می‌پردازد.

تصویر۱: پمپ‌بنزینی در تهران حین اختلال سراسری سامانه سوخت در پی حمله سایبری (۲۰۱۲)، که موجب اختلال در ۴۳۰۰ جایگاه عرضه سوخت شد. این حمله با نمایش پیام «حمله سایبری ۶۴۴۱۱» بر روی نمایشگرهای پمپ‌بنزین‌ها همراه بود

۱. تحول تاریخی جنگ سایبری علیه ایران

مرحله اول (۲۰۰۶–۲۰۱۲): تمرکز بر برنامه هسته‌ای

آغاز جنگ سایبری علیه ایران با عملیاتی موسوم به المپیک گیمز (Olympic Games) بود که از سال ۲۰۰۶ تحت هدایت دولت بوش و با همکاری مشترک آمریکا و اسرائیل انجام شد. هدف این عملیات، نفوذ و تخریب مخفیانه در تأسیسات غنی‌سازی اورانیوم ایران (به‌ویژه سایت نطنز) بود تا برنامه هسته‌ای را کند یا متوقف کند. در این چارچوب، بدافزار معروف استاکس‌نت (Stuxnet) توسعه یافت که در سال‌های ۲۰۰۹–۲۰۱۰ با حمله به سیستم‌های کنترل صنعتی سانتریفیوژها توانست حدود ۱۰۰۰ دستگاه سانتریفیوژ از مجموع ۵۰۰۰ سانتریفیوژ فعال در نطنز را از کار بیندازد. این حمله سایبری پیچیده – که بعدها افشا شد توسط آمریکا و اسرائیل طراحی شده بود – نخستین نمونه شناخته‌شده از یک سلاح سایبری بود که خسارت فیزیکی به زیرساخت‌های صنعتی وارد کرد. موفقیت موقت استاکس‌نت (به تعلیق درآوردن غنی‌سازی برای حدود یک سال) سبب شد برنامه حملات سایبری موسوم به المپیک گیمز با جدیت بیشتری دنبال شود.

به‌موازات اقدامات تخریبی، بازیگران سایبری در این دوره بدافزارهای جاسوسی پیشرفتهای چون فلیم (Flame) و دوکو (Duqu) را نیز به کار گرفتند. این بدافزارها که توسط شرکت‌های امنیتی در سال‌های ۲۰۱۱–۲۰۱۲ کشف شدند، برای جاسوسی گسترده و جمع‌آوری اطلاعات حساس از سیستم‌های ایرانی طراحی شده بودند. فلیم – که یک کیت بدافزاری بسیار حجیم و پیچیده بود – عمدتاً به سرقت اسناد، مکالمات و فعالیت‌های کاربر از رایانه‌های هدف می‌پرداخت و در کشورهایی چون ایران، لبنان و سوریه به‌طور مخفیانه فعال بود. تحلیلگران امنیتی معتقدند فلیم احتمالاً بخشی موازی از پروژه‌ی دولتی همان تیمی است که استاکس‌نت و دوکو را ساخته است. همچنین دوکو که کد آن شباهت زیادی به استاکس‌نت داشت، برخلاف استاکس‌نت رویکرد خرابکارانه مستقیم نداشت بلکه برای جاسوسی و جمع‌آوری اطلاعات (نظیر طراحی‌های صنعتی سانتریفیوژها) به خدمت گرفته شد. گزارش‌ها حاکی است دوکو بعدها در سال ۲۰۱۵ (معروف به دوکو ۲٫۰) برای جاسوسی از محل مذاکرات هسته‌ای ایران در هتل‌های اروپا نیز به‌کار رفت. بدین ترتیب در مرحله نخست، تمرکز حملات سایبری بر ایجاد اختلال در برنامه هسته‌ای ایران و جمع‌آوری اطلاعات استراتژیک پیرامون آن قرار داشت.

مرحله دوم (۲۰۱۳–۲۰۲۰): جاسوسی و نفوذ تدریجی

پس از پایان فاز اول و حصول برخی توافقات موقت، ماهیت رویارویی سایبری تا حدی تغییر کرد. در سال‌های ۲۰۱۳ تا ۲۰۲۰، اهداف مهاجمان بیشتر بر نفوذ پنهانی و جاسوسی بلندمدت متمرکز بود و تلاش برای تخریب فوری کاهش یافت. برای نمونه، گروه موسوم به Equation Group – که به‌گفته پژوهشگران امنیتی متعلق به واحد عملیات نفوذ NSA آمریکا است – در این دوره با بهره‌گیری از بدافزارها و اکسپلویت‌های بسیار پیشرفته، به اعماق شبکه‌های هدف در کشورهای مختلف از جمله ایران نفوذ کرد. این گروه قادر بود حتی سفت‌افزار هارددیسک‌ها را آلوده و بخش‌های مخفی غیرقابل پاک‌شدن بر روی آن‌ها ایجاد کند که عملاً هیچ روش معمولی (حتی فرمت‌کردن کامل دیسک) قادر به حذف بدافزار از سیستم نبود. بر اساس گزارش شرکت کسپرسکی، Equation Group به ده‌ها کشور نظیر ایران، روسیه و چین نفوذ کرد و اهداف متنوعی از جمله نهادهای نظامی، ارتباطی (مخابراتی)، دولتی، شرکت‌های انرژی و مالی را تحت تأثیر قرار داد. این حملات عمدتاً با انگیزه جاسوسی و دستیابی به کنترل سیستم‌ها انجام می‌شد و نه تخریب فوری آن‌ها؛ چرا که دولت آمریکا در این دوره می‌کوشید الگوهای رفتاری و ارتباطاتی حکومت ایران را رصد کرده و با دستیابی به اطلاعات حساس، هزینه‌های اطلاعاتی برای تهران ایجاد کند. حضور مستمر بدافزارهای آمریکایی در زیرساخت‌های ایران – از نفوذ به سامانه‌های صنعتی و مخابراتی گرفته تا آلوده‌سازی سیستم‌های کامپیوتری سازمان‌های مالی – عملاً یک قدرت نرم برای واشنگتن ایجاد کرد تا در صورت لزوم، مانند شمشیری داموکلس بر فراز زیرساخت‌های ایران عمل کند.

همزمان، در این دوره برخی طرح‌های تهاجمی گسترده نیز به‌صورت آماده‌به‌اجرا نگهداری می‌شد. یکی از آن‌ها طرح موسوم به نیترو زئوس (Nitro Zeus) بود که گزارش آن در سال ۲۰۱۶ منتشر شد. این طرح – که در صورت شکست مذاکرات هسته‌ای آماده اجرا بود – پیش‌بینی انجام حملات سایبری گسترده به زیرساخت‌های حیاتی ایران (از جمله شبکه برق، شبکه‌های ارتباطی و سامانه‌های پدافند هوایی) را داشت. خوشبختانه با توافق هسته‌ای ۲۰۱۵، این عملیات سایبری هرگز عملیاتی نشد و کنار گذاشته شد. در مجموع می‌توان گفت مرحله دوم جنگ سایبری، دوره‌ای بود که طی آن نفوذهای پنهان، استقرار در نقاط ضعف شبکه‌های ایرانی و جمع‌آوری بلندمدت اطلاعات اولویت یافت و حملات ایران‌گریز (Deniable) جای حملات مخربِ پرسروصدا را گرفت.

مرحله سوم (۲۰۲۱–۲۰۲۵): تخریب مستقیم زیرساخت‌ها

از سال ۲۰۲۱ به بعد، همزمان با شدت‌گرفتن تنش‌های منطقه‌ای، فاز جدیدی از جنگ سایبری علیه ایران آغاز شد که مشخصه آن حملات تخریبی آشکار و وارد آوردن صدمات فیزیکی و روانی مستقیم بود. در این مقطع، ظهور گروه مرموزی با نام فارسی «گنجشک درنده» (Predatory Sparrow) نقطه عطفی بود که نشان داد راهبرد دشمن از صرف جاسوسی به بازدارندگی فعال سایبری از طریق حملات ویرانگر تغییر یافته است. این گروه که در ادامه بیشتر به آن خواهیم پرداخت، مسئولیت سلسله حملات گسترده‌ای را برعهده گرفت که طی آن زیرساخت‌هایی نظیر شبکه حمل‌ونقل ریلی، سامانه توزیع سوخت، صنایع فولاد و در مرحله اخیر بانک‌ها و صرافی‌های رمزارز هدف قرار گرفتند. پیام این حملات روشن بود: وارد کردن هزینه‌های مستقیم اقتصادی و ایجاد رعب روانی در جامعه ایران. به بیان دیگر، اگر تا پیش از این نفوذها عمدتاً برای جمع‌آوری اطلاعات و آمادگی حملات آتی بود، اکنون مهاجمان به‌دنبال آن بودند که با حملات علنی سایبری، ایران را از اقدامات متقابل نظامی یا منطقه‌ای بازدارند.

نخستین نمونه بزرگ در این فاز، حمله سایبری تیرماه ۱۴۰۰ (جولای ۲۰۲۱) به شبکه ریلی ایران بود که باعث اخلال در خدمات قطارها در سراسر کشور شد. هکرها با نمایش پیام‌هایی نظیر «تاخیر طولانی به‌دلیل حمله سایبری – برای اطلاعات بیشتر ۶۴۴۱۱ را شماره‌گیری کنید» در تابلوهای ایستگاه‌های راه‌آهن، عملاً مسئولیت را به‌طور کنایه‌آمیز متوجه دفتر رهبری ایران کردند. تحقیقات فنی نشان داد که در این حمله از یک بدافزار وایپر جدید به نام Meteor استفاده شده که پرونده‌های سیستم را پاک کرده و حتی رکورد بوت سیستم‌ها (MBR) را تخریب می‌کرد. پژوهشگران شرکت SentinelOne این عملیات را به خاطر نام داخلی بدافزار (Meteor) «MeteorExpress» لقب دادند. هرچند در ابتدا گروه ناشناسی موسوم به INDRA به‌عنوان عامل حمله مطرح شد، اما بعدها شواهدی از دخیل‌بودن گنجشک درنده نیز مطرح گردید.

در مهر ۱۴۰۰ (اکتبر 2021)، حمله بزرگ دیگری رخ داد که این‌بار سامانه کارت‌های سوخت‌رسانی پمپ‌بنزین‌های ایران را هدف قرار داد. طی این حمله، حدود ۴۳۰۰ جایگاه سوخت در سراسر کشور از کار افتادند و عرضه بنزین سهمیه‌ای برای حدود ۱۲ روز مختل شد. در برخی پمپ‌بنزین‌ها نیز پیام «حمله سایبری ۶۴۴۱۱» روی نمایشگر ظاهر گردید که دومین باری بود مهاجمان از این کد (شماره دفتر رهبری) برای جنگ روانی بهره می‌بردند. یک گروه کمتر شناخته‌شده به نام گنجشک درنده مسؤولیت این حمله را برعهده گرفت. مقامات ایرانی ابتدا آن را «مشکل نرم‌افزاری» خواندند اما سپس به‌صراحت انگشت اتهام را به سوی اسرائیل و آمریکا گرفتند. منابع خبری غربی نیز تایید کردند که این حمله کار اسرائیل بوده است. بدافزاری که در این حادثه استفاده شد بعدها Stardust یا Comet نام گرفت و تحلیل‌گران امنیتی دریافته‌اند که این ابزار مخرب ضمن پاک‌کردن لاگ‌های رویداد و ردپاها، به تغییر تنظیمات بوت سیستم نیز می‌پردازد تا بازیابی سامانه دشوارتر شود.

نمونه‌های دیگر از این فاز حملات عبارت‌اند از:

خرداد ۱۴۰۱ (ژوئن 2022) – حمله سایبری به شرکت فولاد خوزستان و دو مجموعه بزرگ فولادی دیگر ایران، که منجر به اختلال جدی در فرآیند تولید و حتی آتش‌سوزی فیزیکی در تجهیزات صنعتی شد. گروه گنجشک درنده با انتشار ویدئویی از لحظه انفجار کوره، مسئولیت این حمله را پذیرفت و بدافزاری اختصاصی (نام مستعار چاپلین برای ICS/SCADA) را به کار برد که قابلیت دستکاری مستقیم کنترلرهای صنعتی را داشت. کارشناسان امنیتی تأکید کردند چنین حملاتی فراتر از توان گروه‌های هکتیویستی عادی است و نیازمند پشتوانه یک دولت می‌باشد. جالب آن‌که پس از این رخداد، رسانه‌های اسرائیلی گزارش دادند یگان سایبری ارتش (یگان ۸۲۰۰) پشت ماجرا بوده است؛ تا جایی که وزیر دفاع اسرائیل تحقیقات درباره درز این خبر را دستور داد.
آذر ۱۴۰۲ (دسامبر 2023) – حمله مجدد به سامانه توزیع سوخت در بحبوحه جنگ غزه. گروه گنجشک درنده اعلام کرد در پاسخ به «اقدامات تجاوزکارانه جمهوری اسلامی»، این‌بار حدود ۷۰٪ از پمپ‌بنزین‌های ایران را از کار انداخته است. در بیانیه‌های منتشرشده به زبان فارسی و انگلیسی، مهاجمان هشدار دادند «بازی با آتش هزینه دارد» و این تنها گوشه‌ای از توان آنان است. آنان مدعی شدند حتی ضمن حمله، برای جلوگیری از بحران انسانی، از کار انداختن کامل همه پمپ‌ها خودداری و به برخی ایستگاه‌ها عمداً آسیبی نرسانده‌اند. مقامات ایران این رویداد را «خرابکاری نرم‌افزاری» خواندند اما رسانه‌های بین‌المللی آن را ادامه حملات اسرائیل دانستند.
خرداد ۱۴۰۴ (ژوئن 2025) – موج کم‌سابقه‌ای از حملات سایبری که با تشدید تنش نظامی هم‌زمان شد. در تاریخ ۲۷ خرداد ۱۴۰۴ (۱۷ ژوئن 2025) گروه گنجشک درنده اعلام کرد به بانک سپه (یکی از بزرگ‌ترین بانک‌های دولتی ایران) نفوذ کرده و تمام داده‌های آن را پاکسازی (Wipe) کرده است. این حمله باعث اختلال کامل در خدمات بانکداری الکترونیک و قطع دسترسی مشتریان به حساب‌هایشان شد و به گفته راب جویس (مدیر سابق امنیت سایبری NSA)، می‌تواند اعتماد عمومی به سیستم بانکی را شدیداً متزلزل کند. یک روز بعد (۱۸ ژوئن) همین گروه به صرافی رمزارز Nobitex حمله کرد و حدود ۹۰ میلیون دلار دارایی دیجیتال کاربران را سرقت کرده و به آدرس‌های غیرقابل‌بازیابی انتقال داد؛ اقدامی که عملاً به نابودی این سرمایه انجامید. تحلیل‌گران امنیتی خاطرنشان کردند مهاجمان عمداً به‌جای کسب منفعت مالی، این رمزارزها را نابود کرده‌اند تا به‌لحاظ روانی و اقتصادی به حاکمیت ضربه بزنند و برتری فنی خود را به رخ بکشند. همچنین در همان بازه، در ۲۲ ژوئن گروه ایرانی مخالف موسوم به Team 313 در پاسخ به حملات آمریکا، پلتفرم اجتماعی Truth Social (متعلق به رئیس‌جمهور سابق آمریکا) را با حمله منع سرویس از دسترس خارج کرد. در ۲۸ خرداد ۱۴۰۴ (۱۸ ژوئن 2025) نیز صدا و سیمای جمهوری اسلامی (IRIB) هدف حمله قرار گرفت و به‌مدت کوتاهی پخش تلویزیونی آن هک شد و تصاویر و پیام‌های ضدحکومتی و در حمایت از اسرائیل روی آنتن رفت. این رویدادها نشان‌دهنده اوج گرفتن چشمگیر جنگ سایبری تعاملی میان ایران و دشمنانش در سال ۲۰۲۵ است.

۲. گروه گنجشک درنده (Predatory Sparrow): بازیگر کلیدی و مخرب

هویت و وابستگی احتمالی

گنجشک درنده نام گروه سایبری مرموزی است که از سال ۲۰۲۱ با انجام حملات جنجالی علیه زیرساخت‌های ایران ظهور کرد. هویت واقعی اعضای این گروه روشن نیست؛ آن‌ها هیچ‌گاه به‌صراحت وابستگی خود را اعلام نکرده‌اند. با این حال، تحلیل زمانی و فنی حملات‌شان (از جمله همزمانی برخی حملات با عملیات‌های نظامی اسرائیل) و همچنین شواهد غیررسمی در رسانه‌های اسرائیلی، نشان می‌دهد که این گروه احتمالاً مرتبط با واحدهای سایبری ارتش اسرائیل – به‌ویژه یگان ۸۲۰۰ – است. برای نمونه، پس از حمله به کارخانه فولاد خوزستان در ۲۰۲۲، خبرنگاران نظامی اسرائیل به‌طور ضمنی فاش کردند که یگان ۸۲۰۰ در پشت آن حمله بوده است. رسانه‌های اسرائیلی معمولاً از Predatory Sparrow به‌عنوان گروه «متصل به اسرائیل» نام می‌برند هرچند تل‌آویو رسماً مسئولیت این اقدامات را نپذیرفته است.

نکته جالب در مورد گنجشک درنده، تنوع نام‌هایی است که برای آن ذکر شده است. این گروه در محافل امنیتی بعضاً با اسامی دیگری همچون «ایندرا» (INDRA)، «عدالت علی» و حتی «MeteorExpress» (نامی که از عملیات قطار ۱۴۰۰ الهام گرفته شده) شناخته می‌شود. به‌نظر می‌رسد مهاجمان عامدانه از نام‌های متفاوت فارسی و انگلیسی استفاده می‌کنند تا ردیابی و تحلیل فعالیت‌هایشان دشوارتر شود. برای مثال، همان‌طور که اشاره شد، در حمله قطار ابتدا تصور می‌شد کار گروه INDRA (گروهی با سابقه حملات سایبری به اهداف حکومت سوریه) باشد، در حالی‌که شواهد بعدی آن را مرتبط با گنجشک درنده دانست. همچنین نام «عدالت علی» در سال ۲۰۲۱ با هک دوربین‌های زندان اوین مطرح شد که برخی معتقدند یکی از اسامی مستعار همین گروه بوده است. گزارش اخیر یک شرکت امنیتی این موضوع را تأیید می‌کند و تصریح دارد که Predatory Sparrow همان Edaalate Ali، Indra و MeteorExpress است و صرفاً از اسامی گوناگون بهره می‌گیرد.

نمونه حملات کلیدی (۲۰۱۹–۲۰۲۵)

عملکرد گنجشک درنده را می‌توان در قالب مجموعه‌ای از حملات شاخص سایبری طی سال‌های اخیر خلاصه کرد. جدول زیر مهم‌ترین این حملات را نمایش می‌دهد:

سال	هدف	پیامد	ابزار/بدافزار
۲۰۲۱	شبکه راه‌آهن ایران	اختلال سراسری حرکت قطارها و اغتشاش در تابلوهای ایستگاه‌ها	بدافزار Meteor (وایپر + تخریب MBR)
۲۰۲۱	سامانه کارت‌های سوخت (پمپ‌بنزین‌ها)	غیرفعال شدن ۴۳۰۰ پمپ و اختلال ۱۲ روزه در عرضه سوخت	بدافزار Stardust/Comet (وایپر پیشرفته با پاک‌کردن لاگ‌ها و دستکاری Bootloader)
۲۰۲۲	شرکت فولاد خوزستان (و صنایع فولاد دیگر)	توقف تولید، انفجار و آتش‌سوزی در تجهیزات صنعتی	بدافزار «چاپلین» (مخصوص ICS با توان تخریب فیزیکی)
۲۰۲۳	شبکه توزیع سوخت (حمله دوم)	اختلال در ۷۰٪ جایگاه‌های سوخت کشور	(جزئیات فنی نامشخص) – بیانیه گروه حاکی از نفوذ به سرورهای مدیریت پمپ‌ها بود
۲۰۲۵	بانک سپه	پاک‌شدن کامل داده‌های بانک و اختلال در تمامی خدمات مالی	بدافزار Wiper (وایپر ناشناس استفاده‌شده جهت حذف داده‌های بانکی)
۲۰۲۵	صرافی رمزارز Nobitex	سرقت و نابودی حدود ۱۰۰ میلیون دلار رمزارز (انتقال به آدرس‌های غیرقابل‌بازیابی)	سوء‌استفاده از ونیتی آدرس‌ها (Vanity addresses) با عبارت ضدایرانی برای سوزاندن دارایی‌ها

در کنار این‌ها، موارد دیگری نظیر هک خبرگزاری فارس (منتسب به عدالت علی)، انتشار اطلاعات وزارت راه و شهرسازی، هک سامانه‌های دوربین مدار بسته و… نیز به گنجشک درنده نسبت داده شده است. به طور کلی، الگوی عمل این گروه وارد آوردن ضربات اقتصادی-فنی همراه با پیام‌های روانی-تبلیغاتی است؛ همان‌گونه که در تمامی نمونه‌های فوق مشاهده می‌شود، مهاجمان تلاش کرده‌اند همزمان با ایجاد اختلال، پیام خود را به‌صورت عمومی و آشکار منتقل کنند (چه با درج شماره 64411 روی نمایشگرها، چه با پخش تصاویر در تلویزیون یا استفاده از شعارهای هشدارآمیز).

۳. تحلیل فنی و عملیاتی

بدافزارها و ابزارهای اختصاصی

حملات سایبری انجام‌شده علیه ایران – به‌ویژه در فازهای اخیر – متکی بر بدافزارهای پیچیده و ابزارهای سفارشی بوده‌اند که برای اهداف خاص طراحی شده‌اند. مهم‌ترین این بدافزارها و قابلیت‌هایشان عبارت‌اند از:

Meteor (وایپر) – بدافزار تخریبی که در حمله به شبکه ریلی (۱۴۰۰) به‌کار رفت. Meteor یک Wiper است که با حذف کامل فایل‌های سیستم و Snapshotهای پشتیبان (Shadow Copies)، عملاً رایانه‌های هدف را غیرقابل‌بوت می‌کند. این بدافزار بخش بوت سیستم (MBR) را با اجرای مؤلفه nti.exe بازنویسی کرده و همچنین یک اسکرین‌لاک (mssetup.exe) فعال می‌کند که کاربر را از سیستم خارج می‌کند. پس از پایان عملیات، صفحه نمایش سیستم‌های آلوده پیامی را نشان می‌داد که کاربران را به تماس با شماره دفتر رهبری ارجاع می‌داد – حرکتی تمسخرآمیز از سوی مهاجمان. Meteor به‌لحاظ فنی ترکیبی از کدهای متن‌باز، ابزارهای قدیمی و ماژول‌های اختصاصی است و دارای خطاهای اشکال‌زدایی و نشانه‌هایی است که برخی پژوهشگران را به این گمان رساند که این ابزار به‌سرعت و توسط تیم‌های مختلف مونتاژ شده است.
Stardust و Comet – این دو، اسامی نسخه‌های دیگر بدافزار وایپر مورد استفاده توسط گروه (احتمالاً همان Meteor با ویرایش‌های متفاوت) هستند. طبق تحلیل شرکت چک‌پوینت، مهاجمان در فاصله سال‌های ۲۰۱۹–۲۰۲۱ حداقل سه نسخه از Wiper خود را توسعه داده‌اند: Meteor، Stardust و Comet. تفاوت‌هایی میان آن‌ها وجود دارد؛ از جمله اینکه Stardust و Comet برخلاف Meteor بخش boot.ini ویندوز را دستکاری نمی‌کنند و به روش‌های دیگری برای تخریب سیستم متوسل می‌شوند. هر دو نسخه Stardust و Comet از یک ابزار قفل‌کننده سیستم به نام LockMyPC استفاده می‌کنند و سپس با حذف گذرواژه و ابزارهای بازیابی آن، اطمینان حاصل می‌کنند که کاربر نتواند به آسانی سیستم را بازگرداند. همچنین Stardust قابلیت ارسال گزارش عملکرد به سرور مهاجم را دارد تا مراحل اجرا را رهگیری کنند. در حمله به سامانه سوخت ۱۴۰۰، شواهد حاکی است که از نسخه‌های تکامل‌یافته همین بدافزار برای پاک‌سازی لاگ‌های ویندوز، غیرفعال‌سازی برخی سرویس‌ها و اختلال در بوت سیستم‌ها استفاده شده است.
Chaplin – نام مستعاری است که برای ابزار اختصاصی مهاجمان در حمله به صنایع فولاد (خوزستان و …) به‌کار برده می‌شود. Chaplin در واقع یک کیت مخرب برای نفوذ به سامانه‌های کنترل صنعتی (ICS/SCADA) است که اجازه می‌دهد مهاجم مستقیماً تجهیزاتی نظیر کوره‌های ذوب، ولوها و روبات‌های کارخانه را کنترل یا تخریب کند. گزارش رویترز تأیید کرده که حمله سال ۲۰۲۲ به کارخانه فولاد که آتش‌سوزی به‌همراه داشت، حاصل چنین نفوذ عمیقی بوده که «خسارت دنیای واقعی» بر جا گذاشته است. این سطح از توانایی (ایجاد انفجار صنعتی) نشان می‌دهد ابزارهایی مانند Chaplin احتمالاً با پشتیبانی منابع دولتی توسعه یافته‌اند و برای سال‌ها آزموده شده‌اند. خود گروه گنجشک درنده نیز در بیانیه آن حمله، ویدئویی از لحظه انفجار منتشر کرد تا پیام جدی بودن توانشان را مخابره کند.

علاوه بر موارد فوق، گزارش‌ها به ابزارهای دیگری نظیر MeteorExpress (مجموعه ابزار کامل حمله قطار شامل اسکریپت‌ها و بدافزارها)، بدافزار‌های پاک‌کننده ردپا (مثل حذف‌کننده لاگ رویداد و تغییر پیلود بوت در حمله پمپ‌بنزین) و استفاده از آدرس‌های ویژه بلاکچین (Vanity) در حمله Nobitex اشاره دارند. به‌طور کلی، مهاجمان از ترکیب بدافزارهای سفارشی و ابزارهای مشروع هک (مانند Mimikatz، LaZagne، تونل‌های PowerShell و …) بهره می‌برند تا هم اهداف را به‌صورت چندمرحله‌ای آلوده کنند و هم پوششی برای پنهان‌سازی فعالیت خود ایجاد نمایند.

تکنیک‌های عملیات پیشرفته

عملیات‌های سایبری صورت‌گرفته علیه ایران (خصوصاً در سال‌های اخیر) حائز پیچیدگی‌های فنی و تاکتیکی قابل توجهی بوده‌اند که در ادامه به مهم‌ترین آن‌ها می‌پردازیم:

تشخیص و دورزدن پدافند امنیتی: مهاجمان معمولاً ابتدا حضور هرگونه آنتی‌ویروس یا نرم‌افزار امنیتی روی سیستم‌های هدف را بررسی کرده و تلاش می‌کنند آن‌ها را غیرفعال یا دور بزنند. برای مثال، در حمله قطار ۱۴۰۰، اسکریپت cache.bat طراحی شده بود که اگر حضور آنتی‌ویروس کسپرسکی را تشخیص دهد، عملیات را متوقف کند. در غیر این صورت، همان اسکریپت لیستی از فایل‌ها و فولدرهای بدافزار را به لیست استثنائات Windows Defender اضافه می‌کرد تا توسط آنتی‌ویروس شناسایی نشوند. این سطح از هوشمندی نشان می‌دهد مهاجمان از پیش روی سیستم‌های هدف مطالعه داشته‌اند.
نفوذ عمیق و حرکت درونی در شبکه: گروه‌های مهاجم پس از دستیابی به نقطه ورود اولیه (مثلاً از طریق فیشینگ یا سوءاستفاده از آسیب‌پذیری وب‌سرور)، اقدام به گسترش دسترسی در شبکه داخلی می‌کنند. آن‌ها با سرقت اعتبارنامه‌ها (توسط ابزارهایی چون Mimikatz) و بهره‌گیری از اسکریپت‌های PowerShell، به‌تدریج به سرورهای حساس‌تر (مانند کنترل‌کننده‌های دامنه و سرورهای بکاپ) نفوذ می‌کنند. در حملات بررسی‌شده، مهاجمان توجه ویژه‌ای به حذف Logها و ردپاها داشته‌اند تا عملیات‌شان تا حد امکان کشف نشود. استفاده از تکنیک «زندگی با امکانات موجود» (Living off the Land) – مانند به‌کارگیری ابزارهای خط فرمان ویندوز – نیز برای استتار فعالیت آن‌ها رایج بوده است.
زمان‌بندی و هماهنگی با رویدادهای ژئوپلیتیک: یکی از جنبه‌های چشمگیر این حملات، انتخاب زمان‌هایی است که از نظر سیاسی-نظامی بسیار معنادارند. برای نمونه، حمله پمپ‌بنزین‌ها در سال ۱۴۰۰ درست مصادف با سالگرد اعتراضات آبان ۹۸ (افزایش قیمت بنزین) رخ داد. یا موج حملات خرداد ۱۴۰۴ دقیقاً پس از آن صورت گرفت که گزارش شد اسرائیل تأسیسات هسته‌ای فردو و نطنز را هدف حمله نظامی قرار داده و ایران تهدید به انتقام کرده است. این همزمانی‌ها حاکی از آن است که مهاجمان قصد داشته‌اند «پاسخ متقارن» یا بازدارندگی را به فضای سایبری منتقل کنند تا شاید از درگیری نظامی مستقیم جلوگیری شود. کارشناسان معتقدند بازیگران مختلف در منطقه می‌کوشند با نمایش توان سایبری خود، نوعی موازنه قدرت جدید برقرار کنند. چنان‌که اسفندیار باتمانقلیچ (پژوهشگر اروپایی) گفت: «به‌نظر می‌رسد هر کدام از بازیگران می‌خواهند با نشان‌دادن قابلیت‌هایشان، نوعی توازن جدید قوا در منطقه ایجاد کنند».
جنگ روانی و اعلان عمومی: تقریبا در تمامی این حملات، مهاجمان از عنصر پیام‌رسانی عمومی بهره برده‌اند تا اثر روانی حمله را چندبرابر کنند. درج شماره تلفن 64411 (دفتر رهبری) روی تابلوی ایستگاه قطار و پمپ‌بنزین‌ها، نمایش شعار «پایتان را از گلیم‌تان درازتر نکنید» بر صفحه کامپیوترهای وزارت راه【58†】، هک پخش زنده خبر ساعت ۹ شب و نمایش تصاویر اعتراضی – همه و همه نشان می‌دهد اهداف روانی و تبلیغاتی بخشی جدایی‌ناپذیر از عملیات بوده است. مهاجمان حتی در حمله Nobitex، برای انتقال رمزارزها از آدرس‌های بلاکچینی خاص با عبارت “F*ckIRGCTerrorists” استفاده کردند تا پیام خود را به‌طور غیرقابل‌انکاری منتقل کنند. این نوع عملیات ترکیبی (ترکیب حمله فنی با جنگ رسانه‌ای) در دنیای امروز به «جنگ ترکیبی» مشهور است و نمود آن را در حملات اخیر به‌وضوح دیدیم.

۴. رخدادهای بیست‌روزه اخیر (ژوئن ۲۰۲۵): موج تازه جنگ ترکیبی

مختصات ژئوپلیتیک

در خرداد ۱۴۰۴ (ژوئن ۲۰۲۵) تنش میان ایران و اسرائیل به نقطه کم‌سابقه‌ای رسید. بنابر گزارش‌ها، نیروی هوایی اسرائیل با همراهی آمریکا حملاتی را به چندین سایت هسته‌ای و نظامی ایران – از جمله تأسیسات فردو و نطنز – انجام داد. هرچند جزئیات این حملات فاش نشد، اما همان هفته مقام‌های ایرانی ضمن تایید ضمنی خرابکاری‌ها، تهدید کردند که «پاسخی متقارن» خواهند داد. در روزهای پس از آن، تبادل آتش بین دو طرف در جبهه سوریه و حملات موشکی متقابل گزارش شد. اما نکته مهم این بود که به‌جای ورود به یک جنگ تمام‌عیار کلاسیک، جبهه تقابل به فضای سایبری منتقل شد. به بیان دیگر، دو طرف ترجیح دادند به‌جای رویارویی مستقیم نظامی (که می‌توانست به جنگی فراگیر منجر شود)، از ابزارهای سایبری برای ضربه‌زدن به یکدیگر استفاده کنند.

در این میان، اسرائیل با تکیه بر گروه‌های سایبری پیشرو – مانند گنجشک درنده – حملات پی‌در‌پی به زیرساخت‌های ایران را کلید زد تا هم ضرب شستی نشان دهد و هم قابلیت‌های بازدارندگی خود را به رخ بکشد. از سوی دیگر، گروه‌های هکری همسو با ایران (اعم از گروه‌های وابسته به سپاه و نیز هکتیویست‌های حامی فلسطین) وب‌سایت‌ها و سامانه‌های اسرائیلی و غربی را آماج قرار دادند. برای نمونه، گروه Cyber Fattah (فتح سایبری) اطلاعات کاربران بازی‌های آسیایی سعودی را در حمایت از ایران لو داد و گروه Handala Team حملات متعددی به سایت‌های اسرائیلی انجام داد. در واقع، یک جنگ ترکیبی چندلایه شکل گرفت که علاوه بر دولت‌ها، مجموعه‌ای از بازیگران غیردولتی با انگیزه‌های ایدئولوژیک را نیز درگیر کرد. نتیجه این شد که فضای مجازی به میدان جنگ نیابتی ایران و اسرائیل تبدیل گردید؛ میدانی که در آن هم حملات سایبری مخرب و هم نبرد روایت‌ها و افکار عمومی جریان داشت.

اوج حملات در ۲۰ روز گذشته

موج حملات سایبری در ۲۰ روز میانی ژوئن ۲۰۲۵ (اوایل تیر ۱۴۰۴) به اوج خود رسید. جدول زیر مهم‌ترین رخدادهای این دوره را خلاصه می‌کند:

تاریخ (۲۰۲۵)	هدف حمله	عامل حمله	نتیجه/مدت تأثیر
۱۷ ژوئن (۲۷ خرداد)	بانک سپه (ایران)	گنجشک درنده	نابودی کامل داده‌های بانک و قطع سرویس بانکداری
۱۸ ژوئن (۲۸ خرداد)	صرافی Nobitex (ایران)	گنجشک درنده	سرقت و نابودی ~۱۰۰ میلیون دلار رمزارز (با انتقال به آدرس‌های غیرقابل بازیابی)
۱۸ ژوئن (۲۸ خرداد)	صداوسیما (IRIB)	احتمالا گنجشک درنده	هک پخش تلویزیون – نمایش تصاویر اعتراضی ضدحکومتی به‌طور زنده (مدت اختلال حدود چند دقیقه)
۲۲ ژوئن (۱ تیر)	شبکه اجتماعی Truth Social (آمریکا)	تیم 313 (حامی ایران)	از دسترس خارج‌شدن پلتفرم به‌مدت ~۹۰ دقیقه با حمله DDoS

حملات فوق همگی در بازه زمانی کوتاهی رخ داد که در خلال آن ایران اینترنت سراسری کشور را نیز تقریباً به‌طور کامل قطع کرد. در تاریخ ۱۹ ژوئن (۲۹ خرداد)، با شدت‌گرفتن حملات سایبری، دولت ایران دست به اقدامی بی‌سابقه زد و اتصال کشور به شبکه جهانی اینترنت را تا حد ~۱۰٪ ظرفیت عادی کاهش داد (برخی گزارش‌ها از افت ترافیک به نزدیک صفر حکایت داشت). بنا بر اعلام سخنگوی دولت، این اقدام با هدف «جلوگیری از سوءاستفاده دشمن» از اینترنت برای حملات سایبری و همچنین خنثی‌سازی هدایت پهپادهای اسراییلی انجام گرفت. وی به‌طور مشخص به هک بانک سپه و Nobitex اشاره کرد و آن‌ها را انگیزه‌ای برای این قطع اینترنت دانست. به این ترتیب، ایرانی‌ها برای حدود ۳۶ ساعت در خاموشی تقریبا کامل ارتباطاتی فرو رفتند، به‌طوری‌که اتصال کشور فقط در حد چند درصد اندک برقرار بود. این قطعی گسترده، علاوه بر دشوارکردن ارتباطات مردم و اطلاع‌رسانی در بحبوحه حملات اسرائیل، پیامدهای ناخواسته متعددی داشت: اختلال در خدمات بانکی، توقف بسیاری از سرویس‌های درمانی و آموزشی آنلاین، و تشدید بی‌اعتمادی عمومی نسبت به آمادگی و صداقت دولت. یک کارشناس این اقدام را «شمشیر دو لبه» توصیف کرد که از سویی شاید حمله سایبری را خنثی کند اما از سوی دیگر به تضعیف روحیه مردم و آسیب خدمات ضروری انجامیده است. چنان‌که یک سازمان مدنی اعلام کرد: «این اقدام دسترسی مردم به اطلاعات حیاتی را در زمان بحرانی محدود کرد» و فعالان آن را شکلی از جنگ روانی علیه مردم دانستند که یادآور قطع اینترنت در اعتراضات است.

قطع اینترنت و ابعاد آن

اقدام ایران در قطع اینترنت طی جنگ خرداد ۱۴۰۴ نشانگر تقاطع فضای سایبری و تصمیمات حکمرانی در شرایط بحران بود. مقامات مدعی شدند که این «اینترنت ملی» به دلایل امنیتی فعال شده است. هرچند این توجیه تا حدی قابل درک است (زیرا بسیاری از بدافزارها برای ارسال فرامین یا نشت داده به ارتباط بیرونی نیاز دارند)، اما نباید فراموش کرد که خاموشی اینترنت یک سلاح دولبه است. از یک سو، ایران با این کار شاید موقتاً جلوی تشدید حملات سایبری را گرفت – چنان‌که حملات PS پس از Nobitex ادامه نیافت – اما از سوی دیگر خودزنی دیجیتال نیز کرد؛ شبکه بانکی داخلی مختل شد، دستگاه‌های خودپرداز از کار افتادند، انجام تراکنش‌های مالی روزمره مختل گردید و بسیاری کسب‌وکارهای آنلاین دچار زیان شدند. همچنین در میانه حملات موشکی اسرائیل، مردم عادی توان دریافت اخبار و برقراری تماس با خارج برای کمک و اطلاع از وضعیت عزیزانشان را نداشتند. این تجربه تلخ نشان داد که «زیرساخت نرم» اینترنت خود یک جبهه جنگ است و حاکمیت‌ها ممکن است برای بقا، حتی دست به قطع آن بزنند. در نهایت با میانجی‌گری بین‌المللی و اعلام آتش‌بس موقت، اینترنت پس از حدود دو هفته به حالت عادی بازگشت، اما خاطره آن در اذهان مردم به‌عنوان دوره‌ای از تاریکی دیجیتال باقی ماند.

۵. دیگر گروه‌های فعال علیه ایران

علاوه بر گنجشک درنده و همراهانش، بازیگران متعدد دیگری نیز طی این سال‌ها در حملات سایبری علیه ایران دخیل بوده‌اند. این بازیگران را می‌توان در دو دسته کلی طبقه‌بندی کرد: گروه‌های وابسته به دولت‌های غربی-اسرائیلی و گروه‌های وابسته به حکومت ایران (به‌عنوان پاسخ متقابل).

گروه‌های غربی-اسرائیلی

Stuxnet / Flame / Duqu – این‌ها نسل اولیه سلاح‌های سایبری بودند که عمدتاً توسط آمریکا و اسرائیل برای ضربه به برنامه هسته‌ای ایران ساخته شدند. استاکس‌نت در سال ۲۰۱۰ توانست هزاران سانتریفیوژ ایران را از کار بیندازد و به عنوان نخستین سلاح سایبری مخرب شناخته می‌شود. فلیم یک بدافزار جاسوسی فوق‌پیشرفته بود که ۲۰۱۲ کشف شد و برای مدت حداقل دو سال در خفا اطلاعات سیستم‌های ایرانی (و برخی کشورهای منطقه) را جمع‌آوری می‌کرد. دوکو نیز ۲۰۱۱ شناسایی شد و پیوند نزدیکی با استاکس‌نت داشت – گرچه کارکرد اصلی‌اش جاسوسی صنعتی و آماده‌سازی حملات بعدی بود. واشنگتن پست بعدها گزارش داد که Flame هم بخشی از عملیات Olympic Games بوده است. این ابزارها بنیان جنگ سایبری را گذاشتند و راه را برای حملات پیچیده‌تر هموار کردند. به بیان یک مقام اطلاعاتی آمریکا: «فلیم و استاکس‌نت اجزای حمله گسترده‌تری بودند که تا امروز نیز ادامه دارد».
Equation Group – همان‌گونه که در مرحله دوم اشاره شد، این نام مستعار گروهی است که به‌احتمال قوی وابسته به آژانس امنیت ملی آمریکا (NSA) است. کسپرسکی از آن به‌عنوان «خدای جاسوسی سایبری» یاد کرد و اعلام نمود که این گروه از سال‌های ۲۰۰۱ میلادی فعال بوده است. گروه Equation در میانه دهه ۲۰۱۰ چندین بدافزار فوق‌پیشرفته منتشر کرد که از نظر توانمندی در هیچ گروه دیگری مشاهده نشده بود – از جمله بدافزاری که قادر بود Firmware هارددیسک‌ها از شرکت‌های مختلف (وسترن دیجیتال، سیگیت، توشیبا و …) را آلوده کند. با این کار، عملاً هیچ راهی برای پاکسازی سیستم آلوده وجود نداشت مگر تعویض فیزیکی درایو! Equation Group به گفته کسپرسکی، بیشترین هدف را به کشورهای خاورمیانه از جمله ایران معطوف کرده بود و نهادهای نظامی، دولتی، مخابراتی و حتی دانشگاهی را آلوده ساخته بود. عملکرد این گروه بیشتر درازمدت و مخفی بود و تلاش می‌کرد Backdoorهای ماندگاری در سیستم قربانیان ایجاد کند تا هر زمان لازم شد از آن‌ها استفاده کند.
Nitro Zeus – همان‌طور که اشاره شد، Nitro Zeus اسم رمز یک طرح جامع جنگ سایبری آمریکا علیه ایران بود که در صورت شکست مذاکرات هسته‌ای (۲۰۱۵) قرار بود اجرا شود. مطابق گزارش نیویورک تایمز و مستند «Zero Days»، این طرح شامل حملات گسترده برای «فلج کردن سیستم پدافند هوایی، شبکه‌های ارتباطی و بخش‌های کلیدی شبکه برق ایران» بود. هزاران نفر در ارتش آمریکا روی آن کار کرده بودند و حتی قطعات الکترونیکی در شبکه‌های ایران کار گذاشته شده بود. خوشبختانه با توافق برجام، Nitro Zeus هیچ‌گاه اجرایی نشد. با این حال، وجود چنین طرحی نشان داد که زیرساخت‌های برق، حمل‌ونقل و ارتباطات ایران نیز در صورت تشدید تنش، مصون از حمله سایبری نخواهند بود.

افزون بر موارد فوق، حملاتی نظیر Shamoon (ویروس پاک‌کننده داده که ۲۰۱۲ شرکت نفتی Aramco سعودی را زد و نسخه‌هایی هم در ایران داشت)، WannaCry/NotPetya (اگرچه مستقیماً کار کره شمالی و روسیه بودند، اما ایران نیز بی‌نصیب نماند) و حملات زنجیره تامین جهانی (مانند حادثه SolarWinds) نیز به‌طور غیرمستقیم بر ایران اثر گذاشتند. اما تمرکز این بخش بر عملیات‌هایی بود که مستقیماً ایران را هدف قرار داده یا برنامه‌ریزی کرده بودند.

پاسخ ایران: گروه‌های APT وابسته به حکومت

در برابر حملات مکرر غرب و اسرائیل، جمهوری اسلامی نیز طی سالیان اقدام به توسعه گروه‌های تهاجمی سایبری وابسته به نهادهای امنیتی خود کرده است. این گروه‌ها که غالباً توسط شرکت‌های امنیتی غربی با کدهای APT نامگذاری شده‌اند، در واقع بازوی ایران برای جنگ نامتقارن سایبری محسوب می‌شوند. مهم‌ترین این گروه‌ها عبارت‌اند از:

APT33 (نام مستعار: Elfin یا Magnallium) – این گروه منتسب به سپاه پاسداران انقلاب اسلامی (احتمالاً یگان سایبری نیروی هوافضا) است. APT33 از حدود سال ۲۰۱۳ فعال بوده و تمرکز آن بر صنایع هوافضا (نظامی و غیرنظامی) و صنایع انرژی (نفت و پتروشیمی) بوده است. طبق گزارش فایرآی، APT33 در حملاتی به شرکت‌های هواپیمایی در آمریکا و عربستان و شرکت‌های نفتی در کره جنوبی مشارکت داشته است. همچنین شواهدی از تلاش این گروه برای آماده‌سازی بدافزارهای مخرب (مشابه Shamoon) دیده شده است تا در صورت لزوم حملات تخریبی انجام دهد. وزارت خزانه‌داری آمریکا در ۲۰۱۷ چند نفر مرتبط با این گروه و نیز وابستگان سپاه را تحریم کرد. انگیزه APT33 عمدتاً جاسوسی صنعتی و نظامی است، اما قابلیت‌های تخریبی نیز دارد.
APT34 (نام‌های دیگر: OilRig یا Helix Kitten) – این گروه بنا بر ارزیابی‌ها تحت نظر سازمان اطلاعات خارجی ایران (وزارت اطلاعات – MOIS) فعالیت می‌کند. APT34 از حدود ۲۰۱۴ شناسایی شد و حوزه عملیات آن کشورهای خاورمیانه و سازمان‌های دولتی و مالی بوده است. تاکتیک اصلی این گروه حملات فیشینگ هدفمند و نفوذ از طریق زنجیره تأمین بوده است. به عنوان مثال، OilRig با ساخت وب‌سایت‌ها و ایمیل‌های جعلی (مثلاً آگهی استخدام در شرکت نفت) اطلاعات کاربران را سرقت می‌کرد یا بدافزار خود را در نرم‌افزارهای متداول تزریق می‌نمود. این گروه همچنین به حمله بدنام Shamoon 2012 مرتبط دانسته می‌شود که احتمالاً در همکاری با دیگر عوامل انجام شده است. کارشناسان امنیتی FireEye تصریح کرده‌اند که زیرساخت و اهداف OilRig با منافع دولت ایران همخوانی دارد و این گروه «با اطمینان بالا» به نیابت از حکومت ایران فعالیت می‌کند.
APT35 (معروف به Charming Kitten یا Phosphorus) – مشهورترین گروه هک ایرانی در رسانه‌ها است که ارتباط مستقیم با سپاه پاسداران (احتمالا سازمان اطلاعات سپاه) دارد. APT35 از حدود سال ۲۰۱۴ فعال است و به اجرای کارزارهای فیشینگ پیچیده شهرت دارد. این گروه معمولاً افراد یا نهادهای مرتبط با مسائل ایران در خارج (نظیر خبرنگاران، محققان، فعالان حقوق بشر، دیپلمات‌ها و سیاستمداران) را هدف قرار می‌دهد. روش‌های APT35 شامل ساخت پروفایل‌های جعلی (مثلاً در قامت روزنامه‌نگار)، ارسال لینک‌های آلوده یا بهره‌گیری از آسیب‌پذیری‌های روز صفر (مانند CVE-2021-40444 در MS Office) بوده است. طی سال‌های اخیر، مایکروسافت و گوگل چندین بار نسبت به فعالیت‌های این گروه هشدار داده‌اند. مایکروسافت در ۲۰۲۳ اعلام کرد Peach Sandstorm (اسم جدید APT35) کمپین‌های گسترده رمزعبور‌ربایی برای جمع‌آوری اطلاعات از اهداف ارزشمند انجام داده است. این گروه همچنین در جریان جنگ ۲۰۲۵ تلاش‌هایی علیه اهداف اسرائیلی (مثل اپراتورهای ارتباطی) داشته است.
APT39 (معروف به Chafer یا Remix Kitten) – این گروه که FireEye در ۲۰۱۸ افشا کرد، به وزارت اطلاعات (MOIS) نسبت داده می‌شود. APT39 تمرکز ویژه‌ای بر سرقت گسترده اطلاعات شخصی و سفر دارد؛ به عبارت دیگر، کار اصلی آن نفوذ به شرکت‌های مخابراتی و مسافرتی برای جمع‌آوری داده‌های مسافران، تماس‌ها و اقامت‌ها است. هدف این اقدامات، ردیابی افراد مورد علاقه حکومت ایران (اپوزیسیون، جاسوسان خارجی، دیپلمات‌ها) عنوان شده است. APT39 از سال ۲۰۱۴ فعال بوده و کشورهای خاورمیانه (و برخی کشورهای اروپایی و آمریکای شمالی) را هدف قرار داده است. در سال ۲۰۲۰، وزارت خزانه‌داری آمریکا شرکت «رانا» و چند فرد را به‌دلیل فعالیت‌های APT39 تحریم کرد و صراحتاً اعلام شد که این گروه زیر نظر MOIS عمل می‌کند. این گروه را می‌توان بازوی جاسوسی داخلی-خارجی وزارت اطلاعات در فضای سایبری دانست.
MuddyWater (نام‌های دیگر: Static Kitten یا Seedworm) – گروهی که از حدود ۲۰۱۷ فعال شد و اقدامات آن در کشورهای مختلف (از خاورمیانه تا اروپا و آمریکا) دیده شده است. در ابتدا منشا آن نامشخص بود و حتی برخی محافل آن را مستقل می‌پنداشتند، اما اکنون به‌عنوان یکی از زیرمجموعه‌های وزارت اطلاعات (MOIS) شناخته می‌شود. در ژانویه ۲۰۲۲، آژانس‌های امنیتی آمریکا و انگلستان در یک بیانیه مشترک MuddyWater را وابسته به MOIS معرفی کردند. این گروه از بدافزارهای متن‌باز تغییر‌یافته، پاورشل و تکنیک‌های مهندسی اجتماعی استفاده می‌کرد و اهداف آن عمدتاً سازمان‌های دولتی و مخابراتی کشورهای منطقه (از جمله عربستان، ترکیه، اسرائیل) و گاهی اروپا بوده است. برای مثال، در فوریه 2023 یک حمله باج‌افزار به دانشگاه صنعتی اسرائیل (تخنیون) رخ داد که اسرائیل رسماً MuddyWater را مسئول آن دانست. به‌طور کلی، MuddyWater نشان‌دهنده حضور تهاجمی و بی‌پروای سایبری ایران در صحنه جهانی است؛ گروهی که با وجود افشا شدن، همچنان به فعالیت زیر پرچم ایران ادامه می‌دهد.

البته گروه‌های دیگری نظیر Shamoon/Greenbug (مرتبط با حملات پاک‌کننده ۲۰۱۲)، Rocket Kitten، CopyKittens و … نیز شناسایی شده‌اند که برخی به سپاه، برخی به ارتش و برخی نامشخص منتسب‌اند. اما پنج گروه فوق از لحاظ حجم عملیات و تداوم فعالیت، در صدر فهرست پاسخ‌های سایبری ایران قرار می‌گیرند. شاید بتوان گفت در حالی که ایران در فضای فیزیکی از نظر توان نظامی سنتی نسبت به رقبای خود ضعیف‌تر است، اما این کشور با سرمایه‌گذاری در گروه‌های APT توانسته تا حدی در جنگ نامتقارن سایبری موازنه برقرار کند.

۶. ارزیابی نهایی و چشم‌انداز آینده

پیامدها و هزینه‌ها

حملات سایبری گسترده علیه ایران در سال‌های اخیر، تبعات چندبعدی برای کشور به‌همراه داشته است:

پیامدهای اقتصادی: اختلال در خدمات زیرساختی دیجیتال، مستقیماً بر اقتصاد تاثیر منفی گذاشته است. برای مثال، حمله به سامانه سوخت ۱۴۰۰ میلیون‌ها دلار خسارت (ناشی از اختلال توزیع و فروش آزاد بنزین) در پی داشت. حمله به Nobitex حدود ۱۰۰ میلیون دلار دارایی مردم را نابود کرد. حمله به بانک سپه هرچند طبق اعلام مقامات باعث از دست رفتن پول مشتریان نشد (نسخه‌های پشتیبان بازیابی گردید)، اما اعتماد عمومی به امنیت بانکداری الکترونیک را متزلزل ساخت. بسیاری از مردم نگران شدند که آیا سپرده‌هایشان امن است یا نه. همچنین قطعی اینترنت در خرداد ۱۴۰۴ عملاً تجارت دیجیتال کشور را فلج کرد؛ فروشگاه‌های آنلاین، صرافی‌های رمزارز داخلی، کسب‌وکارهای فریلنسری و … همگی طی دو هفته آسیب جدی دیدند. مجموع این عوامل، اقتصاد شکننده ایران را شکننده‌تر کرده و هزینه مبادله و ریسک سرمایه‌گذاری در حوزه فناوری را بالا برده است.
تبعات روانی و اجتماعی: تکرار موفقیت حملات سایبری دشمن، بی‌اعتمادی عمومی نسبت به توان دفاعی دولت را افزایش داده است. مردم وقتی می‌بینند یک گروه هکری می‌تواند در عرض یک روز بانک و پمپ‌بنزین و تلویزیون را از کار بیندازد، طبیعی است که احساس ناامنی کنند. این وضعیت در بلندمدت می‌تواند مشروعیت حکومت را زیر سوال ببرد که چرا قادر به حفاظت از زیرساخت‌ها نیست. از سوی دیگر، اقدامات دولت مانند قطع اینترنت نیز نارضایتی اجتماعی را تشدید کرده و شکاف دولت-ملت را عمیق‌تر نموده است. بسیاری از جوانان که وابسته به اینترنت برای کار و زندگی‌اند، این قطعی‌ها را به منزله تنگ‌تر شدن فضای نفس کشیدن می‌بینند. همچنین جنگ سایبری، ترس از جاسوسی دیجیتال را در جامعه فراگیر کرده؛ مردم نگران حریم خصوصی خود در پیام‌رسان‌ها، اپلیکیشن‌ها و … هستند (چه از جانب دشمن خارجی چه نظارت داخلی). به بیان خلاصه، اثر روانی جنگ سایبری برای جامعه ایران احساس ناامنی مدام در دنیای دیجیتال است.
ابعاد ژئوپلیتیک و امنیت ملی: همان‌طور که مشاهده شد، الگوی درگیری‌ها از جنگ متقارن سنتی (ارتش در برابر ارتش) به‌سمت نبرد ترکیبی و نامتقارن تغییر یافته است. ایران در رویارویی مستقیم نظامی قادر به مقابله با اسرائیل و آمریکا نیست، اما در فضای سایبری میدان تازه‌ای باز شده که در آن تا حدی امکان کنش و واکنش دارد. با این وجود، به‌دلیل عقب‌ماندگی تاریخی (حادثه استاکس‌نت ۲۰۱۰) ایران ناچار شده عمدتاً موضع تدافعی اتخاذ کند. هر حمله مهم سایبری علیه ایران (از نطنز گرفته تا قطعی اینترنت ۱۴۰۴) در واقع واکنشی از سوی ایران (چه سیاسی چه سایبری) در پی داشته اما آغازگر نبوده است. این نشان می‌دهد ابتکار عمل فعلاً در دست دشمنان ایران است و تهران بیشتر در تلاش برای ترمیم و پاسخ‌دهی حداقلی است تا تهاجم مؤثر. این وضعیت ممکن است موازنه تهدید را به ضرر ایران نگه دارد. ضمن اینکه موفقیت ایران در انجام حملات تلافی‌جویانه (مثل حملات هکری به اهداف اسرائیلی یا آمریکایی) تاکنون محدود و کمتر مخرب بوده است (عموماً در حد وب‌سایت‌ها یا سرقت اطلاعات، نه تخریب زیرساخت حیاتی). بنابراین ایران در یک موقعیت پیچیده امنیتی قرار گرفته که باید همزمان با حملات سایبری خارجی و فشار افکار عمومی داخلی دست و پنجه نرم کند.

چشم‌انداز

با توجه به روندهای اخیر، می‌توان انتظار داشت که جنگ سایبری میان ایران و دشمنانش در آینده نزدیک هم ادامه یابد و حتی تشدید شود. دلایل این پیش‌بینی عبارت‌اند از:

پیچیدگی فزاینده حملات: مهاجمان هر روز از تاکتیک‌ها و بدافزارهای پیچیده‌تری بهره می‌برند (مانند حملات زنجیره تامین، بدافزارهای بدون فایل، استفاده از هوش مصنوعی برای فیشینگ و …). این امر کار دفاع را سخت‌تر می‌کند. از سوی دیگر، ایران نیز احتمالاً تلاش خواهد کرد با سرمایه‌گذاری بر نخبگان سایبری و خرید ابزارهای جدید (مثلا از روسیه یا کره شمالی) توان تهاجمی/دفاعی خود را بهبود بخشد. بنابراین مسابقه تسلیحاتی سایبری متوقف نخواهد شد.
تمرکز حملات بر اهداف اقتصادی-اجتماعی: روند حملات نشان می‌دهد دشمنان به‌جای صرفاً نظامی یا هسته‌ای، اکنون نقاط حساس زندگی روزمره مردم را نشانه گرفته‌اند (سوخت، برق، بانک، اینترنت). این «زیرساخت‌های نرم» – یعنی اعتماد عمومی، اطلاعات و سرمایه دیجیتال – به خط مقدم نبرد تبدیل شده‌اند. در آینده نیز احتمالاً شاهد حملاتی به سایر بخش‌ها نظیر سیستم بهداشت و درمان، حمل‌ونقل هوایی، نظام آموزشی و … خواهیم بود که هر یک می‌تواند زندگی عادی را مختل کند و نارضایتی بیافریند. چنین حملاتی اگر موفق باشند، شاید بیش از یک حمله نظامی کلاسیک به یک پایگاه، به حکومت ضربه بزنند.
ادامه وضعیت تدافعی ایران: تا زمانی که ایران نتواند بازدارندگی مؤثری ایجاد کند (مثلاً با انجام حملات سایبری هم‌سطح علیه اسرائیل یا آمریکا)، این عدم تقارن برقرار خواهد ماند. البته اقدامات تهاجمی ایران (مانند APTها) برای آزار دشمن انجام می‌شود، اما هنوز بازدارنده نیست؛ کمااینکه اسرائیل از حمله سایبری به خاطر ترس از APTهای ایران خودداری نکرده است. در نتیجه، احتمالاً استراتژی ایران تمرکز بر دفاع سایبری عمقی خواهد بود تا حداقل حملات دریافتی را خنثی کند و هزینه اقدامات دشمن را بالا ببرد.

بر همین اساس، کارشناسان بر ضرورت‌های زیر برای ایران و کشورهای مشابه تاکید می‌کنند:

توسعه لایه‌های دفاع سایبری: ایجاد سیستم‌های تشخیص و پاسخگویی سریع (مانند مراکز SOC پیشرفته)، بهره‌گیری از هوش مصنوعی برای شناسایی الگوهای نفوذ، و ارتقای مداوم دیواره‌های آتش و سامانه‌های کشف بدافزار. بدون دفاع چندلایه، حملات پیچیده قطعاً راه نفوذ خواهند یافت.
بازسازی و به‌روزرسانی زیرساخت‌های فناوری: بسیاری از شبکه‌ها و سامانه‌های ایران قدیمی و آسیب‌پذیرند. استفاده وسیع از نرم‌افزارهای کرک‌شده (مثلا ویندوزهای قدیمی) و تجهیزات چینی غیرایمن، ایران را در برابر حملات باز گذاشته است. سرمایه‌گذاری در تجهیزات امن‌تر، اعمال پچ‌های امنیتی و جداسازی شبکه‌های حساس از اینترنت جهانی (Air-gap واقعی) ضروری است.
طراحی پروتکل‌های تاب‌آوری و استمرار کسب‌وکار (BCP): نهادهای حیاتی باید برنامه‌های روشنی برای مواقع حمله سایبری داشته باشند؛ مثلاً سیستم بانکی نیازمند پشتیبان آفلاین و امکان ادامه خدمات به‌صورت دستی در زمان قطع آنلاین است. تمرین‌های مدوام برای واکنش به حوادث (Incident Response) و آموزش کارکنان برای شرایط اضطراری، شدت خسارات را به میزان زیادی کاهش خواهد داد.

به طور کلی، امنیت سایبری باید به اولویت فوری امنیت ملی ایران تبدیل شود. همان‌گونه که حملات ۲۰۲۵ نشان داد، بی‌توجهی به این حوزه می‌تواند کل کشور را به‌معنای واقعی کلمه در تاریکی فرو ببرد. در عصر جدید، قدرت یک کشور صرفاً به موشک و تانک نیست بلکه به تاب‌آوری دیجیتال و حفاظت از فضای سایبری نیز وابسته است. آینده جنگ‌ها شاید کمتر در میدان‌های نبرد فیزیکی و بیشتر در سکوت مدارهای الکترونیکی رقم بخورد – و برای این آینده، آماده‌شدن یک الزام است نه انتخاب. ایران و تمامی کشورهایی که در این میدان پرمخاطره درگیرند، چاره‌ای جز ارتقای فوری سپرهای دفاع سایبری خود ندارند تا در نبرد پنهانی که جریان دارد، بقا یابند و از منافع ملی‌شان صیانت کنند.

منابع:

Sanger, D. (2025). Israel’s Ambition: Destroy the Heart of Iran’s Nuclear Program. NY Timesen.wikipedia.org en.wikipedia.org
Security & Defence PL: Operation Olympic Games – Cyber-sabotage aimed at Iran’s nuclear programsecurityanddefence.pl securityanddefence.pl
Zetter, K. (2012). Meet “Flame,” The Massive Spy Malware Infiltrating Iranian Computers. Wiredwired.com wired.com
Hopkins, N. (2011). ’New Stuxnet’ worm targets companies in Europe (Duqu). The Guardiantheguardian.com theguardian.com
Gibbs, S. (2015). Duqu 2.0 virus ‘linked to Israel’ found at Iran nuclear talks venue. The Guardiantheguardian.com theguardian.com
Kirk, J. (2015). Equation cyberspies use NSA-style techniques to hit Iran, Russia. CSO Onlinecsoonline.com csoonline.com
Burgess, M. (2021). A Hacking Spree Against Iran Spills Out Into the Physical World. Wiredwired.com wired.com
Wikipedia (fa): حمله سایبری به جایگاه‌های سوخت ایران ۱۴۰۰en.wikipedia.org en.wikipedia.org
Cimpanu, C. (2021). Cyber-attack on Iranian railway was a wiper incident, not ransomware. The Recordtherecord.media therecord.media
Check Point Research (2021). Indra – Hackers Behind Recent Attacks on Iranresearch.checkpoint.com research.checkpoint.com
Vicens, A. & Pearson, J. (2025). Suspected Israeli hackers claim to destroy data at Iran’s Bank Sepah. Reutersreuters.com reuters.com
TRM Labs (2025). Iran’s Largest Crypto Exchange Targeted in $90M Hacktrmlabs.com trmlabs.com
Lakshmanan, R. (2025). Pro-Iranian Hacktivist Group Leaks Records… / Predatory Sparrow hacks. The Hacker Newsthehackernews.com thehackernews.com
Franceschi-Bicchierai, L. (2025). Iran says it shut down internet to protect against cyberattacks. TechCrunchtechcrunch.com techcrunch.com
Walden, M. (2025). People in Iran face internet blackout as Israeli strikes continue. ABC Newsabc.net.au abc.net.au
Sharwood, S. (2025). Iran’s internet goes offline amid claims of ‘enemy abuse’. The Registertheregister.com apnews.com
Auchard, E. (2017). Once ‘kittens’ in cyber spy world, Iran gains prowess. Reutersreuters.com reuters.com
APT Group Cards: APT33 (Elfin) – ETDA Threat Actor Encyclopediaapt.etda.or.th apt.etda.or.th
APT Group Cards: APT34 (OilRig) – ETDAapt.etda.or.th apt.etda.or.th
Picus Security (2025). Inside the Shadows: Iranian APT Groupspicussecurity.com
GINC (2023). APT39 – Iranian MOIS cyber espionage groupginc.org ginc.org
CISA & NCSC-UK (2022). Advisory: Iranian MuddyWater APTguidepointsecurity.com attack.mitre.org