بررسی جامع حملات سایبری علیه جمهوری اسلامی ایران

گروه‌هایی که به اسرائیل، آمریکا و متحدان منطقه‌ای آن‌ها وابسته‌اند (مانند یگان ۸۲۰۰ ارتش اسرائیل و گروهی به نام گنجشک درنده) عملیات‌های پیچیده‌ای علیه ایران اجرا کرده‌اند. این مقاله با هدف بررسی دقیق و تحلیل ساختارمند این حملات، به مرور تاریخچه، تاکتیک‌ها، ابزارهای استفاده‌شده، بازیگران کلیدی و تأثیرات ژئوپلیتیکی این جنگ سایبری می‌پردازد.

۱. سیر تحول جنگ سایبری علیه ایران

جنگ سایبری علیه ایران در دو دهه اخیر به یکی از مهم‌ترین ابزارهای تقابل ژئوپلیتیک در خاورمیانه تبدیل شده است. این نوع جنگ، که شامل حملات سایبری به زیرساخت‌های حیاتی، جاسوسی دیجیتال و تخریب سیستم‌های حساس است، در سه مرحله اصلی تکامل یافته است که هر مرحله ویژگی‌ها، اهداف و ابزارهای خاص خود را داشته است. در ادامه، توضیح مختصری از این سیر تحول ارائه می‌شود:

فاز اول (۲۰۰۶–۲۰۱۲): هدف‌گیری برنامه هسته‌ای

نخستین گام‌های جنگ سایبری علیه ایران با عملیات المپیک گیمز از سال ۲۰۰۶ و در دوره دولت بوش آغاز شد. این عملیات، که با همکاری آمریکا و اسرائیل طراحی شده بود، به‌منظور نفوذ و ایجاد اختلال در تأسیسات غنی‌سازی اورانیوم ایران، به‌ویژه سایت نطنز، اجرا شد تا برنامه هسته‌ای را تضعیف یا متوقف کند. بدافزار استاکس‌نت، که بین سال‌های ۲۰۰۹ تا ۲۰۱۰ به کار رفت، با هدف قرار دادن سیستم‌های کنترل صنعتی سانتریفیوژها، حدود ۱۰۰۰ دستگاه از ۵۰۰۰ سانتریفیوژ فعال در نطنز را از کار انداخت. این حمله، که بعدها مشخص شد توسط آمریکا و اسرائیل طراحی شده بود، به‌عنوان اولین سلاح سایبری شناخته شد که خسارت فیزیکی به زیرساخت‌ها وارد کرد. موفقیت نسبی استاکس‌نت (توقف موقت غنی‌سازی برای حدود یک سال) باعث شد عملیات المپیک گیمز با شدت بیشتری ادامه یابد.

همزمان، بدافزارهای جاسوسی مانند فلیم و دوکو نیز در این دوره به کار گرفته شدند. این ابزارها، که بین سال‌های ۲۰۱۱ و ۲۰۱۲ کشف شدند، برای جمع‌آوری اطلاعات حساس از سیستم‌های ایرانی طراحی شده بودند. فلیم، یک بدافزار پیچیده و حجیم، اطلاعات اسناد، مکالمات و فعالیت‌های کاربران را سرقت می‌کرد و در کشورهایی مانند ایران، لبنان و سوریه فعال بود. تحلیلگران معتقدند فلیم احتمالاً بخشی از پروژه‌ای بود که استاکس‌نت و دوکو را نیز طراحی کرده بود. دوکو، با شباهت کدنویسی به استاکس‌نت، به‌جای تخریب، برای جاسوسی و جمع‌آوری داده‌هایی مانند طرح‌های صنعتی سانتریفیوژها به کار رفت و حتی در سال ۲۰۱۵ (به‌عنوان دوکو ۲.۰) برای جاسوسی از مذاکرات هسته‌ای ایران در هتل‌های اروپایی استفاده شد. در این مرحله، تمرکز اصلی حملات سایبری بر اخلال در برنامه هسته‌ای و جمع‌آوری اطلاعات استراتژیک بود.

فاز دوم (۲۰۱۳–۲۰۲۰): نفوذ پنهان و جاسوسی بلندمدت

پس از فاز اول و با دستیابی به توافقات موقت، ماهیت جنگ سایبری تغییر کرد. در سال‌های ۲۰۱۳ تا ۲۰۲۰، تمرکز مهاجمان به نفوذ مخفیانه و جاسوسی طولانی‌مدت معطوف شد و حملات تخریبی مستقیم کاهش یافت. گروهی به نام Equation Group، که به گفته محققان امنیتی وابسته به NSA آمریکا بود، با استفاده از بدافزارها و ابزارهای بسیار پیشرفته، به شبکه‌های حساس در ایران و دیگر کشورها نفوذ کرد. این گروه حتی قادر بود سفت‌افزار هارددیسک‌ها را آلوده کند و بخش‌هایی غیرقابل حذف ایجاد کند که هیچ روش معمولی، مانند فرمت کامل دیسک، نمی‌توانست آن‌ها را پاک کند. بر اساس گزارش کسپرسکی، این گروه به نهادهای نظامی، مخابراتی، دولتی، انرژی و مالی در کشورهایی مانند ایران، روسیه و چین نفوذ کرد. این حملات بیشتر با هدف جاسوسی و کنترل سیستم‌ها انجام می‌شد تا تخریب فوری. آمریکا در این دوره با رصد رفتارها و ارتباطات ایران، به دنبال کسب اطلاعات حساس و ایجاد فشار اطلاعاتی بر تهران بود. حضور مداوم بدافزارهای آمریکایی در زیرساخت‌های ایران، از سامانه‌های صنعتی تا سیستم‌های مالی، به واشنگتن امکان داد تا مانند شمشیری آماده، در صورت نیاز بر زیرساخت‌های ایران تأثیر بگذارد.

در همین دوره، طرح‌هایی تهاجمی مانند نیترو زئوس (Nitro Zeus) نیز آماده اجرا بودند. این طرح، که در سال ۲۰۱۶ گزارش شد، برای انجام حملات سایبری گسترده به زیرساخت‌های حیاتی ایران (مانند شبکه برق، ارتباطات و پدافند هوایی) در صورت شکست مذاکرات هسته‌ای طراحی شده بود. با امضای توافق هسته‌ای در سال ۲۰۱۵، این طرح اجرا نشد و کنار گذاشته شد. به‌طور کلی، فاز دوم جنگ سایبری بر نفوذ مخفی، استقرار در نقاط ضعف شبکه‌های ایرانی و جمع‌آوری اطلاعات بلندمدت تمرکز داشت و حملات پنهان و غیرمستقیم جایگزین حملات آشکار شدند.

فاز سوم (۲۰۲۱–۲۰۲۵): تخریب آشکار زیرساخت‌ها

از سال ۲۰۲۱، با افزایش تنش‌های منطقه‌ای، مرحله جدیدی از جنگ سایبری علیه ایران آغاز شد که با حملات تخریبی آشکار و ایجاد خسارات فیزیکی و روانی مشخص می‌شد. ظهور گروهی به نام گنجشک درنده نقطه عطفی بود که نشان‌دهنده تغییر راهبرد از جاسوسی به بازدارندگی فعال سایبری از طریق حملات مخرب بود. این گروه مسئولیت حملات گسترده‌ای را بر عهده گرفت که زیرساخت‌هایی مانند شبکه ریلی، سامانه توزیع سوخت، صنایع فولاد و اخیراً بانک‌ها و صرافی‌های رمزارز را هدف قرار داد. هدف این حملات، ایجاد هزینه‌های اقتصادی مستقیم و القای ترس روانی در جامعه ایران بود. برخلاف فازهای قبلی که بر جاسوسی متمرکز بودند، این حملات به دنبال بازدارندگی ایران از اقدامات نظامی یا منطقه‌ای از طریق حملات سایبری آشکار بودند.

یکی از اولین حملات بزرگ در این فاز، در تیر ۱۴۰۰ (جولای ۲۰۲۱) به شبکه ریلی ایران رخ داد که خدمات قطارها را در سراسر کشور مختل کرد. هکرها با نمایش پیام‌هایی مانند «تأخیر طولانی به دلیل حمله سایبری – با ۶۴۴۱۱ تماس بگیرید» روی تابلوهای ایستگاه‌ها، به‌صورت کنایه‌آمیز دفتر رهبری ایران را هدف قرار دادند. بررسی‌های فنی نشان داد که بدافزار وایپر جدیدی به نام Meteor در این حمله استفاده شده که فایل‌های سیستمی را پاک و حتی رکورد بوت سیستم‌ها را تخریب می‌کرد. این عملیات توسط محققان SentinelOne با نام MeteorExpress شناخته شد. ابتدا گروهی ناشناس به نام INDRA به‌عنوان عامل حمله معرفی شد، اما بعدها شواهدی از نقش گنجشک درنده نیز مطرح شد.

در مهر ۱۴۰۰ (اکتبر ۲۰۲۱)، حمله دیگری به سامانه کارت‌های سوخت‌رسانی پمپ‌بنزین‌ها انجام شد که حدود ۴۳۰۰ جایگاه سوخت را از کار انداخت و عرضه بنزین سهمیه‌ای را برای حدود ۱۲ روز مختل کرد. در برخی جایگاه‌ها، پیام «حمله سایبری ۶۴۴۱۱» نمایش داده شد که بار دیگر به جنگ روانی اشاره داشت. گروه گنجشک درنده مسئولیت این حمله را بر عهده گرفت. مقامات ایرانی ابتدا آن را مشکل نرم‌افزاری خواندند، اما سپس اسرائیل و آمریکا را متهم کردند. منابع غربی نیز تأیید کردند که این حمله توسط اسرائیل انجام شده است. بدافزار مورد استفاده، که بعداً Stardust یا Comet نام گرفت، لاگ‌های سیستم را پاک و تنظیمات بوت را تغییر می‌داد تا بازیابی سامانه‌ها دشوار شود.

نمونه‌های دیگر این فاز شامل موارد زیر است:

• خرداد ۱۴۰۱ (ژوئن ۲۰۲۲): حمله به شرکت فولاد خوزستان و دو مجموعه فولادی دیگر، که باعث اختلال در تولید و حتی آتش‌سوزی در تجهیزات صنعتی شد. گنجشک درنده با انتشار ویدئویی از انفجار کوره، مسئولیت این حمله را پذیرفت و از بدافزار اختصاصی (با نام مستعار چاپلین برای سیستم‌های صنعتی) استفاده کرد که کنترلرهای صنعتی را دستکاری می‌کرد. کارشناسان معتقدند چنین حملاتی نیازمند حمایت دولتی است. رسانه‌های اسرائیلی گزارش دادند که یگان ۸۲۰۰ ارتش اسرائیل پشت این حمله بود، تا حدی که وزیر دفاع اسرائیل دستور تحقیق درباره درز این خبر را داد.
• آذر ۱۴۰۲ (دسامبر ۲۰۲۳): حمله دوباره به سامانه توزیع سوخت در میانه جنگ غزه. گنجشک درنده اعلام کرد که در پاسخ به «اقدامات تهاجمی ایران»، حدود ۷۰٪ از پمپ‌بنزین‌های ایران را از کار انداخته است. در بیانیه‌ای به فارسی و انگلیسی، مهاجمان هشدار دادند که «بازی با آتش هزینه دارد» و مدعی شدند برای جلوگیری از بحران انسانی، برخی جایگاه‌ها را عمداً فعال نگه داشته‌اند. مقامات ایران این حمله را «خرابکاری نرم‌افزاری» خواندند، اما رسانه‌های بین‌المللی آن را به اسرائیل نسبت دادند.
• خرداد ۱۴۰۴ (ژوئن ۲۰۲۵): موج بی‌سابقه‌ای از حملات سایبری که با تنش‌های نظامی هم‌زمان شد. در ۲۷ خرداد ۱۴۰۴ (۱۷ ژوئن ۲۰۲۵)، گنجشک درنده اعلام کرد که به بانک سپه نفوذ کرده و تمام داده‌های آن را پاک کرده است، که باعث اختلال کامل در خدمات بانکداری الکترونیک شد. به گفته راب جویس (مدیر سابق امنیت سایبری NSA)، این حمله می‌تواند اعتماد عمومی به نظام بانکی را تضعیف کند. یک روز بعد (۱۸ ژوئن)، این گروه به صرافی رمزارز Nobitex حمله کرد و حدود ۹۰ میلیون دلار دارایی دیجیتال را سرقت و به آدرس‌های غیرقابل‌بازیابی منتقل کرد، عملی که به‌جای کسب سود، برای ضربه اقتصادی و روانی به ایران انجام شد. در ۲۲ ژوئن، گروه ایرانی Team 313 در پاسخ به حملات آمریکا، پلتفرم Truth Social را با حمله منع سرویس از دسترس خارج کرد. همچنین در ۲۸ خرداد ۱۴۰۴، صدا و سیمای ایران هک شد و برای مدت کوتاهی پیام‌ها و تصاویری ضدحکومتی و حامی اسرائیل پخش شد. این رویدادها نشان‌دهنده تشدید بی‌سابقه جنگ سایبری دوجانبه در سال ۲۰۲۵ است.

۲. گنجشک درنده: بازیگری مرموز و تأثیرگذار در جنگ سایبری

هویت و ارتباطات احتمالی گروه سایبری گنجشک درنده از سال ۲۰۲۱ با اجرای حملات پر سر و صدا علیه زیرساخت‌های ایران به شهرت رسید، اما هویت دقیق اعضای آن همچنان در هاله‌ای از ابهام قرار دارد. این گروه هرگز به‌صورت رسمی وابستگی خود را اعلام نکرده است. با این حال، شواهد زمانی و فنی، از جمله همزمانی برخی حملات با عملیات‌های نظامی اسرائیل و گزارش‌های غیررسمی در رسانه‌های اسرائیلی، حاکی از ارتباط احتمالی این گروه با یگان‌های سایبری ارتش اسرائیل، به‌ویژه یگان ۸۲۰۰، است. برای مثال، پس از حمله به کارخانه فولاد خوزستان در سال ۲۰۲۲، برخی رسانه‌های اسرائیلی به‌طور غیرمستقیم به نقش یگان ۸۲۰۰ اشاره کردند. این رسانه‌ها معمولاً از گنجشک درنده به‌عنوان گروهی «مرتبط با اسرائیل» یاد می‌کنند، هرچند تل‌آویو به‌صورت رسمی این حملات را تأیید نکرده است.

نکته قابل‌توجه، استفاده این گروه از نام‌های متعدد است که به نظر می‌رسد برای گمراه کردن تحلیلگران به کار می‌رود. در محافل امنیتی، این گروه با نام‌هایی مانند «ایندرا» (INDRA)، «عدالت علی» و «MeteorExpress» (برگرفته از حمله به شبکه ریلی در سال ۱۴۰۰) شناخته شده است. به عنوان مثال، در حمله به شبکه ریلی ابتدا گروه INDRA، که پیش‌تر به اهداف سوری حمله کرده بود، به‌عنوان عامل معرفی شد، اما شواهد بعدی به گنجشک درنده اشاره داشت. همچنین در سال ۲۰۲۱، هک دوربین‌های زندان اوین به نام «عدالت علی» نسبت داده شد که برخی تحلیلگران معتقدند یکی از نام‌های مستعار گنجشک درنده است. گزارش یک شرکت امنیتی تأیید می‌کند که گنجشک درنده احتمالاً همان INDRA، عدالت علی و MeteorExpress است و از این نام‌های متنوع برای پیچیده‌تر کردن ردیابی فعالیت‌های خود استفاده می‌کند.

حملات شاخص (۲۰۱۹–۲۰۲۵) فعالیت‌های گنجشک درنده را می‌توان با مجموعه‌ای از حملات سایبری برجسته در سال‌های اخیر خلاصه کرد. جدول زیر مهم‌ترین این حملات را نشان می‌دهد:

علاوه بر این‌ها، حملاتی مانند هک خبرگزاری فارس (منتسب به عدالت علی)، افشای داده‌های وزارت راه و شهرسازی، و نفوذ به سامانه‌های دوربین مداربسته نیز به این گروه نسبت داده شده است. الگوی این گروه، ترکیب حملات اقتصادی و فنی با پیام‌های روانی و تبلیغاتی است. مهاجمان در هر حمله تلاش کرده‌اند با نمایش پیام‌هایی مانند شماره ۶۴۴۱۱ یا پخش تصاویر و شعارهای هشداردهنده، تأثیر روانی و عمومی عملیات خود را تقویت کنند.

۳. بررسی فنی و عملیاتی

بدافزارها و ابزارهای تخصصی حملات سایبری علیه ایران، به‌ویژه در فازهای اخیر، با استفاده از بدافزارهای پیچیده و ابزارهای سفارشی انجام شده‌اند که برای اهداف خاص طراحی شده‌اند. مهم‌ترین این ابزارها عبارت‌اند از:

• Meteor (وایپر): بدافزاری تخریبی که در حمله به شبکه ریلی در سال ۱۴۰۰ استفاده شد. این وایپر با حذف فایل‌های سیستمی و نسخه‌های پشتیبان (Shadow Copies)، سیستم‌ها را غیرقابل‌بوت می‌کرد. Meteor با استفاده از مؤلفه nti.exe، بخش بوت (MBR) را بازنویسی و با فعال‌سازی ابزار قفل صفحه (mssetup.exe)، کاربران را از سیستم خارج می‌کرد. پس از حمله، پیام‌هایی تمسخرآمیز روی صفحه نمایش ظاهر می‌شد که کاربران را به تماس با شماره دفتر رهبری هدایت می‌کرد. این بدافزار ترکیبی از کدهای متن‌باز، ابزارهای قدیمی و ماژول‌های اختصاصی بود و نشانه‌هایی از توسعه سریع و چندتیمی داشت.
• Stardust و Comet: نسخه‌های تکامل‌یافته بدافزار وایپر، احتمالاً بر پایه Meteor. بر اساس تحلیل شرکت چک‌پوینت، مهاجمان بین سال‌های ۲۰۱۹ تا ۲۰۲۱ سه نسخه از وایپر (Meteor، Stardust و Comet) را توسعه دادند. برخلاف Meteor، این دو نسخه بخش boot.ini ویندوز را تغییر نمی‌دهند و از روش‌های دیگری برای تخریب استفاده می‌کنند. هر دو از ابزار LockMyPC برای قفل کردن سیستم بهره می‌برند و با حذف گذرواژه‌ها و ابزارهای بازیابی، بازگشت سیستم را دشوار می‌کنند. Stardust همچنین گزارش عملکرد را به سرور مهاجمان ارسال می‌کند. در حمله به سامانه سوخت در سال ۱۴۰۰، از نسخه‌های پیشرفته این بدافزارها برای حذف لاگ‌ها، غیرفعال‌سازی سرویس‌ها و اختلال در بوت سیستم‌ها استفاده شد.
• Chaplin: ابزار مخربی که برای حمله به سیستم‌های کنترل صنعتی (ICS/SCADA) در صنایع فولاد طراحی شده بود. این ابزار امکان کنترل و تخریب مستقیم تجهیزات صنعتی مانند کوره‌ها و روبات‌های کارخانه را فراهم می‌کرد. حمله سال ۲۰۲۲ به کارخانه فولاد خوزستان، که منجر به آتش‌سوزی شد، نتیجه استفاده از این ابزار بود. گزارش رویترز تأیید کرد که این حمله خسارات واقعی ایجاد کرده و نشان‌دهنده توانایی بالای مهاجمان، احتمالاً با پشتیبانی دولتی، بود. گنجشک درنده با انتشار ویدئویی از انفجار کوره، قدرت تخریبی خود را به نمایش گذاشت.

علاوه بر این‌ها، ابزارهایی مانند MeteorExpress (مجموعه کامل حمله به شبکه ریلی)، بدافزارهای پاک‌کننده ردپا (مانند حذف‌کننده لاگ‌ها در حمله به پمپ‌بنزین‌ها) و سوءاستفاده از آدرس‌های بلاکچین ونیتی در حمله به Nobitex نیز گزارش شده‌اند. مهاجمان از ترکیب بدافزارهای سفارشی و ابزارهای قانونی مانند Mimikatz، LaZagne و تونل‌های PowerShell استفاده می‌کنند تا حملات چندمرحله‌ای را اجرا و ردپای خود را مخفی کنند.

تکنیک‌های پیشرفته عملیاتی

حملات سایبری علیه ایران، به‌ویژه در سال‌های اخیر، از پیچیدگی‌های فنی و تاکتیکی بالایی برخوردار بوده‌اند. در ادامه، به مهم‌ترین این تکنیک‌ها اشاره می‌شود:

شناسایی و دور زدن سیستم‌های امنیتی: مهاجمان پیش از حمله، وجود نرم‌افزارهای آنتی‌ویروس یا ابزارهای امنیتی در سیستم‌های هدف را بررسی کرده و راه‌هایی برای غیرفعال کردن یا دور زدن آن‌ها به کار می‌برند. برای مثال، در حمله به شبکه ریلی در سال ۱۴۰۰، اسکریپت cache.bat طراحی شده بود تا در صورت شناسایی آنتی‌ویروس کسپرسکی، عملیات را متوقف کند. در غیر این صورت، این اسکریپت فایل‌ها و پوشه‌های بدافزار را به لیست استثنائات Windows Defender اضافه می‌کرد تا از شناسایی شدن در امان بمانند. این دقت و هوشمندی نشان‌دهنده مطالعه عمیق مهاجمان روی سیستم‌های هدف است.

نفوذ عمیق و گسترش در شبکه: مهاجمان پس از دسترسی اولیه (مانند فیشینگ یا بهره‌برداری از آسیب‌پذیری‌های وب‌سرور)، با استفاده از ابزارهایی مانند Mimikatz برای سرقت اعتبارنامه‌ها و اسکریپت‌های PowerShell، به‌تدریج به سرورهای حساس‌تر مانند کنترل‌کننده‌های دامنه یا سرورهای پشتیبان نفوذ می‌کنند. آن‌ها با حذف لاگ‌ها و ردپاها، عملیات خود را مخفی نگه می‌دارند. استفاده از تکنیک «زندگی با امکانات موجود» (Living off the Land)، مانند بهره‌گیری از ابزارهای داخلی ویندوز، نیز به آن‌ها کمک می‌کند تا فعالیت‌هایشان کمتر قابل‌تشخیص باشد.

زمان‌بندی هماهنگ با تحولات ژئوپلیتیک: حملات سایبری اغلب در زمان‌هایی اجرا شده‌اند که از نظر سیاسی و نظامی حساس بوده‌اند. برای نمونه، حمله به سامانه سوخت در سال ۱۴۰۰ همزمان با سالگرد اعتراضات آبان ۹۸ (مرتبط با افزایش قیمت بنزین) رخ داد. همچنین، موج حملات خرداد ۱۴۰۴ بلافاصله پس از گزارش‌هایی از حملات نظامی اسرائیل به تأسیسات هسته‌ای فردو و نطنز انجام شد، زمانی که ایران تهدید به انتقام کرده بود. این هم‌زمانی‌ها نشان می‌دهد که مهاجمان با هدف بازدارندگی یا پاسخ متقارن سایبری، حملات را با رویدادهای ژئوپلیتیک هماهنگ کرده‌اند. به گفته اسفندیار باتمانقلیچ، پژوهشگر اروپایی، این اقدامات بخشی از تلاش برای ایجاد توازن جدید قدرت در منطقه از طریق نمایش توان سایبری است.

جنگ روانی و پیام‌رسانی عمومی: مهاجمان در اکثر حملات از پیام‌های عمومی برای تقویت تأثیر روانی استفاده کرده‌اند. نمایش شماره ۶۴۴۱۱ (دفتر رهبری) روی تابلوهای ایستگاه‌های قطار و پمپ‌بنزین‌ها، درج شعار «پایتان را از گلیم‌تان درازتر نکنید» روی سیستم‌های وزارت راه، یا هک پخش زنده خبر صداوسیما با نمایش تصاویر اعتراضی، همگی بخشی از این استراتژی هستند. در حمله به صرافی Nobitex، مهاجمان از آدرس‌های بلاکچینی با عبارت‌هایی مانند “F*ckIRGCTerrorists” استفاده کردند تا پیام خود را به‌صورت علنی منتقل کنند. این ترکیب حمله فنی و جنگ رسانه‌ای، نمونه‌ای از «جنگ ترکیبی» است که در حملات اخیر برجسته بوده است.

۴. موج حملات سایبری در بیست روز اخیر (ژوئن ۲۰۲۵): اوج جنگ ترکیبی

زمینه ژئوپلیتیک در خرداد ۱۴۰۴ (ژوئن ۲۰۲۵)، تنش میان ایران و اسرائیل به سطح بی‌سابقه‌ای رسید. گزارش‌ها حاکی از حملات نیروی هوایی اسرائیل، با حمایت آمریکا، به تأسیسات هسته‌ای و نظامی ایران، از جمله سایت‌های فردو و نطنز، بود. هرچند جزئیات این حملات منتشر نشد، مقامات ایرانی با تأیید ضمنی خسارات، از «پاسخ متقارن» سخن گفتند. در روزهای بعد، تبادل آتش در جبهه سوریه و حملات موشکی متقابل گزارش شد. با این حال، به‌جای گسترش به یک جنگ نظامی تمام‌عیار، تقابل به فضای سایبری منتقل شد. این انتخاب نشان‌دهنده تمایل طرفین به اجتناب از درگیری مستقیم و استفاده از ابزارهای سایبری برای وارد کردن ضربه بود.

اسرائیل با تکیه بر گروه‌هایی مانند گنجشک درنده، حملات پی‌درپی به زیرساخت‌های ایران را آغاز کرد تا هم قدرت سایبری خود را نشان دهد و هم بازدارندگی ایجاد کند. در مقابل، گروه‌های هکری همسو با ایران، مانند Cyber Fattah و Handala Team، با افشای اطلاعات کاربران بازی‌های آسیایی سعودی یا حملات به سایت‌های اسرائیلی، به مقابله پرداختند. این تقابل چندلایه، که بازیگران دولتی و غیردولتی با انگیزه‌های ایدئولوژیک را درگیر کرد، فضای مجازی را به میدان جنگ نیابتی و نبرد روایت‌ها تبدیل کرد.

اوج حملات در بیست روز اخیر موج حملات سایبری در بازه میانی ژوئن ۲۰۲۵ (اوایل تیر ۱۴۰۴) به اوج خود رسید. جدول زیر مهم‌ترین رخدادهای این دوره را خلاصه می‌کند:

در این بازه، ایران در اقدامی بی‌سابقه، دسترسی به اینترنت سراسری را به حدود ۱۰٪ ظرفیت عادی کاهش داد. سخنگوی دولت این تصمیم را برای «جلوگیری از سوءاستفاده دشمن» و خنثی‌سازی حملات سایبری و هدایت پهپادهای اسرائیلی اعلام کرد، با اشاره خاص به حملات بانک سپه و Nobitex. این قطعی ۳۶ ساعته، ارتباط کشور را به حداقل رساند و پیامدهایی مانند اختلال در خدمات بانکی، توقف سرویس‌های درمانی و آموزشی آنلاین، و کاهش اعتماد عمومی به دنبال داشت. یک کارشناس این اقدام را «شمشیر دولبه» توصیف کرد که اگرچه ممکن است حملات سایبری را موقتاً متوقف کرده باشد، اما به خدمات ضروری و روحیه عمومی آسیب رساند. یک سازمان مدنی نیز هشدار داد که این قطعی، دسترسی مردم به اطلاعات حیاتی را در زمان بحران محدود کرد و به نوعی جنگ روانی علیه شهروندان بود.

ابعاد قطع اینترنت قطع اینترنت در خرداد ۱۴۰۴ نشان‌دهنده پیوند عمیق فضای سایبری با تصمیم‌گیری‌های حکومتی در شرایط بحرانی بود. مقامات ایران مدعی شدند که فعال‌سازی «اینترنت ملی» برای اهداف امنیتی بوده است، زیرا بسیاری از بدافزارها به ارتباط خارجی برای ارسال دستورات یا نشت داده نیاز دارند. با این حال، این اقدام هزینه‌های سنگینی داشت: اختلال در شبکه بانکی، از کار افتادن دستگاه‌های خودپرداز، توقف تراکنش‌های مالی روزمره، و زیان کسب‌وکارهای آنلاین. همچنین، در میانه حملات موشکی اسرائیل، مردم عادی امکان دسترسی به اخبار یا ارتباط با خارج را از دست دادند. این تجربه نشان داد که اینترنت به‌عنوان یک «زیرساخت نرم» خود به جبهه‌ای برای جنگ تبدیل شده است و دولت‌ها ممکن است در شرایط بحران به قطع آن روی آورند. با میانجی‌گری بین‌المللی و آتش‌بس موقت، اینترنت پس از حدود دو هفته به حالت عادی بازگشت، اما این دوره به‌عنوان «تاریکی دیجیتال» در افکار جمعی باقی ماند.

۵. دیگر گروه‌های فعال در جنگ سایبری علیه ایران

علاوه بر گنجشک درنده، بازیگران متعددی در سال‌های اخیر در حملات سایبری علیه ایران نقش داشته‌اند. این گروه‌ها را می‌توان به دو دسته تقسیم کرد: گروه‌های مرتبط با دولت‌های غربی و اسرائیل و گروه‌های وابسته به ایران که در پاسخ به حملات، اقدامات متقابلی انجام داده‌اند.

گروه‌های غربی-اسرائیلی

• استاکس‌نت، فلیم و دوکو: این بدافزارها نسل اولیه تسلیحات سایبری بودند که عمدتاً توسط آمریکا و اسرائیل برای هدف قرار دادن برنامه هسته‌ای ایران طراحی شدند. استاکس‌نت در سال ۲۰۱۰ با غیرفعال کردن حدود ۱۰۰۰ سانتریفیوژ در نطنز، به‌عنوان اولین سلاح سایبری مخرب شناخته شد. فلیم، که در سال ۲۰۱۲ کشف شد، یک ابزار جاسوسی پیشرفته بود که برای سال‌ها اطلاعات حساس را از سیستم‌های ایرانی و برخی کشورهای منطقه جمع‌آوری می‌کرد. دوکو، شناسایی‌شده در سال ۲۰۱۱، با استاکس‌نت ارتباط نزدیکی داشت و بیشتر برای جاسوسی صنعتی و آماده‌سازی حملات بعدی به کار رفت. واشنگتن‌پست بعدها گزارش داد که فلیم بخشی از عملیات المپیک گیمز بود. این ابزارها پایه‌گذار جنگ سایبری مدرن علیه ایران شدند و راه را برای حملات پیچیده‌تر باز کردند. به گفته یک مقام اطلاعاتی آمریکایی: «استاکس‌نت و فلیم بخشی از یک حمله گسترده بودند که هنوز ادامه دارد.»
• Equation Group: این گروه، که به احتمال زیاد وابسته به آژانس امنیت ملی آمریکا (NSA) است، توسط کسپرسکی به‌عنوان «خدای جاسوسی سایبری» توصیف شده و از سال ۲۰۰۱ فعال بوده است. در دهه ۲۰۱۰، این گروه بدافزارهای بسیار پیشرفته‌ای را توسعه داد که حتی فریمور هارددیسک‌های شرکت‌هایی مانند وسترن دیجیتال، سیگیت و توشیبا را آلوده می‌کرد، به‌گونه‌ای که پاکسازی آن بدون تعویض فیزیکی درایو غیرممکن بود. طبق گزارش کسپرسکی، Equation Group بیشترین تمرکز را روی کشورهای خاورمیانه، به‌ویژه ایران، داشت و نهادهای نظامی، دولتی، مخابراتی و دانشگاهی را هدف قرار داده بود. فعالیت‌های این گروه عمدتاً مخفی و بلندمدت بود و با ایجاد درهای پشتی (Backdoors) در سیستم‌ها، امکان دسترسی در آینده را حفظ می‌کرد.
• Nitro Zeus: این طرح، همان‌طور که پیش‌تر ذکر شد، برنامه جامع جنگ سایبری آمریکا علیه ایران بود که در صورت شکست مذاکرات هسته‌ای ۲۰۱۵ قرار بود اجرا شود. بر اساس گزارش نیویورک تایمز و مستند «Zero Days»، این طرح شامل حملات گسترده برای فلج کردن سیستم‌های پدافند هوایی، شبکه‌های ارتباطی و بخش‌های کلیدی شبکه برق ایران بود. هزاران نفر در ارتش آمریکا روی این پروژه کار کرده بودند و حتی قطعات الکترونیکی خاصی در زیرساخت‌های ایران جاسازی شده بود. خوشبختانه، با امضای برجام، این طرح عملیاتی نشد، اما وجود آن نشان داد که زیرساخت‌های حیاتی ایران، از برق تا حمل‌ونقل، در برابر حملات سایبری آسیب‌پذیر هستند. علاوه بر این‌ها، حملاتی مانند Shamoon (بدافزار پاک‌کننده داده که در سال ۲۰۱۲ شرکت آرامکو عربستان را هدف قرار داد و نسخه‌هایی از آن در ایران نیز دیده شد)، WannaCry/NotPetya (هرچند عمدتاً به کره شمالی و روسیه نسبت داده شدند، اما ایران نیز تحت تأثیر قرار گرفت) و حملات زنجیره تأمین مانند SolarWinds به‌طور غیرمستقیم ایران را متأثر کردند. با این حال، تمرکز این بخش بر عملیات‌هایی است که مستقیماً ایران را هدف قرار داده‌اند.

پاسخ ایران: گروه‌های APT وابسته به دولت

در مقابل حملات غرب و اسرائیل، ایران نیز گروه‌های سایبری تهاجمی وابسته به نهادهای امنیتی خود را توسعه داده است که به‌عنوان بازوهای جنگ نامتقارن سایبری عمل می‌کنند. این گروه‌ها، که اغلب با کدهای APT توسط شرکت‌های امنیتی غربی نام‌گذاری شده‌اند، عبارت‌اند از:

• APT33 (Elfin/Magnallium): این گروه، که احتمالاً وابسته به یگان سایبری نیروی هوافضای سپاه پاسداران است، از سال ۲۰۱۳ فعال بوده و بر صنایع هوافضا و انرژی (نفت و پتروشیمی) تمرکز دارد. بر اساس گزارش فایرآی، APT33 به شرکت‌های هواپیمایی در آمریکا و عربستان و شرکت‌های نفتی در کره جنوبی حمله کرده و شواهدی از آماده‌سازی بدافزارهای مخرب مشابه Shamoon برای حملات تخریبی دارد. در سال ۲۰۱۷، وزارت خزانه‌داری آمریکا افراد و نهادهای مرتبط با این گروه را تحریم کرد. APT33 بیشتر برای جاسوسی صنعتی و نظامی فعالیت می‌کند، اما توانایی تخریبی نیز دارد.
• APT34 (OilRig/Helix Kitten): این گروه، که به وزارت اطلاعات ایران (MOIS) نسبت داده می‌شود، از سال ۲۰۱۴ شناسایی شده و بر کشورهای خاورمیانه، به‌ویژه سازمان‌های دولتی و مالی، تمرکز دارد. APT34 از حملات فیشینگ هدفمند و نفوذ از طریق زنجیره تأمین استفاده می‌کند، مانند ایجاد وب‌سایت‌ها و ایمیل‌های جعلی برای سرقت اطلاعات. این گروه به حمله Shamoon 2012 نیز مرتبط دانسته شده است. فایرآی تأیید کرده که زیرساخت‌ها و اهداف OilRig با منافع دولت ایران همخوانی دارد و این گروه به نمایندگی از تهران عمل می‌کند.
• APT35 (Charming Kitten/Phosphorus): این گروه، که به سازمان اطلاعات سپاه پاسداران نسبت داده می‌شود، از سال ۲۰۱۴ فعال است و به دلیل کارزارهای فیشینگ پیچیده شهرت دارد. APT35 معمولاً افراد و نهادهای مرتبط با ایران در خارج، مانند خبرنگاران، محققان، فعالان حقوق بشر و دیپلمات‌ها، را هدف قرار می‌دهد. این گروه از پروفایل‌های جعلی، لینک‌های آلوده و آسیب‌پذیری‌های روز صفر (مانند CVE-2021-40444 در MS Office) استفاده می‌کند. مایکروسافت و گوگل بارها درباره فعالیت‌های این گروه هشدار داده‌اند. در سال ۲۰۲۳، مایکروسافت گزارش داد که Peach Sandstorm (نام جدید APT35) کارزارهای گسترده رمزعبور‌ربایی را اجرا کرده و در جنگ ۲۰۲۵ نیز به اهدافی در اسرائیل حمله کرده است.
• APT39 (Chafer/Remix Kitten): این گروه، که به وزارت اطلاعات نسبت داده می‌شود، از سال ۲۰۱۴ بر سرقت اطلاعات شخصی و سفر تمرکز دارد. APT39 با نفوذ به شرکت‌های مخابراتی و مسافرتی، داده‌های تماس‌ها، مسافران و اقامت‌ها را برای ردیابی افراد مورد نظر (مانند اپوزیسیون یا دیپلمات‌ها) جمع‌آوری می‌کند. در سال ۲۰۲۰، وزارت خزانه‌داری آمریکا شرکت «رانا» و افراد مرتبط با APT39 را تحریم کرد و تأیید کرد که این گروه تحت نظر MOIS فعالیت می‌کند.
• MuddyWater (Static Kitten/Seedworm): این گروه از سال ۲۰۱۷ فعال است و به وزارت اطلاعات نسبت داده می‌شود. MuddyWater از بدافزارهای متن‌باز تغییر‌یافته، پاورشل و مهندسی اجتماعی استفاده می‌کند و سازمان‌های دولتی و مخابراتی در خاورمیانه، اروپا و آمریکا را هدف قرار داده است. در سال ۲۰۲۲، آژانس‌های امنیتی آمریکا و انگلستان این گروه را به MOIS مرتبط دانستند. برای مثال، در فوریه ۲۰۲۳، MuddyWater به دانشگاه صنعتی اسرائیل (تخنیون) حمله باج‌افزاری کرد که اسرائیل آن را تأیید کرد.

گروه‌های دیگری مانند Shamoon/Greenbug، Rocket Kitten و CopyKittens نیز شناسایی شده‌اند، اما پنج گروه ذکرشده به دلیل حجم و تداوم فعالیت‌ها برجسته‌تر هستند. ایران با سرمایه‌گذاری در این گروه‌ها توانسته در جنگ نامتقارن سایبری تا حدی توازن ایجاد کند، هرچند در مقایسه با رقبا از نظر توان نظامی سنتی ضعیف‌تر است.

۶. ارزیابی نهایی و چشم‌انداز آینده

حملات سایبری گسترده علیه ایران تبعات چندجانبه‌ای داشته است:

• پیامدهای اقتصادی: اختلال در زیرساخت‌های دیجیتال مستقیماً اقتصاد را تحت تأثیر قرار داده است. حمله به سامانه سوخت در سال ۱۴۰۰ میلیون‌ها دلار خسارت به همراه داشت. حمله به Nobitex حدود ۱۰۰ میلیون دلار دارایی دیجیتال را نابود کرد. حمله به بانک سپه، هرچند با بازیابی نسخه‌های پشتیبان از خسارت مالی مستقیم جلوگیری کرد، اعتماد عمومی به بانکداری الکترونیک را تضعیف کرد. قطعی اینترنت در خرداد ۱۴۰۴ نیز کسب‌وکارهای آنلاین، صرافی‌های رمزارز و خدمات فریلنسری را فلج کرد و هزینه‌های اقتصادی و ریسک سرمایه‌گذاری در فناوری را افزایش داد.
• تبعات روانی و اجتماعی: موفقیت مکرر حملات سایبری دشمنان، حس ناامنی و بی‌اعتمادی به توانایی‌های دفاعی دولت را در جامعه تقویت کرده است. وقتی یک گروه هکری می‌تواند بانک، پمپ‌بنزین یا تلویزیون را مختل کند، مردم احساس آسیب‌پذیری می‌کنند، که می‌تواند مشروعیت دولت را تضعیف کند. قطعی اینترنت نیز نارضایتی اجتماعی را تشدید کرده و شکاف بین دولت و مردم را عمیق‌تر کرده است. جوانان، که به اینترنت وابسته‌اند، این محدودیت‌ها را به‌عنوان تضییع حقوق خود می‌بینند. همچنین، ترس از جاسوسی دیجیتال، چه از سوی دشمنان خارجی و چه نظارت داخلی، نگرانی‌های حریم خصوصی را افزایش داده است.
• ابعاد ژئوپلیتیک و امنیت ملی: الگوی درگیری‌ها از جنگ سنتی (نبرد ارتش‌ها) به سمت جنگ ترکیبی و نامتقارن تغییر کرده است. ایران در تقابل نظامی مستقیم با قدرت‌هایی مانند اسرائیل و آمریکا توان محدودی دارد، اما فضای سایبری میدان جدیدی برای کنش و واکنش فراهم کرده است. با این حال، به دلیل عقب‌ماندگی تاریخی، به‌ویژه پس از حمله استاکس‌نت در سال ۲۰۱۰، ایران عمدتاً در موضع دفاعی قرار گرفته است. حملات سایبری مهم علیه ایران، از نطنز تا قطعی اینترنت در سال ۱۴۰۴، معمولاً واکنش‌هایی سیاسی یا سایبری از سوی ایران به دنبال داشته، اما تهران کمتر آغازگر بوده است. این نشان‌دهنده تسلط دشمنان ایران بر ابتکار عمل است، در حالی که ایران بیشتر به ترمیم خسارات و پاسخ‌های حداقلی مشغول است تا حملات مؤثر. این عدم تقارن می‌تواند موازنه تهدید را به ضرر ایران نگه دارد. حملات تلافی‌جویانه ایران، مانند هک وب‌سایت‌ها یا سرقت اطلاعات از اهداف اسرائیلی و آمریکایی، تاکنون محدود و کمتر مخرب بوده و به تخریب زیرساخت‌های حیاتی دشمن منجر نشده است. در نتیجه، ایران در موقعیت پیچیده‌ای قرار دارد که باید همزمان با حملات سایبری خارجی و فشارهای افکار عمومی داخلی مقابله کند.

با توجه به روندهای اخیر، انتظار می‌رود جنگ سایبری بین ایران و دشمنانش در آینده نزدیک ادامه یابد و حتی شدت گیرد. دلایل این پیش‌بینی عبارت‌اند از:

• افزایش پیچیدگی حملات: مهاجمان از تاکتیک‌ها و ابزارهای پیشرفته‌تر، مانند حملات زنجیره تأمین، بدافزارهای بدون فایل و بهره‌گیری از هوش مصنوعی در فیشینگ، استفاده می‌کنند که دفاع را دشوارتر می‌کند. ایران نیز احتمالاً با سرمایه‌گذاری در نخبگان سایبری و احتمالاً خرید ابزار از کشورهایی مانند روسیه یا کره شمالی، تلاش خواهد کرد توان تهاجمی و دفاعی خود را تقویت کند. این مسابقه تسلیحاتی سایبری ادامه خواهد یافت.
• تمرکز بر اهداف اقتصادی و اجتماعی: حملات اخیر نشان می‌دهد که دشمنان به جای اهداف صرفاً نظامی یا هسته‌ای، زیرساخت‌های نرم مانند سامانه‌های سوخت، بانک، برق و اینترنت را هدف قرار داده‌اند که مستقیماً زندگی روزمره مردم را مختل می‌کند. در آینده، احتمالاً بخش‌های دیگری مانند سیستم‌های بهداشتی، حمل‌ونقل هوایی و آموزش نیز هدف قرار گیرند. این حملات می‌توانند با ایجاد نارضایتی عمومی، ضربه‌ای بزرگ‌تر از حملات نظامی به حاکمیت وارد کنند.
• ادامه موضع تدافعی ایران: تا زمانی که ایران نتواند بازدارندگی سایبری مؤثری ایجاد کند، مثلاً با حملات هم‌سطح علیه زیرساخت‌های دشمن، این عدم تقارن باقی خواهد ماند. گروه‌های APT ایران، اگرچه برای آزار دشمن فعال‌اند، هنوز به سطح بازدارندگی نرسیده‌اند، چنان‌که اسرائیل به دلیل ترس از این گروه‌ها از حملات سایبری دست نکشیده است. در نتیجه، استراتژی ایران احتمالاً بر تقویت دفاع سایبری عمیق متمرکز خواهد شد تا هزینه حملات دشمن را افزایش دهد.

توصیه‌های کلیدی

کارشناسان برای ایران و کشورهای مشابه، بر ضرورت‌های زیر تأکید دارند:

• تقویت دفاع سایبری: توسعه سیستم‌های تشخیص و پاسخ سریع، مانند مراکز عملیات امنیت (SOC) پیشرفته، استفاده از هوش مصنوعی برای شناسایی نفوذ و به‌روزرسانی مداوم فایروال‌ها و سیستم‌های کشف بدافزار، ضروری است. بدون دفاع چندلایه، حملات پیچیده به‌راحتی نفوذ خواهند کرد.
• نوسازی زیرساخت‌های فناوری: بسیاری از سامانه‌های ایران به دلیل استفاده از نرم‌افزارهای قدیمی و کرک‌شده (مانند نسخه‌های غیرامن ویندوز) یا تجهیزات ناامن، آسیب‌پذیرند. سرمایه‌گذاری در تجهیزات امن، اعمال وصله‌های امنیتی و جداسازی شبکه‌های حساس از اینترنت (Air-gapping واقعی) حیاتی است.
• ایجاد پروتکل‌های تاب‌آوری: نهادهای حیاتی باید برنامه‌های مشخصی برای مدیریت بحران‌های سایبری داشته باشند، مانند نسخه‌های پشتیبان آفلاین برای سیستم بانکی یا امکان ارائه خدمات دستی در زمان قطعی آنلاین. تمرین‌های منظم واکنش به حوادث و آموزش کارکنان، خسارات را به‌طور قابل‌توجهی کاهش خواهد داد.

آنچه در مقاله «بررسی جامع حملات سایبری علیه جمهوری اسلامی ایران» خواندیم

امنیت سایبری باید به اولویت اصلی امنیت ملی ایران تبدیل شود. حملات سال ۲۰۲۵ نشان داد که بی‌توجهی به این حوزه می‌تواند کشور را در تاریکی دیجیتال فرو ببرد. در عصر جدید، قدرت یک کشور نه‌تنها به تسلیحات نظامی، بلکه به تاب‌آوری دیجیتال و حفاظت از فضای سایبری وابسته است. جنگ‌های آینده ممکن است کمتر در میدان‌های فیزیکی و بیشتر در مدارهای الکترونیکی رخ دهند. برای ایران و دیگر کشورهای درگیر در این نبرد پنهان، ارتقای فوری سپرهای سایبری یک ضرورت غیرقابل‌اجتناب است تا بتوانند در برابر تهدیدات روزافزون، از منافع ملی خود دفاع کنند.

برگرفته شده از وبسایت وب‌آموز