Pedram Kiani:اختصاصی ، تحلیل رفتار بدافزار ZionSiphon که در اواخر آوریل ۲۰۲۶ شناسایی شد، بخش اولیک بدافزار جنجالی که به طور خاص برای خرابکاری در تأسیسات تصفیه آب و شیرینسازی اسرائیل طراحی شده بود. اما نکته جالب اینجاست که تحلیلهای دقیقتر نشان داد این بدافزار بسیار ضعیف نوشته شده و به هیچ وجه تهدیدی جدی محسوب نمیشود.
این بدافزار که متأسفانه توسط برخی رسانهها با بزرگنمایی به عنوان یک تهدید بزرگ معرفی شد,,، پس از بررسی توسط شرکت امنیتی Dragos، یک "تلاش ضعیف برای تولید بدافزار OT با استفاده از یک مدل زبانی بزرگ (LLM)" و فاقد "هرگونه دانش معنیداری از شیرینسازی سدها یا پروتکلهای ICS" ارزیابی شد.
در ادامه، جزئیات فنی و نتایج تحلیل این بدافزار را مرور میکنیم.
اهداف: خرابکاری هدفمند در زیرساختهای حیاتی اسرائیل
هدف اصلی این بدافزار، خرابکاری فیزیکی (sabotage) و نه صرفاً اختلال در فناوری اطلاعات (IT) بود. برای رسیدن به این هدف، منطق حمله خود را حول دو شرط اصلی تعریف کرده بود که باید هر دو برقرار میشدند تا payload نهایی اجرا شود: شرط جغرافیایی (هدف قرار دادن IPهای اسرائیلی) و شرط محیطی (شناسایی سیستمهای مرتبط با آب).
· شرط جغرافیایی (Geofencing): کد بدافزار شامل سه محدوده IP سختافزاری بود که به اسرائیل تعلق داشت. اگر IP سیستم آلوده در این بازه نبود، بدافزار خود را پاک میکرد.· شرط محیطی (Water Treatment Check): هدف تعیین میکرد که آیا سیستم آلوده واقعاً متعلق به یک مرکز تصفیه آب یا شیرینسازی است یا خیر. این کار با جستجوی موارد زیر انجام میشد: · واژههای کلیدی مرتبط: مانند نام سازمان ملی آب اسرائیل Mekorot,چهار کارخانه اصلی شیرینسازی (Sorek, Hadera, Ashdod, Palmachim)، و تأسیسات تصفیه فاضلاب Shafdan. · نام فرآیندها و فایلهای سیستمی: جستجو برای فرآیندهای مرتبط با آب شیرین، کلر، و فایلهای پیکربندی. اما این مسیرها و فایلها توسط تحلیلگران جعلی و حدسهای تولید شده توسط LLM توصیف شدند و در دنیای واقعی وجود نداشتند.
🧩 فازهای حمله: از نفوذ تا خرابکاری
این بدافزار برای رسیدن به هدف خود، فازهای متعددی را طراحی کرده بود:
1. ارتقای سطح دسترسی (Privilege Escalation): پس از ورود، بدافزار بلافاصله بررسی میکرد که آیا با سطح دسترسی مدیر (Admin) اجرا شده است یا خیر. اگر خیر، با استفاده از PowerShell سعی میکرد مجدداً با دسترسی بالاتر اجرا شود.2. ماندگاری (Persistence): برای اطمینان از اجرا شدن پس از هر بار راهاندازی مجدد سیستم، بدافزار کپی از خود را با نام جعلی svchost.exe (یک فرآیند عادی ویندوز) مخفی میکرد و یک کلید در رجیستری به نام SystemHealthCheck ایجاد مینمود.3. انتشار (Propagation): قابلیت پخش شدن از طریق درایوهای USB را داشت. بدافزار هنگام اتصال یک حافظه removable، به صورت مخفیانه خود را روی آن کپی میکرد و فایلهای اصلی را پنهان نموده و پوشههای میانبر جعلی ایجاد مینمود تا کاربر را فریب دهد.4. خرابکاری (Sabotage): پس از تأیید شرایط هدف، مرحله اصلی اجرا میشد: · بایپس (Bypass) در سطح فایل: بدافزار به دنبال فایلهای پیکربندی محلی مانند DesalConfig.ini یا ChlorineControl.dat میگشت تا مقادیر مربوط به دوز کلر و فشار سیستم را تغییر دهد. · بایپس (Bypass) در سطح شبکه: بدافزار شبکه محلی را برای یافتن دستگاههایی که از پروتکلهای صنعتی مانند Modbus, DNP3 و S7comm استفاده میکردند، اسکن مینمود. سپس سعی میکرد با آنها ارتباط برقرار کرده و مقادیر کلر و فشار را مستقیماً دستکاری کند.
تحلیل مناقشهبرانگیز: یک شبح بیخاصیت؟
در حالی که گزارش اولیه شرکت Darktrace نشان میداد بدافزار یک تهدید جدی است,تحلیل دقیقتر شرکت Dragos ابعاد دیگری را آشکار کرد.
آنالیز کد توسط Dragos:
· ترکیبی از حدس و خطا: در مخربترین بخش کد که برای دستکاری کلر و فشار طراحی شده بود، از فایلها، مسیرها و فرآیندهایی استفاده میکرد که در دنیای واقعی وجود خارجی نداشتند و صرفاً حدسهای یک هوش مصنوعی بودند. در نتیجه، حتی اگر بدافزار اجرا هم میشد، قادر به یافتن فایلهای اصلی برای تغییر نبود.· پیادهسازی ناقص پروتکلهای صنعتی: از سه پروتکل اصلی، فقط منطق پروتکل **Modbus تا حدی توسعه داده شده بود. پیادهسازی دو پروتکل دیگر (DNP3 و S7comm) بسیار ابتدایی، ناقص و فاقد کارایی لازم بود. این موضوع نشان میداد که بدافزار هنوز در مراحل اولیه توسعه یا آزمایش است.اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتیایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2
کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
اختصاصی ، تحلیل رفتار ب
این بدافزار که متأسفانه توسط برخی رسانهها با بزرگنمایی به عنوان یک تهدید بزرگ معرفی شد,,، پس از بررسی توسط شرکت امنیتی Dragos، یک "تلاش ضعیف برای تولید بدافزار OT با استفاده از یک مدل زبانی بزرگ (LLM)" و فاقد "هرگونه دانش معنیداری از شیرینسازی سدها یا پروتکلهای ICS" ارزیابی شد.
در ادامه، جزئیات فنی و نتایج تحلیل این بدافزار را مرور میکنیم.
اهداف: خرابکاری هدفمند در زیرساختهای حیاتی اسرائیلهدف اصلی این بدافزار، خرابکاری فیزیکی (sabotage) و نه صرفاً اختلال در فناوری اطلاعات (IT) بود. برای رسیدن به این هدف، منطق حمله خود را حول دو شرط اصلی تعریف کرده بود که باید هر دو برقرار میشدند تا payload نهایی اجرا شود: شرط جغرافیایی (هدف قرار دادن IPهای اسرائیلی) و شرط محیطی (شناسایی سیستمهای مرتبط با آب).
· شرط جغرافیایی (Geofencing): کد بدافزار شامل سه محدوده IP سختافزاری بود که به اسرائیل تعلق داشت. اگر IP سیستم آلوده در این بازه نبود، بدافزار خود را پاک میکرد.· شرط محیطی (Water Treatment Check): هدف تعیین میکرد که آیا سیستم آلوده واقعاً متعلق به یک مرکز تصفیه آب یا شیرینسازی است یا خیر. این کار با جستجوی موارد زیر انجام میشد: · واژههای کلیدی مرتبط: مانند نام سازمان ملی آب اسرائیل Mekorot,چهار کارخانه اصلی شیرینسازی (Sorek, Hadera, Ashdod, Palmachim)، و تأسیسات تصفیه فاضلاب Shafdan. · نام فرآیندها و فایلهای سیستمی: جستجو برای فرآیندهای مرتبط با آب شیرین، کلر، و فایلهای پیکربندی. اما این مسیرها و فایلها توسط تحلیلگران جعلی و حدسهای تولید شده توسط LLM توصیف شدند و در دنیای واقعی وجود نداشتند.
🧩 فازهای حمله: از نفوذ تا خرابکاری
این بدافزار برای رسیدن به هدف خود، فازهای متعددی را طراحی کرده بود:
1. ارتقای سطح دسترسی (Privilege Escalation): پس از ورود، بدافزار بلافاصله بررسی میکرد که آیا با سطح دسترسی مدیر (Admin) اجرا شده است یا خیر. اگر خیر، با استفاده از PowerShell سعی میکرد مجدداً با دسترسی بالاتر اجرا شود.2. ماندگاری (Persistence): برای اطمینان از اجرا شدن پس از هر بار راهاندازی مجدد سیستم، بدافزار کپی از خود را با نام جعلی svchost.exe (یک فرآیند عادی ویندوز) مخفی میکرد و یک کلید در رجیستری به نام SystemHealthCheck ایجاد مینمود.3. انتشار (Propagation): قابلیت پخش شدن از طریق درایوهای USB را داشت. بدافزار هنگام اتصال یک حافظه removable، به صورت مخفیانه خود را روی آن کپی میکرد و فایلهای اصلی را پنهان نموده و پوشههای میانبر جعلی ایجاد مینمود تا کاربر را فریب دهد.4. خرابکاری (Sabotage): پس از تأیید شرایط هدف، مرحله اصلی اجرا میشد: · بایپس (Bypass) در سطح فایل: بدافزار به دنبال فایلهای پیکربندی محلی مانند DesalConfig.ini یا ChlorineControl.dat میگشت تا مقادیر مربوط به دوز کلر و فشار سیستم را تغییر دهد. · بایپس (Bypass) در سطح شبکه: بدافزار شبکه محلی را برای یافتن دستگاههایی که از پروتکلهای صنعتی مانند Modbus, DNP3 و S7comm استفاده میکردند، اسکن مینمود. سپس سعی میکرد با آنها ارتباط برقرار کرده و مقادیر کلر و فشار را مستقیماً دستکاری کند.
تحلیل مناقشهبرانگیز: یک شبح بیخاصیت؟در حالی که گزارش اولیه شرکت Darktrace نشان میداد بدافزار یک تهدید جدی است,تحلیل دقیقتر شرکت Dragos ابعاد دیگری را آشکار کرد.
آنالیز کد توسط Dragos:· ترکیبی از حدس و خطا: در مخربترین بخش کد که برای دستکاری کلر و فشار طراحی شده بود، از فایلها، مسیرها و فرآیندهایی استفاده میکرد که در دنیای واقعی وجود خارجی نداشتند و صرفاً حدسهای یک هوش مصنوعی بودند. در نتیجه، حتی اگر بدافزار اجرا هم میشد، قادر به یافتن فایلهای اصلی برای تغییر نبود.· پیادهسازی ناقص پروتکلهای صنعتی: از سه پروتکل اصلی، فقط منطق پروتکل **Modbus تا حدی توسعه داده شده بود. پیادهسازی دو پروتکل دیگر (DNP3 و S7comm) بسیار ابتدایی، ناقص و فاقد کارایی لازم بود. این موضوع نشان میداد که بدافزار هنوز در مراحل اولیه توسعه یا آزمایش است.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتیایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
اختصاصی ، تحلیل رفتار ب
۲۱بدافزار ZionSiphon که در اواخر آوریل ۲۰۲۶ شناسایی شد، بخش دوم انگیزههای سیاسی:ZionSiphon علاوه بر کدهای ضعیف، حاوی پیامهای سیاسی بهوضوح قابل مشاهده بود. یک رشته متنی که با کدگذاری Base64 در بدافزار پنهان شده بود، حمایت خود را از "برادرانمان در ایران، فلسطین و یمن علیه تجاوز صهیونیستی" اعلام میکرد. سند دیگر با لحنی تهدیدآمیز به "مسموم کردن جمعیت تلآویو و حیفا" اشاره داشت.
نبرد روایتها: Darktrace در مقابل Dragos
نکته قابل توجه، تضاد شدید ارزیابیها بین دو شرکت امنیتی بود:
شرکت تحلیل اصلی گفتههای کلیدیDarktrace (کاشف بدافزار) تهدیدی جدی و در حال تکامل برای زیرساختهای حیاتی است. "طراحی شده برای تعامل مستقیم با محیطهای ICS و OT"Dragos (تحلیلگر مستقل) یک شبح و یک تهدید غیرقابل اعتماد که بیش از حد بزرگنمایی شده است. "کد شکسته، فاقد دانش صنعتی و شکستخورده است."
شکاف عمیق بین این تحلیلها نشان از ضرورت ارزیابیهای دقیق و اجتناب از بزرگنمایی در حوزه امنیت صنعتی دارد.
نتیجه: زنگ خطری برای آینده جنگهای سایبری
بدافزار ZionSiphon علیرغم بیخاصیتی، یک هشدار مهم بود. هدف از آن، صرفاً تهدید احتمالی، بلکه آزمایش تکنیکهای جدید OT با کمک هوش مصنوعی و ایجاد وحشت رسانهای بود. این ماجرا نبرد روایتها در سایبر (Information Warfare) را به وضوح نشان داد و توجه را از تهدیدات واقعی منحرف کرد.
· دروس عبرت: اهمیت تأیید مستقل تهدیدات، شکاف عمیق بین دانش فنی و واقعیت عملیاتی OT، و هشدار جدی در مورد ظهور بدافزارهای پیشرفتهتر مبتنی بر هوش مصنوعی در سالهای آتی.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2
کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
انگیزههای سیاسی:ZionSiphon علاوه بر کدهای ضعیف، حاوی پیامهای سیاسی بهوضوح قابل مشاهده بود. یک رشته متنی که با کدگذاری Base64 در بدافزار پنهان شده بود، حمایت خود را از "برادرانمان در ایران، فلسطین و یمن علیه تجاوز صهیونیستی" اعلام میکرد. سند دیگر با لحنی تهدیدآمیز به "مسموم کردن جمعیت تلآویو و حیفا" اشاره داشت.نبرد روایتها: Darktrace در مقابل Dragos
نکته قابل توجه، تضاد شدید ارزیابیها بین دو شرکت امنیتی بود:
شرکت تحلیل اصلی گفتههای کلیدیDarktrace (کاشف بدافزار) تهدیدی جدی و در حال تکامل برای زیرساختهای حیاتی است. "طراحی شده برای تعامل مستقیم با محیطهای ICS و OT"Dragos (تحلیلگر مستقل) یک شبح و یک تهدید غیرقابل اعتماد که بیش از حد بزرگنمایی شده است. "کد شکسته، فاقد دانش صنعتی و شکستخورده است."
شکاف عمیق بین این تحلیلها نشان از ضرورت ارزیابیهای دقیق و اجتناب از بزرگنمایی در حوزه امنیت صنعتی دارد.
نتیجه: زنگ خطری برای آینده جنگهای سایبریبدافزار ZionSiphon علیرغم بیخاصیتی، یک هشدار مهم بود. هدف از آن، صرفاً تهدید احتمالی، بلکه آزمایش تکنیکهای جدید OT با کمک هوش مصنوعی و ایجاد وحشت رسانهای بود. این ماجرا نبرد روایتها در سایبر (Information Warfare) را به وضوح نشان داد و توجه را از تهدیدات واقعی منحرف کرد.
· دروس عبرت: اهمیت تأیید مستقل تهدیدات، شکاف عمیق بین دانش فنی و واقعیت عملیاتی OT، و هشدار جدی در مورد ظهور بدافزارهای پیشرفتهتر مبتنی بر هوش مصنوعی در سالهای آتی.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
۱هوش مصنوعی سلاحی موفق در حملات واقعی
گزارش هفتگی Intel Security (Check Point Research) که در تاریخ ۲۰ آوریل ۲۰۲۶ منتشر شد، یک تحول اساسی را مستند کرده است: یک هکر به تنهایی با موفقیت از عوامل هوش مصنوعی (Claude Code و GPT-4.1) برای نفوذ به چندین سازمان دولتی استفاده کرد.
· مقیاس نقض داده: مهاجم توانست به اطلاعات حساس نه سازمان دولتی در مکزیک دسترسی پیدا کرده و حجم عظیمی از دادهها شامل ۱۹۵ میلیون پرونده مالیاتی و ۲۲۰ میلیون سوابق مدنی را به خطر بیندازد.· تکنیک حمله و دور زدن امنیت: مهاجم با استفاده از هوش مصنوعی فرآیندهای شناسایی خودکار را تسریع کرد و با دستکاری پرامپت (Prompt Manipulation) و تزریق یک راهنمای هک، موفق شد فیلترهای امنیتی مدلها را دور بزند.· پیامد استراتژیک: این رویداد نشان میدهد که هوش مصنوعی به طور واقعی به یک سلاح عملیاتی برای مجرمان سایبری تبدیل شده و برای اولین بار به تنهایی و توسط یک فرد، موفق به انجام عملیاتی در این مقیاس بزرگ شده است.اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2
کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
گزارش هفتگی Intel Security (Check Point Research) که در تاریخ ۲۰ آوریل ۲۰۲۶ منتشر شد، یک تحول اساسی را مستند کرده است: یک هکر به تنهایی با موفقیت از عوامل هوش مصنوعی (Claude Code و GPT-4.1) برای نفوذ به چندین سازمان دولتی استفاده کرد.
· مقیاس نقض داده: مهاجم توانست به اطلاعات حساس نه سازمان دولتی در مکزیک دسترسی پیدا کرده و حجم عظیمی از دادهها شامل ۱۹۵ میلیون پرونده مالیاتی و ۲۲۰ میلیون سوابق مدنی را به خطر بیندازد.· تکنیک حمله و دور زدن امنیت: مهاجم با استفاده از هوش مصنوعی فرآیندهای شناسایی خودکار را تسریع کرد و با دستکاری پرامپت (Prompt Manipulation) و تزریق یک راهنمای هک، موفق شد فیلترهای امنیتی مدلها را دور بزند.· پیامد استراتژیک: این رویداد نشان میدهد که هوش مصنوعی به طور واقعی به یک سلاح عملیاتی برای مجرمان سایبری تبدیل شده و برای اولین بار به تنهایی و توسط یک فرد، موفق به انجام عملیاتی در این مقیاس بزرگ شده است.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
۲هشدار یک مدل هوش مصنوعی «خطرناک»: هند و برخی از بالاترین مقامات مالی خود را برای مقابله با تهدیدات مدل جدیدی به نام «Claude Mythos» که توسط آنتروپیک ساخته شده است، به حالت آمادهباش درآوردهاند. این مدل توانایی شناسایی خودکار و زنجیرهسازی هزاران نقطه ضعف امنیتی در سیستمهای عامل و مرورگرها را دارد و نگرانیها از دسترسی غیرمجاز به آن را افزایش داده است. وزیر دارایی هند این ریسکها را «بیسابقه» خوانده است.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2
کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
۲هشدارهای امنیتی مهم زیر مربوط به امروز (۴ می ۲۰۲۶) هستند. توصیه میشود برای اطلاع از جزئیات دقیقتر و اقدامات اصلاحی، به منابع اصلی هر یک از این هشدارها مراجعه کنید.
هشدارهای بحرانی و پرخطر (فوری)[CVE-2026-31431] آسیبپذیری بحرانی لینوکس 'Copy Fail': نقصی با شدت ۷.۸ از ۱۰ در کرنل لینوکس که از سال ۲۰۱۷ در تمام توزیعها وجود داشته و هماکنون در حال بهرهبرداری است. مهاجم با دسترسی محدود به سیستم میتواند سطح دسترسی خود را به root ارتقا دهد و کنترل کامل سیستم را در دست گیرد که برای محیطهای ابری و کانتینری بسیار خطرناک است. سازمان CISA آن را به فهرست آسیبپذیریهای درحال بهرهبرداری (KEV) اضافه کرده و مهلت رفع آن برای سازمانهای فدرال آمریکا ۱۵ می ۲۰۲۶ تعیین شده است. اقدام فوری: وصلههای ارائهشده (نسخههای 6.18.22, 6.19.12, 7.0 کرنل) را اعمال کنید.
[CVE-2026-41940] آسیبپذیری cPanel & WHM درحال بهرهبرداری فعال: نقص «دور زدن احراز هویت بحرانی» در محصولات cPanel & WHM و WP2 که به مهاجم بدون احراز هویت امکان دسترسی کامل مدیریتی به کنترل پنل هاستینگ را میدهد. CISA این آسیبپذیری را به فهرست KEV اضافه کرده و با توجه به مشاهده بهرهبرداری فعال، مهلت رفع آن ۳ می ۲۰۲۶ بوده که اکنون به اتمام رسیده است. سازمان CISA اعلام کرده که سیستمهای وصلهنشده باید به عنوان یک حادثه بحرانی در اولویت پاسخگویی قرار گیرند. اقدام فوری: هرچه سریعتر وصلههای امنیتی ارائهشده توسط فروشنده را اعمال کنید.
هشدارهای مهم (پرتکرار)آسیبپذیریهای سیستمهای کنترل صنعتی (ICS) از هفته گذشته: طبق آخرین گزارشهای تهدید که امروز منتشر شده، چندین آسیبپذیری مهم در محصولات ICS مربوط به هفته قبل کماکان حائز اهمیت هستند و پایش و وصلهکاری آنها ضروری است. این موارد عبارتند از:
ABB: هشدار برای محصولات مختلف شامل Edgenius Management Portal (CVE-2025-10571)، Ability OPTIMAX (CVE-2025-14510)، PCM600 (CVE-2018-1002208) و سایر سیستمها که برخی از آنها منجر به اجرای کد از راه دور میشوند.
Moxa و TP-Link: هشدارهایی برای روترهای امنیتی Moxa و آسیبپذیری دور زدن احراز هویت در محصولات قدیمی TP-Link (موجود در فهرست KEV CISA) صادر شده است.
توصیه نهاییبا توجه به اینکه برخی از مهلتهای وصلهکاری برای این هشدارها (بهویژه CVE-2026-41940) به پایان رسیده، لازم است تیمهای فنی بلافاصله وضعیت سیستمهای خود را بررسی و اقدامات اصلاحی را در اولویت قرار دهند.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2
کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
هشدارهای بحرانی و پرخطر (فوری)[CVE-2026-31431] آسیبپذیری بحرانی لینوکس 'Copy Fail': نقصی با شدت ۷.۸ از ۱۰ در کرنل لینوکس که از سال ۲۰۱۷ در تمام توزیعها وجود داشته و هماکنون در حال بهرهبرداری است. مهاجم با دسترسی محدود به سیستم میتواند سطح دسترسی خود را به root ارتقا دهد و کنترل کامل سیستم را در دست گیرد که برای محیطهای ابری و کانتینری بسیار خطرناک است. سازمان CISA آن را به فهرست آسیبپذیریهای درحال بهرهبرداری (KEV) اضافه کرده و مهلت رفع آن برای سازمانهای فدرال آمریکا ۱۵ می ۲۰۲۶ تعیین شده است. اقدام فوری: وصلههای ارائهشده (نسخههای 6.18.22, 6.19.12, 7.0 کرنل) را اعمال کنید.[CVE-2026-41940] آسیبپذیری cPanel & WHM درحال بهرهبرداری فعال: نقص «دور زدن احراز هویت بحرانی» در محصولات cPanel & WHM و WP2 که به مهاجم بدون احراز هویت امکان دسترسی کامل مدیریتی به کنترل پنل هاستینگ را میدهد. CISA این آسیبپذیری را به فهرست KEV اضافه کرده و با توجه به مشاهده بهرهبرداری فعال، مهلت رفع آن ۳ می ۲۰۲۶ بوده که اکنون به اتمام رسیده است. سازمان CISA اعلام کرده که سیستمهای وصلهنشده باید به عنوان یک حادثه بحرانی در اولویت پاسخگویی قرار گیرند. اقدام فوری: هرچه سریعتر وصلههای امنیتی ارائهشده توسط فروشنده را اعمال کنید.
هشدارهای مهم (پرتکرار)آسیبپذیریهای سیستمهای کنترل صنعتی (ICS) از هفته گذشته: طبق آخرین گزارشهای تهدید که امروز منتشر شده، چندین آسیبپذیری مهم در محصولات ICS مربوط به هفته قبل کماکان حائز اهمیت هستند و پایش و وصلهکاری آنها ضروری است. این موارد عبارتند از:ABB: هشدار برای محصولات مختلف شامل Edgenius Management Portal (CVE-2025-10571)، Ability OPTIMAX (CVE-2025-14510)، PCM600 (CVE-2018-1002208) و سایر سیستمها که برخی از آنها منجر به اجرای کد از راه دور میشوند.
Moxa و TP-Link: هشدارهایی برای روترهای امنیتی Moxa و آسیبپذیری دور زدن احراز هویت در محصولات قدیمی TP-Link (موجود در فهرست KEV CISA) صادر شده است.
توصیه نهاییبا توجه به اینکه برخی از مهلتهای وصلهکاری برای این هشدارها (بهویژه CVE-2026-41940) به پایان رسیده، لازم است تیمهای فنی بلافاصله وضعیت سیستمهای خود را بررسی و اقدامات اصلاحی را در اولویت قرار دهند.اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
۱🧪 هشدارهای پژوهشی و حملات جدید در حوزه هوش مصنوعیتزریق فرمان غیرمستقیم در بازبینی کد توسط هوش مصنوعی: تحقیقات Cloudflare نشان داده که مهاجمان میتوانند با افزودن کامنتهای فریبنده به کدهای مخرب، مدلهای بازبینیکننده امنیتی هوش مصنوعی را گمراه کنند. نرخ شناسایی مدلها در آزمایشات از حدود ۶۷٪ به ۵۳٪ کاهش یافت.
آسیبپذیری لایه ماژول PyPI: یک بسته نرمافزاری در مخزن PyPI با بیش از یک میلیون نصب ماهانه به خطر افتاده و در حال توزیع بدافزار سرقت اطلاعات است که زنجیره تامین امنیت توسعه نرمافزار در حوزه داده و هوش مصنوعی را تهدید میکند.
تغییر رفتار هوش مصنوعی با دادههای بیضرر: محققان دانشگاه ماساچوست دریافتند که «فاین تیون کردن» مدلهای صوتی (Audio LLMs) با دادههای به ظاهر بیضرر، میتواند نرخ رد درخواستهای خطرناک را از تکرقمی به ۸۷٪ کاهش دهد و عملاً سدهای ایمنی مدل را از کار بیندازد.
تداوم تهدید تزریق فوری (Prompt Injection): گزارش پایش تهدید نشان میدهد که حملات تزریق فوری (Prompt Injection) بر روی مدلهای مطرحی مانند Claude، Gemini، و Copilot در حال انجام است و مهاجمان از طریق کامنتهای مخفی در مخازن GitHub، مدلهای هوش مصنوعی را فریب میدهند.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2
کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
آسیبپذیری لایه ماژول PyPI: یک بسته نرمافزاری در مخزن PyPI با بیش از یک میلیون نصب ماهانه به خطر افتاده و در حال توزیع بدافزار سرقت اطلاعات است که زنجیره تامین امنیت توسعه نرمافزار در حوزه داده و هوش مصنوعی را تهدید میکند.
تغییر رفتار هوش مصنوعی با دادههای بیضرر: محققان دانشگاه ماساچوست دریافتند که «فاین تیون کردن» مدلهای صوتی (Audio LLMs) با دادههای به ظاهر بیضرر، میتواند نرخ رد درخواستهای خطرناک را از تکرقمی به ۸۷٪ کاهش دهد و عملاً سدهای ایمنی مدل را از کار بیندازد.
تداوم تهدید تزریق فوری (Prompt Injection): گزارش پایش تهدید نشان میدهد که حملات تزریق فوری (Prompt Injection) بر روی مدلهای مطرحی مانند Claude، Gemini، و Copilot در حال انجام است و مهاجمان از طریق کامنتهای مخفی در مخازن GitHub، مدلهای هوش مصنوعی را فریب میدهند.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
۲مهمترین خبر ۲۴ ساعت گذشته در حوزه امنیت سایبری صنعتی، گزارش تایید شده شرکت دراگوس (Dragos) از نخستین حمله سایبری مبتنی بر هوش مصنوعی به یک تأسیسات حیاتی است.
این رویداد که توسط رسانههای بینالمللی بازتاب گستردهای داشته، نقطه عطفی در تهدیدات سایبری محسوب میشود:
· جزئیات رویداد: مهاجمان با استفاده از مدلهای هوش مصنوعی Claude Code و GPT-4.1، یک حمله هدفمند را علیه سیستمهای کنترل صنعتی (ICS) شرکت آب و فاضلاب شهری مونتری (Monterrey) مکزیک طراحی و اجرا کردند. این حمله در بازه دسامبر 2025 تا فوریه 2026 رخ داده، اما گزارش فنی و تایید آن توسط دراگوس در 12 می 2026 منتشر شد.· نقش هوش مصنوعی: برای اولین بار، هوش مصنوعی بهطور مستقل برای شناسایی آسیبپذیریها، کدنویسی بدافزار ۱۷٬۰۰۰ خطی، پویش شبکه و حرکت جانبی از شبکه IT به سمت شبکه OT مورد استفاده قرار گرفت.· اهمیت راهبردی: گرچه این حمله موفق به ایجاد اختلال فیزیکی نشد، توانایی هوش مصنوعی در خودکارسازی و سرعتبخشی به فرآیند نفوذ (از چند هفته به چند ساعت) یک "تغییر دهنده بازی" در تهدیدات زیرساختهای حیاتی ارزیابی شده است.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2
کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
این رویداد که توسط رسانههای بینالمللی بازتاب گستردهای داشته، نقطه عطفی در تهدیدات سایبری محسوب میشود:
· جزئیات رویداد: مهاجمان با استفاده از مدلهای هوش مصنوعی Claude Code و GPT-4.1، یک حمله هدفمند را علیه سیستمهای کنترل صنعتی (ICS) شرکت آب و فاضلاب شهری مونتری (Monterrey) مکزیک طراحی و اجرا کردند. این حمله در بازه دسامبر 2025 تا فوریه 2026 رخ داده، اما گزارش فنی و تایید آن توسط دراگوس در 12 می 2026 منتشر شد.· نقش هوش مصنوعی: برای اولین بار، هوش مصنوعی بهطور مستقل برای شناسایی آسیبپذیریها، کدنویسی بدافزار ۱۷٬۰۰۰ خطی، پویش شبکه و حرکت جانبی از شبکه IT به سمت شبکه OT مورد استفاده قرار گرفت.· اهمیت راهبردی: گرچه این حمله موفق به ایجاد اختلال فیزیکی نشد، توانایی هوش مصنوعی در خودکارسازی و سرعتبخشی به فرآیند نفوذ (از چند هفته به چند ساعت) یک "تغییر دهنده بازی" در تهدیدات زیرساختهای حیاتی ارزیابی شده است.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
۴
کتاب (ITIL 4؛ ایجاد، ارائه و پشتیبانی) را با تخفیف ویژه از نمایشگاه بین المللی کتاب تهیه کنید.لینک کتاب در نمایشگاه کتاب:https://book.icfi.ir/book/24ce0b76-2212-434e-9310-fd25b73cfc7a/itil-4-ایجاد-ارائه-و-پشتیبانی
4؛ ایجاد، ارائه و پشتیبانی) را با تخفیف ویژه از نمایشگاه بین المللی کتاب تهیه کنید.لینک کتاب در نمایشگاه کتاب:https://book.icfi.ir/book/24ce0b76-2212-434e-9310-fd25b73cfc7a/itil-4-ایجاد-ارائه-و-پشتیبانی۴هفته سوم ماه مه ۲۰۲۶ برای متخصصان امنیت سایبری صنعتی (OT/ICS) با رویدادهایی پرتنش و هشدارهایی جدی همراه بود. از حملات سایبری با انگیزههای ژئوپلیتیک گرفته تا کشف آسیبپذیریهای حیاتی در بسترهای کنترل صنعتی، زنگ خطر برای زیرساختهای حیاتی به صدا درآمده است. در این گزارش، مهمترین اخبار این حوزه را مرور میکنیم.
حملات سایبری و رویدادهای امنیتی
· نفوذ سایبری به سامانههای سوخترسانی آمریکا: در یکی از مهمترین رویدادهای این هفته، مقامات فدرال آمریکا تحقیقات خود را درباره نفوذی سایبری به سامانههای مدیریت سوخت (Automatic Tank Gauges - ATG) در پمپ بنزینها و شبکههای توزیع سوخت آغاز کردند. این حمله که به گروههای همسو با ایران نسبت داده میشود، دستگاههای متصل به اینترنت و فاقد رمز عبور را هدف قرار داده است. مهاجمان میتوانند با دستکاری دادهها، اختلال در برنامهریزی تحویل سوخت و حتی ایجاد خطرات زیستمحیطی، امنیت این زیرساخت را به خطر بیندازند.· حمله سایبری به تاسیسات تصفیه آب: همزمان، یک حمله سایبری هماهنگ (احتمالاً باجافزاری) به یک مرکز بزرگ تصفیه آب، باعث اختلال در عملکرد و توقف موقت سامانههای حیاتی آن شد. این حمله بار دیگر آسیبپذیری بالای سامانههای خدمات ضروری در برابر تهدیدات سایبری را گوشزد کرد.· افزایش حملات به بخش کشاورزی: شرکت فناوری کشاورزی "Pro Farm Group Inc" هدف یک حمله باجافزاری از سوی گروهی به نام "pear" قرار گرفت. این حمله که منجر به اختلال در عملیات شد، نشان میدهد که مهاجمان اکنون صنایع غذایی و کشاورزی را نیز به عنوان اهداف سودآور جدید نشانه گرفتهاند، زیرا این صنایع تحمل توقف طولانیمدت در تولید را ندارند.· کمپین مداوم سوءاستفاده از تجهیزات صنعتی: در ادامه روندهای پیشین، گزارشها از فعالیت مداوم گروههای APT وابسته به ایران برای سوءاستفاده از کنترلکنندههای منطقی برنامهپذیر (PLC) در زیرساختهای حیاتی آمریکا حکایت دارند.
آسیبپذیریها و وصلههای امنیتی
· هشدار حیاتی برای کاربران ScadaBR: آژانس امنیت سایبری و زیرساخت آمریکا (CISA) با انتشار بیانیهای، نسبت به وجود چهار آسیبپذیری حیاتی در نسخه 1.2.0 از پلتفرم منبعباز اسکادا ScadaBR هشدار داد. این پلتفرم در صنایع تولید، انرژی و آب کاربرد گسترده دارد. مهمترین آنها شامل یک نقص تزریق فرمان (CVE-2026-8603) برای اجرای کد با دسترسی ریشه (root) و یک نقص دور زدن احراز هویت (CVE-2026-8602) است. CISA تاکید کرده که کاربران باید فوراً این سیستمها را از اینترنت جدا کرده یا وصلههای امنیتی را اعمال کنند.· فراخوان وصلههای امنیتی Siemens و Schneider Electric: در "سهشنبه وصلهها" ماه مه، زیمنس ۱۸ و اشنایدر الکتریک ۴ توصیهنامه امنیتی جدید منتشر کردند. این توصیهنامهها آسیبپذیریهای حیاتی در تجهیزات پرکاربردی مانند Sentron 7KT، Simatic S7 PLC، Ruggedcom Rox، EcoStruxure Panel Server و EasyLogic را پوشش میدهند. همچنین CISA برای محصولات شرکتهای ABB، Fuji Electric، Johnson Controls و Subnet Solutions نیز بهروزرسانی امنیتی ارائه کرد.· سایر آسیبپذیریهای اعلامشده: یک آسیبپذیری با شدت بالا (CVSS 10.0) در Cisco Catalyst SD-WAN شناسایی شد. همچنین، یک آسیبپذیری XSS در کنترلکنندههای ساختمانی DDC شرکت Kieback & Peter کشف و برای آن وصلهای منتشر شد.
تحولات صنعت و همکاریهای استراتژیک
· گسترش همکاریهای امنیتی: برای مقابله با این تهدیدات فزاینده، شرکتهای بزرگ امنیتی به گسترش همکاریهای خود ادامه میدهند. مشارکت Nozomi Networks با Mandiant (از زیرمجموعههای Google Cloud) و همچنین Dragos با CrowdStrike برای تقویت توانایی تشخیص و پاسخ به تهدیدات در زیرساختهای حیاتی، از جمله این اقدامات است.
---
هفتهای که گذشت، به وضوح نشان داد که مرز بین تنشهای ژئوپلیتیک و تهدیدات سایبری بیش از پیش کمرنگ شده است. حملات به زیرساختهای سوخت و آب، در کنار آسیبپذیریهای حیاتی کشفشده، یک پیام روشن برای تمام سازمانها دارد: امنیت سایبری صنعتی دیگر یک انتخاب نیست، بلکه یک ضرورت حیاتی برای تداوم کسبوکار و امنیت ملی است.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2
کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
حملات سایبری و رویدادهای امنیتی· نفوذ سایبری به سامانههای سوخترسانی آمریکا: در یکی از مهمترین رویدادهای این هفته، مقامات فدرال آمریکا تحقیقات خود را درباره نفوذی سایبری به سامانههای مدیریت سوخت (Automatic Tank Gauges - ATG) در پمپ بنزینها و شبکههای توزیع سوخت آغاز کردند. این حمله که به گروههای همسو با ایران نسبت داده میشود، دستگاههای متصل به اینترنت و فاقد رمز عبور را هدف قرار داده است. مهاجمان میتوانند با دستکاری دادهها، اختلال در برنامهریزی تحویل سوخت و حتی ایجاد خطرات زیستمحیطی، امنیت این زیرساخت را به خطر بیندازند.· حمله سایبری به تاسیسات تصفیه آب: همزمان، یک حمله سایبری هماهنگ (احتمالاً باجافزاری) به یک مرکز بزرگ تصفیه آب، باعث اختلال در عملکرد و توقف موقت سامانههای حیاتی آن شد. این حمله بار دیگر آسیبپذیری بالای سامانههای خدمات ضروری در برابر تهدیدات سایبری را گوشزد کرد.· افزایش حملات به بخش کشاورزی: شرکت فناوری کشاورزی "Pro Farm Group Inc" هدف یک حمله باجافزاری از سوی گروهی به نام "pear" قرار گرفت. این حمله که منجر به اختلال در عملیات شد، نشان میدهد که مهاجمان اکنون صنایع غذایی و کشاورزی را نیز به عنوان اهداف سودآور جدید نشانه گرفتهاند، زیرا این صنایع تحمل توقف طولانیمدت در تولید را ندارند.· کمپین مداوم سوءاستفاده از تجهیزات صنعتی: در ادامه روندهای پیشین، گزارشها از فعالیت مداوم گروههای APT وابسته به ایران برای سوءاستفاده از کنترلکنندههای منطقی برنامهپذیر (PLC) در زیرساختهای حیاتی آمریکا حکایت دارند.
آسیبپذیریها و وصلههای امنیتی· هشدار حیاتی برای کاربران ScadaBR: آژانس امنیت سایبری و زیرساخت آمریکا (CISA) با انتشار بیانیهای، نسبت به وجود چهار آسیبپذیری حیاتی در نسخه 1.2.0 از پلتفرم منبعباز اسکادا ScadaBR هشدار داد. این پلتفرم در صنایع تولید، انرژی و آب کاربرد گسترده دارد. مهمترین آنها شامل یک نقص تزریق فرمان (CVE-2026-8603) برای اجرای کد با دسترسی ریشه (root) و یک نقص دور زدن احراز هویت (CVE-2026-8602) است. CISA تاکید کرده که کاربران باید فوراً این سیستمها را از اینترنت جدا کرده یا وصلههای امنیتی را اعمال کنند.· فراخوان وصلههای امنیتی Siemens و Schneider Electric: در "سهشنبه وصلهها" ماه مه، زیمنس ۱۸ و اشنایدر الکتریک ۴ توصیهنامه امنیتی جدید منتشر کردند. این توصیهنامهها آسیبپذیریهای حیاتی در تجهیزات پرکاربردی مانند Sentron 7KT، Simatic S7 PLC، Ruggedcom Rox، EcoStruxure Panel Server و EasyLogic را پوشش میدهند. همچنین CISA برای محصولات شرکتهای ABB، Fuji Electric، Johnson Controls و Subnet Solutions نیز بهروزرسانی امنیتی ارائه کرد.· سایر آسیبپذیریهای اعلامشده: یک آسیبپذیری با شدت بالا (CVSS 10.0) در Cisco Catalyst SD-WAN شناسایی شد. همچنین، یک آسیبپذیری XSS در کنترلکنندههای ساختمانی DDC شرکت Kieback & Peter کشف و برای آن وصلهای منتشر شد.
تحولات صنعت و همکاریهای استراتژیک· گسترش همکاریهای امنیتی: برای مقابله با این تهدیدات فزاینده، شرکتهای بزرگ امنیتی به گسترش همکاریهای خود ادامه میدهند. مشارکت Nozomi Networks با Mandiant (از زیرمجموعههای Google Cloud) و همچنین Dragos با CrowdStrike برای تقویت توانایی تشخیص و پاسخ به تهدیدات در زیرساختهای حیاتی، از جمله این اقدامات است.
---
هفتهای که گذشت، به وضوح نشان داد که مرز بین تنشهای ژئوپلیتیک و تهدیدات سایبری بیش از پیش کمرنگ شده است. حملات به زیرساختهای سوخت و آب، در کنار آسیبپذیریهای حیاتی کشفشده، یک پیام روشن برای تمام سازمانها دارد: امنیت سایبری صنعتی دیگر یک انتخاب نیست، بلکه یک ضرورت حیاتی برای تداوم کسبوکار و امنیت ملی است.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
۲خلاصهای از مهمترین اخبار حوزه امنیت هوش مصنوعی در هفته منتهی به ۲۱ مه ۲۰۲۶ :
عرصه نبرد: هوش مصنوعی رسماً به سلاح سایبری تبدیل شد
· تأیید نخستین حمله واقعی با بهرهبرداری روز-صفر توسط هوش مصنوعی: واحد اطلاعات تهدید گوگل (GTIG) تأیید کرد که یک گروه جرایم سایبری برای نخستین بار با استفاده از هوش مصنوعی بهطور خودکار یک کد بهرهبرداری برای یک آسیبپذیری روز-صفر (0-day) در یک ابزار متنباز تولید کرده است. مهاجمان قصد داشتند با سوءاستفاده از این حفره، حملاتی گسترده برای دور زدن احراز هویت دو مرحلهای (2FA) انجام دهند که خوشبختانه پیش از وقوع توسط گوگل خنثی شد. تحلیلگر ارشد گوگل هشدار داد: «عصر بهرهبرداری از آسیبپذیریها توسط هوش مصنوعی فرا رسیده است.» همچنین، شمار گزارشهای آسیبپذیری CVE در جهان نسبت به مدت مشابه سال گذشته بیش از ۵۰۰ درصد افزایش یافته است.· پیچیدهتر شدن تاکتیکهای مهاجمان: افزون بر حملات مستقیم، مهاجمان از هوش مصنوعی برای مقاصد کمکی نیز بهره میبرند؛ از جمله دور زدن حفاظهای مدلهای زبانی (Jailbreak) برای کشف حفرههای امنیتی و توزیع بدافزارهای سرقت اطلاعات در پوشش نرمافزارهای جعلی هوش مصنوعی از طریق تبلیغات مخرب.
سیاست و حکمرانی: چرخش مهم در سیاستهای نظارتی آمریکا
· امضای فرمان اجرایی هوش مصنوعی توسط رئیسجمهور تروریست ترامپ: رئیسجمهور آمریکا قرار است به زودی فرمانی اجرایی در حوزه هوش مصنوعی و امنیت سایبری امضا کند. محور اصلی این فرمان، ایجاد چارچوبی داوطلبانه است که بر اساس آن، توسعهدهندگان مدلهای قدرتمند هوش مصنوعی باید ۹۰ روز پیش از انتشار عمومی، مدل جدید خود را برای ارزیابی در اختیار دولت و نهادهای زیرساخت حیاتی (مانند بانکها) قرار دهند. این تصمیم بهویژه تحت تأثیر توان بالای مدل جدید «Mythos» از شرکت Anthropic اتخاذ شده است.· ادامه مجادلات نظارتی: این فرمان، توازنی میان متحدان فناوری دولت (نظیر مارک آندرسن) و تندروهای حزبی (مانند استیو بنن) برقرار میکند؛ بنن حتی خواستار نظام مجوزدهی دولتی برای «سامانههای هوش مصنوعی بالقوه خطرناک» شده است. این اقدام، نقطه عطفی در تغییر رویکرد دولت آمریکا نسبت به تنظیمگری هوش مصنوعی به شمار میرود.
ارتقای دفاعی: همکاری صنعتی و ابزارهای نوآورانه
· تقویت توان دفاعی با هوش مصنوعی: در برابر حملات هوش مصنوعی، مدافعان نیز در حال تحکیم مواضع خود هستند. برای نمونه، شرکت Anthropic مدل قدرتمند کشف آسیبپذیری خود یعنی Mythos را صرفاً در اختیار چند شریک خاص برای اهداف دفاعی و ترمیم حفرههای امنیتی قرار داده است. از سوی دیگر، OpenAI نیز برنامهای تازه برای دفاع سایبری با نام Daybreak رونمایی کرده است.
جمعبندی
رویدادهای این هفته به روشنی نشان داد که نقش دوگانه هوش مصنوعی در امنیت سایبری، از بحثی نظری به واقعیتی عینی تبدیل شده است. این فناوری نه تنها برای نخستین بار بهعنوان یک سلاح تهاجمی مستقل ظاهر شده، بلکه کمبود حدود ۴.۸ میلیون نیروی متخصص امنیت سایبری در جهان (بهویژه در آفریقا) را نیز تشدید کرده است. مجموع این رویدادها، دولتها و صنعت امنیت را به واکنشی همهجانبه از سیاستگذاری تا فناوری واداشته و عصر نوینی از نبرد بر محور هوش مصنوعی را رقم زده است.اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2
کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
عرصه نبرد: هوش مصنوعی رسماً به سلاح سایبری تبدیل شد· تأیید نخستین حمله واقعی با بهرهبرداری روز-صفر توسط هوش مصنوعی: واحد اطلاعات تهدید گوگل (GTIG) تأیید کرد که یک گروه جرایم سایبری برای نخستین بار با استفاده از هوش مصنوعی بهطور خودکار یک کد بهرهبرداری برای یک آسیبپذیری روز-صفر (0-day) در یک ابزار متنباز تولید کرده است. مهاجمان قصد داشتند با سوءاستفاده از این حفره، حملاتی گسترده برای دور زدن احراز هویت دو مرحلهای (2FA) انجام دهند که خوشبختانه پیش از وقوع توسط گوگل خنثی شد. تحلیلگر ارشد گوگل هشدار داد: «عصر بهرهبرداری از آسیبپذیریها توسط هوش مصنوعی فرا رسیده است.» همچنین، شمار گزارشهای آسیبپذیری CVE در جهان نسبت به مدت مشابه سال گذشته بیش از ۵۰۰ درصد افزایش یافته است.· پیچیدهتر شدن تاکتیکهای مهاجمان: افزون بر حملات مستقیم، مهاجمان از هوش مصنوعی برای مقاصد کمکی نیز بهره میبرند؛ از جمله دور زدن حفاظهای مدلهای زبانی (Jailbreak) برای کشف حفرههای امنیتی و توزیع بدافزارهای سرقت اطلاعات در پوشش نرمافزارهای جعلی هوش مصنوعی از طریق تبلیغات مخرب.
سیاست و حکمرانی: چرخش مهم در سیاستهای نظارتی آمریکا· امضای فرمان اجرایی هوش مصنوعی توسط رئیسجمهور تروریست ترامپ: رئیسجمهور آمریکا قرار است به زودی فرمانی اجرایی در حوزه هوش مصنوعی و امنیت سایبری امضا کند. محور اصلی این فرمان، ایجاد چارچوبی داوطلبانه است که بر اساس آن، توسعهدهندگان مدلهای قدرتمند هوش مصنوعی باید ۹۰ روز پیش از انتشار عمومی، مدل جدید خود را برای ارزیابی در اختیار دولت و نهادهای زیرساخت حیاتی (مانند بانکها) قرار دهند. این تصمیم بهویژه تحت تأثیر توان بالای مدل جدید «Mythos» از شرکت Anthropic اتخاذ شده است.· ادامه مجادلات نظارتی: این فرمان، توازنی میان متحدان فناوری دولت (نظیر مارک آندرسن) و تندروهای حزبی (مانند استیو بنن) برقرار میکند؛ بنن حتی خواستار نظام مجوزدهی دولتی برای «سامانههای هوش مصنوعی بالقوه خطرناک» شده است. این اقدام، نقطه عطفی در تغییر رویکرد دولت آمریکا نسبت به تنظیمگری هوش مصنوعی به شمار میرود.
ارتقای دفاعی: همکاری صنعتی و ابزارهای نوآورانه· تقویت توان دفاعی با هوش مصنوعی: در برابر حملات هوش مصنوعی، مدافعان نیز در حال تحکیم مواضع خود هستند. برای نمونه، شرکت Anthropic مدل قدرتمند کشف آسیبپذیری خود یعنی Mythos را صرفاً در اختیار چند شریک خاص برای اهداف دفاعی و ترمیم حفرههای امنیتی قرار داده است. از سوی دیگر، OpenAI نیز برنامهای تازه برای دفاع سایبری با نام Daybreak رونمایی کرده است.
جمعبندیرویدادهای این هفته به روشنی نشان داد که نقش دوگانه هوش مصنوعی در امنیت سایبری، از بحثی نظری به واقعیتی عینی تبدیل شده است. این فناوری نه تنها برای نخستین بار بهعنوان یک سلاح تهاجمی مستقل ظاهر شده، بلکه کمبود حدود ۴.۸ میلیون نیروی متخصص امنیت سایبری در جهان (بهویژه در آفریقا) را نیز تشدید کرده است. مجموع این رویدادها، دولتها و صنعت امنیت را به واکنشی همهجانبه از سیاستگذاری تا فناوری واداشته و عصر نوینی از نبرد بر محور هوش مصنوعی را رقم زده است.
اگر این متن برای شما کاربردی است، باذکر منبع به اشتراک بگذارید. کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی@pedram_kianiکانال تلگرام:https://t.me/ics_certگروه تلگرام :https://t.me/ICSCERT_IRایتا:https://eitaa.com/joinchat/1866007784Cfd023f90b2کانال بلهhttps://ble.ir/otsecگروه بله:https://ble.ir/ot_sec
۲