گسترش فعالیت هکرهای منتسب به ایران؛ از حمله سایبری به متروی لس‌آنجلس تا هشدار به کاربران اسرائیلی

بر اساس داده‌های سرف شارک، ایران از نظر شاخص‌های دفاع سایبری عملکرد ضعیف‌تری در مقایسه با کشورهای پیشرو دارد. تاب‌‌آوری و آمادگی پایین در زیرساخت دیجیتال، امنیت کاربران، حفاظت داده‌ها و کیفیت اینترنت گویای این وضعیت هستند. با این حال، ایران یکی از بازیگران فعال سایبری منطقه محسوب می‌شود و بارها در گزارش‌های مختلف به حملات گروه‌های منتسب به ایران اشاره شده است.

گسترش تهدیدات ابری

در گزارش شرکت کراد استرایک  (CrowdStrike) از تهدیدات سایبری ۲۰۲۶ به افزایش فعالیت مهاجمان منتسب به ایران در حوزه نفوذ هدفمند اشاره شده است. در سال ۲۰۲۵، چندین بازیگر تهدید با تمرکز ویژه بر محیط‌های ابری ظهور کردند. روسیه، چین، ایران و کره شمالی از جمله این بازیگران هستند.

یافته‌های این گزارش نشان می‌دهد که حملات سایبری مبتنی بر محیط‌های ابری ۳۷ درصد افزایش یافته است. همچنین فعالیت مهاجمان سایبری وابسته به دولت‌ها در این حوزه نیز با رشد قابل توجه ۲۶۶ درصدی مواجه شده است. حملات متمرکز بر زیرساخت‌های ابری از آن دست حملاتی است که حساب‌های ابری، کلیدهای دسترسی، سرویس‌های نرم‌افزار به‌عنوان سرویس (Saas)، دسترسی به داده‌های ذخیره‌شده در فضای ابری و نفوذ به محیط‌های AWS، Azure یا Google Cloud را هدف قرار می‌دهند.

این افزایش‌ها نشان می‌دهد که دولت‌ها یا گروه‌های وابسته به آن‌ها به فضاهای ابری علاقه‌مند شده‌اند. کارشناس‌های امنیت سایبری حجم بالای داده‌های حساس در کلود، تمرکز اطلاعات سازمان‌ها در یک فضا و امکان دسترسی گسترده‌تر با نفوذ موفق را از جمله عوامل تاثیرگذار در استقبال از این قبیل حملات می‌دانند. 

شرکت کراد استرایک پیش از این در گزارش تهدید جهانی ۲۰۲۵، پیش‌بینی کرده بود که حملات مهاجمان هدفمند به زیرساخت‌های ابری ادامه خواهد یافت. اهداف اصلی این دسته حملات هم سیستم‌های مدیریت و ذخیره اسناد، پلتفرم‌های داده محور و سامانه‌های حقوق و بازپرداخت هزینه‌ها هستند.

علاوه بر این، کراد استرایک یک کشف دیگر در طول سال ۲۰۲۵ مبنی بر حملات فیشینگ پیشرفته برای دسترسی به حساب‌های Microsoft 365  شناسایی کرد. در این نوع حمله، مهاجمان از اعتماد میان کاربر و سیستم احراز هویت مایکروسافت سوءاستفاده می‌کنند. آن‌ها از این طریق بستری فراهم می‌کنند تا کاربر اطلاعات ورودش را در یک صفحه جعلی وارد کند، درخواست احراز هویت به مایکروسافت ارسال شود و در آخر بتوانند، به احراز هویت واقعی دسترسی پیدا کنند.

مهاجمانی که هدف کسب درآمد از حمله دارند، از این دسترسی برای شناسایی داده‌ها و حرکت به سمت سایر سرویس‌ها استفاده می‌کنند. اما هدف گروه‌های وابسته به دولتها از ایجاد این دسترسی، تمرکز بر اهداف اطلاعاتی در سرویس‌های Outlook و SharePoint است.

بررسی‌های کراد استرایک در این خصوص نشان می‌دهد که در ماه نوامبر سال ۲۰۲۵، مهاجم مرتبط با ایران به نام IMPERIAL KITTEN عملیات فیشینگ اعتبارنامه علیه کاربران اسرائیلی Microsoft 365 انجام داده است. در این حمله، از زیرساخت فیشینگ با تم اسرائیلی، پیام‌های گمراه‌کننده به زبان‌های انگلیسی و عبری برای ایجاد حس فوریت و اعتبار استفاده شده است.

در نتیجه، مهاجم توانسته تا با شناسایی اولیه حساب‌های Microsoft 365 به بخش‌هایی مانند Microsoft App Access Panel، Office Home و Microsoft Authenticator دسترسی پیدا و سرویس‌ها و سطح دسترسی کاربران را نقشه‌برداری کند. 

تشدید فعالیت گروه‌های منتسب به ایران

ایران همچنان در سال جاری به‌عنوان یکی از بازیگرهای فعال در حوزه حملات سایبری دولتی شناخته می‌شود. حتی دامنه تهاجم‌هایش گسترش یافته و دیگر فقط به اسرائیل محدود نیست.

ارزیابی کراد استاریک هم نشان می‌دهد که گروه‌های همسو با ایران در حال گسترش شناسایی اهداف هستند. یافته‌های این شرکت حملات جاسوسی سایبری و فیشینگ گروه‌های منتسب به ایران با نام‌های،  APT42   Charming Kitten و   Mint Sandstorm شناسایی کرده است.

یافته‌های گزارش‌های مرتبط با Google Threat Intelligence هم از افزایش اهداف خبر می‌دهد. بر اساس این گزارش، همزمان با درگیر‌ی‌های منطقه‌ای، بیش از ۱۵۰ حمله سایبری طی ۷۲ ساعت ثبت شده که کشورهای عضو شورای همکاری خلیج فارس  GCC، اسرائیل، اروپا و آمریکای شمالی جزو اهداف اصلی بوده‌اند.

علاوه بر گسترش اهداف حملات گروه‌های وابسته به ایران، تعداد و شدت‌ رخدادها هم رشد چشمگیری یافته است. تا جایی که بیش از ۱۰ گروه APT فعال و بیش از ۶۰ گروه Hacktivist شناسایی شده است. حملات سایبری پس از تنش‌های منطقه‌ای معادل ۱۳۳ درصد افزایش یافته که کشور امارات به‌عنوان یکی از اهداف روزانه حدود ۲۰۰ هزار حمله را تجربه کرده است.

همچنین، رویترز گزارش داده که یکی از مهم‌ترین حملات سایبری امسال حمله به سیستم حمل‌ونقل لس‌آنجلس بوده که در جریان آن حدود ۷۰۰ گیگابایت داده فاش شده است. این عملیات به یک گروه هکری مستقر در تهران منتسب داده شده است.

البته اهداف دیگری هم در ترکیه و اسرائیل شناسایی شده است. در مجموع، آنچه از گزارش های ۲۰۲۶ درباره رخدادهای سایبری استنباط می شود که فعالیت ایران به عنوان یکی از پنج بازیگر برتر سایبری جهان است. البته این فعالیت بیشتر در زمینه جاسوسی سایبری، فیشینگ هدفمند، عملیات نفوذ منطقه‌ای و حملات به زیرساخت‌های خاورمیانه است.