هک سازمان‌های صهیونیستی توسط گروه سایبرطوفان

به گزارش کارگروه حملات سایبری سایبربان؛ یک گروه هکری طرفدار فلسطین به نام سایبر طوفان (Cyber Toufan) در میدان نبرد دیجیتال جنگ رژیم صهیونیستی و غزه به تهدیدی جدی برای گروه‌های اسرائیلی تبدیل شده است.

در طول سال گذشته، این گروه هکری بیش از ۱۰۰ نفوذ را با تمرکز بر بخش‌های حیاتی برای اقتصاد و امنیت رژیم صهیونیستی از جمله دولتی، دفاعی، امور مالی و زیرساخت‌ها سازماندهی کرده است.

تشدید جنگ سایبری علیه رژیم صهیونیستی در درگیری غزه

برخلاف مجرمان سایبری سنتی که انگیزه آنها سود مالی است، عملیات‌های سایبر طوفان با هدف ایجاد اختلال، بی‌ثبات کردن و وارد کردن آسیب به اعتبار از طریق نشت داده‌های زمان‌بندی‌شده دقیق در پلتفرم‌هایی مانند تلگرام و سایت‌های نشت اختصاصی انجام می‌شود.

حملات آنها تصادفی نیست، بلکه به صورت استراتژیک نهادهایی را که ارتباط مستقیم یا غیرمستقیم با منافع رژیم صهیونیستی دارند، هدف قرار می‌دهد و تأثیر روانی و سیاسی کمپین‌های آنها را تقویت می‌کند.

کارشناسان معتقدند که تاکتیک‌های سایبر طوفان، رویکردی پیچیده اما فرصت‌طلبانه را نشان می‌دهد که به جای تکیه بر بدافزارهای پیشرفته یا اکسپلویت‌های روز صفر، از بهداشت ضعیف امنیت سایبری بهره می‌برد.

طبق این گزارش، تحقیقات تیم واکنش به حوادث «OP Innovate» در مورد 3 نفوذ تأیید شده، یک الگوی ثابت را برجسته می‌کند: مهاجمان از طریق اعتبارنامه‌های ضعیف یا استفاده مجدد شده، فاقد احراز هویت چند عاملی (MFA)، دسترسی اولیه را به دست می‌آورند که اغلب به سرویس‌های وی‌پی‌ان یا فایروال خارجی ارائه شده توسط فروشندگان شخص ثالث مانند بزِک (Bezeq) یا پارتنر (Partner) مرتبط است.

سوءاستفاده از امنیت ضعیف برای نفوذهای مخفیانه

پس از ورود، هکرها با استفاده از ابزارهای بومی مانند پاورشِل (PowerShell) و «SMB/Windows Admin Shares»، حرکات جانبی مخفیانه‌ای را اجرا و از شبکه‌های مسطح و سرورهای فایل محافظت نشده و گاهی اوقات حتی حساب‌های مهمان بدون رمز عبور برای استخراج داده‌های حساس استفاده می‌کنند.

روش‌های آنها با چارچوب «MITER ATT&CK» مطابقت دارد و شامل شناسایی (T1595)، توسعه منابع (T1583)، دسترسی اولیه از طریق حساب‌های معتبر (T1078) و فرار از دفاع (T1027، T1562) با استفاده از ابزارهای سیستم قانونی برای جلوگیری از شناسایی است. این رویکرد به آنها اجازه می‌دهد تا زمانی که داده‌ها، اغلب چند هفته بعد، برای حداکثر تأثیر استراتژیک، فاش نشوند، به صورت ناشناس باقی بمانند.

به گفته محققان، عملیات‌های این گروه هکری شواهدی از حملات موازی را نشان می‌دهد مبنی بر اینکه کمپین‌های هماهنگ برای جمع‌آوری حجم زیادی از اطلاعات در یک بازه زمانی کوتاه فعالیت می‌کنند که سپس به صورت انتخابی برای هماهنگی با چرخه‌های رسانه‌ای یا رویدادهای ژئوپلیتیکی منتشر می‌شوند.

چالش واقعی برای سازمان‌های هدف، آسیب‌پذیری‌های خودشان است. فقدان ثبت متمرکز، نگهداری ناکافی، گاهی اوقات به کوتاهی یک روز و عدم تقسیم‌بندی شبکه، بارها موفقیت سایبر طوفان را ممکن ساخته است.

بدون ردیابی‌های حسابرسی جامع یا هشداردهی در زمان واقعی، مدافعان برای ردیابی مسیرهای حمله یا تشخیص شناسایی زودهنگام تلاش می‌کنند، درحالی‌که شبکه‌های داخلی مسطح به مهاجمان اجازه می‌دهند پس از ورود آزادانه تغییر جهت دهند.

اداره ملی سایبری رژیم صهیونیستی در پیامی به سازمان‌ها برای مقابله با تهدیدات سایبری پیامی منتشر کرد:

«سازمان‌ها باید احراز هویت چند عاملی را در تمام نقاط دسترسی از راه دور در اولویت قرار دهند، حساب‌های پیش‌فرض یا غیرفعال را حذف، شبکه‌ها را با قوانین سختگیرانه فایروال تقسیم‌بندی، سرورهای فایل را با سیاست‌های حداقل امتیاز قفل و در راه‌حل‌های قوی ثبت وقایع با دوره‌های نگهداری طولانی حداقل 90 روزه سرمایه‌گذاری کنند. همچنان که سایبرطوفان به استفاده از پیکربندی‌های نادرست اولیه ادامه می‌دهد، پیام واضح است: تقویت رویه‌های امنیتی اساسی دیگر اختیاری نیست، بلکه یک خط دفاعی حیاتی در برابر جنگ سایبری با انگیزه‌های سیاسی است.»