IRCNF
Security

نفوذ هکرهای ایرانی به متروی لس‌آنجلس و پاک‌سازی داده‌ها برای افزایش اختلال

TechCrunch
اشتراک‌گذاری:
نفوذ هکرهای ایرانی به متروی لس‌آنجلس و پاک‌سازی داده‌ها برای افزایش اختلال

هکرهای تحت حمایت دولت ایران در مارس ۲۰۲۶ به LACMTA نفوذ کردند. آنها داده‌ها را دزدیدند و سپس به‌طور عمدی پاک کردند تا اختلال را به حداکثر برسانند. این تاکتیک باعث شد این آژانس مجبور به چند هفته عملیات بازیابی شود. به گزارش TechCrunch توسط لورنزو فرانچسکی-بیچیرای، این حمله توسط شرکت امنیت سایبری اسرائیلی Gambit Security به وزارت اطلاعات و امنیت کشور ایران (MOIS) نسبت داده شده است. این گروه تحت نام جعلی هکتیویستی 'Ababil of Minab' فعالیت می‌کرد.

این افشاگری یک هدف مهم زیرساخت عمومی آمریکا را به فهرست رو به رشد عملیات سایبری ایران اضافه می‌کند. این عملیات‌ها پس از حملات نظامی آمریکا و اسرائیل به ایران در اوایل سال ۲۰۲۶ تشدید شده‌اند. LA Metro دومین سیستم حمل‌ونقل عمومی بزرگ در ایالات متحده است که روزانه بیش از ۳۰۰ هزار مسافر را در اتوبوس‌ها، قطارهای سبک و خطوط مترو جابه‌جا می‌کند.

چگونگی وقوع حمله

نفوذ از مارس ۲۰۲۶ آغاز شد. مهاجمان به سیستم‌های LACMTA دسترسی پیدا کردند، داده‌ها را خارج کردند و سپس فایل‌های دزدیده شده را از زیرساخت خود آژانس پاک کردند. این یک تاکتیک دوگانه بود: نه فقط برای سرقت اطلاعات، بلکه برای کاهش ظرفیت عملیاتی آژانس و طولانی‌تر کردن زمان بازیابی. LACMTA این نفوذ را در آوریل ۲۰۲۶ تأیید کرد. این آژانس دامنه کامل داده‌های دزدیده شده یا پاک شده را به‌طور عمومی فاش نکرد، اما بازیابی از تخریب داده‌ها چند هفته طول کشید.

گروه پشت این حمله از نام 'Ababil of Minab' استفاده کرد. این نام اشاره به حمله هوایی آمریکا به یک مدرسه در شهر میناب ایران دارد که در جریان درگیری نظامی اوایل ۲۰۲۶ بین آمریکا و ایران بیش از ۱۷۵ نفر، عمدتاً کودکان، کشته شدند. استفاده از یک شخصیت جعلی با بار ژئوپلیتیک یک تاکتیک همیشگی در عملیات‌های تحت حمایت دولت ایران است. این کار به MOIS اجازه می‌دهد اهداف سایبری استراتژیک خود را دنبال کند و در عین حال انکارپذیری معقول ایجاد کرده و ارزش تبلیغاتی نفوذهای موفق را افزایش دهد.

نسبت‌دهی و الگوی گسترده‌تر

نسبت‌دهی Gambit Security این حمله به اپراتورهای MOIS با یک الگوی مستند همخوانی دارد. بازیگران تهدید ایرانی، از جمله گروه‌های تحت چتر MOIS، به طور فزاینده‌ای تاکتیک‌های 'هک و افشا' و 'هک و تخریب' را علیه زیرساخت‌های حیاتی آمریکا به کار گرفته‌اند. آنها از عملیات‌های متمرکز بر جاسوسی که مشخصه فعالیت‌های قبلی ایران بود فراتر رفته و به سمت عملیات‌هایی برای اختلال و تأثیر روانی حرکت کرده‌اند.

همین دستورالعمل قبلاً در سال ۲۰۲۶ علیه Stryker، شرکت فناوری پزشکی آمریکا، توسط گروهی با پوشش هکتیویستی مشابه استفاده شد. در هر دو مورد، نفوذ اولیه با خروج داده، پاک‌سازی و ادعای عمومی توسط شخصیت جعلی همراه بود تا توجه را به حداکثر برساند و از نسبت‌دهی سریع جلوگیری کند. این تاکتیک شکافی بین اختلال مشاهده شده و حمایت دولتی تأیید شده ایجاد می‌کند و برای تیم واکنش زمان می‌خرد و سردرگمی ایجاد می‌کند.

دولت آمریکا مستقیماً این روند را هشدار داده بود. در آوریل ۲۰۲۶، FBI، CISA و آژانس‌های شریک یک هشدار مشترک صادر کردند که اپراتورهای زیرساخت حیاتی آمریکا را از افزایش هدف‌گیری سایبری ایران آگاه می‌کرد. آنها به‌طور خاص بخش‌های حمل‌ونقل، بهداشت و درمان و آب و برق را به عنوان اهداف اولویت‌دار معرفی کردند. این هشدار پس از یک سری توقیف وب‌سایت‌های گروه‌های هکری طرفدار ایران توسط FBI در اوایل سال صادر شد.

چرا سیستم‌های حمل‌ونقل هدف قرار می‌گیرند

آژانس‌های حمل‌ونقل عمومی به دلایل متعدد هدف جذابی برای عملیات اختلال تحت حمایت دولت هستند. آنها شبکه‌های قدیمی فناوری عملیاتی (OT) را اجرا می‌کنند که با نیازهای امنیت سایبری مدرن طراحی نشده‌اند. آنها به شدت به سیستم‌های IT و OT متصل برای زمان‌بندی، فروش بلیت، ارتباطات و ایمنی وابسته هستند. و از آنجا که به جمعیت بزرگ شهری خدمات می‌دهند، اختلالات موفق دید عمومی قابل توجهی ایجاد می‌کند - که برای یک بازیگر دولتی که به دنبال تأثیر روانی است نه جمع‌آوری اطلاعات مخفیانه، این همان هدف است.

جزء تخریب داده در حمله LACMTA به ویژه قابل توجه است. برخلاف ransomware که در آن بازیابی پس از پرداخت باج اصولاً ممکن است، حذف عمدی داده بدون پشتیبان‌گیری‌های فعال غیرقابل برگشت است. اگر سیستم‌های پشتیبان LACMTA نیز به خطر افتاده بودند، زمان بازیابی چند هفته‌ای منعکس‌کننده زمان مورد نیاز برای بازسازی سیستم‌ها از پشتیبان‌گیری‌های جزئی یا از صفر است - نتیجه‌ای بسیار مخرب‌تر از یک حادثه معمولی ransomware.

آنچه سایر اپراتورهای زیرساخت باید از این بگیرند: حمله LACMTA چندین درس را تقویت می‌کند که به طور گسترده برای اپراتورهای زیرساخت حیاتی کاربرد دارد. اول، بازیگران تهدید ایرانی از رویدادهای ژئوپلیتیک - حملات نظامی آمریکا به ایران - به عنوان محرک‌های عملیاتی برای کمپین‌های سایبری که به سرعت دنبال می‌شوند استفاده می‌کنند. سازمان‌هایی در بخش‌هایی که قبلاً توسط هشدارهای فدرال هشدار داده شده‌اند باید محیط ژئوپلیتیک فعلی را به عنوان یک دوره تهدید بالا در نظر بگیرند، نه یک دوره پایه.

دوم، یکپارچگی پشتیبان‌گیری اکنون یک نگرانی درجه اول در دفاع در برابر ransomware و حملات مخرب است. اثربخشی یک حمله حذف داده کاملاً به این بستگی دارد که آیا هدف می‌تواند از پشتیبان‌گیری‌های آفلاین، غیرقابل تغییر و ایزوله (air-gapped) بازیابی کند. سازمان‌هایی که فرآیند بازیابی پشتیبان خود را تحت شرایط شبیه‌سازی از دست دادن زیرساخت آزمایش نکرده‌اند باید این شکاف را فوری در نظر بگیرند.

سوم، الگوی شخصیت جعلی هکتیویستی به این معنی است که ادعاهای اولیه عمومی مسئولیت از گروه‌های ناشناس نباید به ظاهر پذیرفته شوند. نسبت‌دهی زمان می‌برد و تأخیر بین حمله و نسبت‌دهی تأیید شده دولتی یک ویژگی طراحی عملیات است، نه یک باگ.

securityIrancyberattackcritical-infrastructureLACMTAMOISstate-sponsored

Originally reported by TechCrunch. Read the original article for additional details.

View original source
اشتراک‌گذاری: