11307
برای پیامهای خصوصی به شماره زیر پیام بدین: 🗣️https://t.me/+16283000015 🗣️https://t.me/NarimanGharib_DM 👀https://narimangharib.com
هممیهنان گرامی و دوستان عزیز،
سال پرفرازونشیبی را پشت سر گذاشتید؛ سالی که در ادامهٔ چالشهای چندین ساله، همچنان برای کسب حقوقتان جنگیدید و حتی زندان را به جان خریدید. معلمان، کارگران و بازنشستگان در کوچهپسکوچههای ایران تلاش کردند صدای خود را به گوش حاکمان برسانند: اینکه سوریه، یمن و حزبالله اولویت ندارد، بلکه مردم ایران مقدماند. در این سال، بسیاری از همراهان توییتری، سیاسی و عاشقان میهن را از دست دادیم. اما اکنون از شمال تا جنوب و از شرق تا غرب کشور، خواستهای مشترک در میان مردم شکل گرفته است: سرنگونی رژیم جمهوری اسلامی، چرا که برای بسیاری، کارد به استخوان رسیده است.
وقتی در برابر زن و فرزندمان مجبوریم سر را پایین بیندازیم یا زمانی که کودکمان از ما لباس یا دوچرخهٔ نو میخواهد و ما از تأمین آن ناتوانیم، دیگر این چه زندگیای است؟ چهار دهه است که بر همهٔ ما زور گفتهاند، و اکنون هرکسی در هر گوشهٔ جهان تلاش میکند، با هر نفوذ و قدرتی که دارد، یک: صدای مردم ایران باشد و دو: در راه سرنگونی این رژیم یاری برساند. اگر کسی غیر از این عمل میکند و به بحث و حاشیه میپردازد، قلبش با وطن نیست.
از صمیم قلب، فرارسیدن نوروز و سال نو را به همهٔ شما شادباش میگویم و سپاسگزارم که با وجود محدودیتها همچنان در این کانال تلگرام حضور دارید.
پیروز و سربلند باشید
نریمان غریب
حمله سایبری گسترده به شبکه ارتباطی ناوگان دریایی ایران
🔴 شب گذشته، گروه «لبدوختگان» موفق شد شبکه ارتباطی دو شرکت کشتیرانی بزرگ ایران را که تحت تحریمهای آمریکا، بریتانیا و اتحادیه اروپا قرار دارند، فلج کند. در این عملیات، ارتباطات ۱۱۶ کشتی متعلق به شرکت ملی نفتکش ایران (NITC) و شرکت کشتیرانی جمهوری اسلامی ایران (IRISL) مورد هدف قرار گرفت. این شرکتها در ارسال محمولههای تسلیحاتی به حوثیهای یمن نقش دارند.
📡 در نتیجه این حمله، از بامداد امروز پرسنل این کشتیها قادر به ارتباط با یکدیگر نبوده و اتصال آنها با بنادر و جهان خارج قطع شده است. پیشبینی میشود که بازگرداندن کامل این ارتباطات چندین هفته زمان ببرد و در حال حاضر تنها برخی روشهای محدود ارتباطی در دسترس باشد.
بررسیهای فنی نشان میدهد که هکرها توانستهاند به سامانههای ارتباط ماهوارهای این شرکتها نفوذ کنند و با دسترسی به سرورهای آنها، از طریق اجرای دستورات مخرب، ذخیرهسازهای اطلاعات را از کار بیندازند و اطلاعات را نابود کنند. این عملیات یکی از بزرگترین حملات سایبری علیه زیرساختهای دریایی ایران محسوب میشود.
@NarimanGharib
از ژانویه امسال، گروه هکری دارکبیت (Storm-1084)، که توسط حسین فرد سیاهپوش، معروف به پارسا صرافیان از آوای هوشمند راوین (آکادمی راوین) در ایران هدایت میشود، چندین حمله سایبری علیه کالج میوْخار (Mivchar College)، یک مؤسسه آموزش عالی در اسرائیل، انجام داده است. در حال حاضر، اطلاعات و شاخصهای مرتبط با این حملات (IoCs) میان شرکتهای فناوری در حال تبادل است.
کالج میوْخار در سال ۲۰۰۰ توسط دکتر خاخام آبراهام فورس تأسیس شد. این مؤسسه با همکاری دانشگاههای برجستهای مانند دانشگاه حیفا، مؤسسه فناوری تخنیون، و کالج فناوری اورشلیم (JCT)، برنامههای دانشگاهی متنوعی از جمله مددکاری اجتماعی، نقشهبرداری و اطلاعات جغرافیایی، و علوم کامپیوتر ارائه میدهد.
-594c32f87323aafe857b72feb54639ea8ee1b12ab2bc8a52964911805cf93fb5
-b29b46e8ce76f8d8065455c205c82184a30f1fe0f2e8e2e224add2b02f2b4019
-3e6857907931eacc843a593d8fddccbb7660b0cc253b78e163cb3e854df72a89
-5b0f412e997b8826e06daee46b8778a97ffa40f4a2327d321e19744503ac73b5
-a5eb836e76c00b610509f4e8a18bd3bd7efe3db33b2711be5838c9fa455a05be
@NarimanGharib
اگر در چند روز گذشته چنین پیامی دریافت کردهاید، این اقدام از سوی هکرهای سپاه پاسداران انجام شده است. آنها با استفاده از آدرس جدید (hxxps://spam-telegram[.]org) سعی دارند حساب تلگرام فعالان حقوق بشر و روزنامهنگاران را هک کنند. در لینک زیر، نحوه عملکرد این حمله فیشینگ را بهطور خلاصه توضیح دادهام:
https://TelegramAware.com/
@NarimanGharib
بر اساس گزارشهای منتشر شده، وزارت خزانهداری ایالات متحده بهروز پاسارداد (با نامهای مستعار بهروز پائینشهری و بهروز پارسا)، شهروند ایرانی را به دلیل مدیریت بازار دارک وب «نمسیس» تحریم کرده است. طبق اطلاعات منتشر شده، پاسارداد متولد ۲ جولای ۱۹۸۸ و ساکن تهران - خیابان توحید، خیابان شهید بختیاری، بهار، پلاک ۸، شماره ۱۸ است.
این بازار دارک وب که در سال ۲۰۲۴ توسط عملیات مشترک نیروهای امنیتی آمریکا، آلمان و لیتوانی مسدود شد، بستری برای فروش مواد مخدر، خدمات هک و اسناد جعلی بوده است. طبق اعلام خزانهداری آمریکا، پاسارداد مدیر اصلی و تنها گرداننده این بازار بوده که بیش از ۳۰،۰۰۰ کاربر فعال و ۱،۰۰۰ فروشنده داشته و در فاصله سالهای ۲۰۲۱ تا ۲۰۲۴ نزدیک به ۳۰ میلیون دلار مواد مخدر از جمله فنتانیل در سراسر جهان به فروش رسانده است.
پاسارداد از طریق ایمیلهای متعددی از جمله hernes[at]tutanota[dot]com، m3vda[at]protonmail[dot]com، lazyyytrader[at]gmail[dot]com و چند آدرس ایمیل دیگر، و همچنین شمارههای تلفن 989190900020، 989330219108 و 989334445690 با مشتریان و فروشندگان در ارتباط بوده است. شماره پاسپورت او M56769976 ذکر شده است. این تحریمها شامل شناسایی ۴۹ آدرس ارز دیجیتال متعلق به پاسارداد میشود که برای پولشویی و ذخیره درآمدهای حاصل از فعالیتهای غیرقانونی استفاده میشده است.
مقامات آمریکایی اعلام کردهاند که پاسارداد از طریق اخذ کارمزد از تراکنشهای صورت گرفته در بازار نمسیس، میلیونها دلار درآمد کسب کرده و همچنین در پولشویی ارزهای دیجیتال برای قاچاقچیان مواد مخدر و مجرمان سایبری فعال بوده است. پس از مسدود شدن این پلتفرم در مارس ۲۰۲۴، بر اساس گزارشها، پاسارداد در تلاش برای راهاندازی بازار دارک وب جدیدی با همکاری فروشندگان سابق نمسیس بوده است.
این تحریمها بر اساس فرمان اجرایی ۱۴۰۵۹ صورت گرفته که گسترشدهندگان مواد مخدر و ابزارهای تولید آنها را هدف قرار میدهد. اقدام دیروز، اولین عملیات دفتر کنترل داراییهای خارجی (OFAC) وزارت خزانهداری آمریکا به عنوان عضوی از تیم مشترک مبارزه با مواد مخدر و دارک وب (JCODE) به رهبری افبیآی است.
https://home.treasury.gov/news/press-releases/sb0040
@NarimanGharib
بر اساس گزارش اخیر GreyNoise، یک باتنت جدید به نام Eleven11bot شناسایی شده که حدود ۳۰ هزار دستگاه را در سطح جهان آلوده کرده است. این باتنت بیشتر دوربینهای امنیتی و NVRها را هدف قرار داده و از آنها برای حملات DDoS علیه شرکتهای مخابراتی و پلتفرمهای بازی استفاده میکند.
نکته قابل توجه اینکه طبق دادههای GreyNoise، حدود ۶۱ درصد از آدرسهای IP مرتبط با این باتنت (۶۳۶ از ۱۰۴۲) به ایران برمیگردد.
باتنت (Botnet) شبکهای از دستگاههای آلوده به بدافزار است که تحت کنترل یک مهاجم قرار دارند و برای انجام فعالیتهای مخرب مانند ارسال هرزنامه، سرقت اطلاعات یا حملات منع سرویس (DDoS) استفاده میشوند.
کارشناسان امنیتی توصیه میکنند کاربران ایرانی نسبت به این موضوع هوشیار باشند. متخصصان GreyNoise میگویند این باتنت مخصوصاً دوربینهای برند VStarcam را با استفاده از اطلاعات ورود پیشفرض هدف قرار میدهد. اگر از تجهیزات متصل به اینترنت استفاده میکنید، بهتر است فوراً به تنظیمات امنیتی آنها سر بزنید و گذرواژهها را به ترکیبی پیچیده و منحصر به فرد تغییر دهید. همچنین فعال کردن احراز هویت دو مرحلهای در هر سرویسی که از آن پشتیبانی میکند، میتواند لایه امنیتی مهمی ایجاد کند.
این باتنت با استفاده از روشهای سادهای مثل حدس زدن رمزهای عبور ضعیف و استفاده از مشخصات پیشفرض کارخانه، دستگاهها را آلوده میکند. GreyNoise درباره منشأ حملات اظهارنظر قطعی نکرده است.
اگر میخواهید بدانید آیا دستگاه شما آلوده شده، به دنبال ترافیک شبکه غیرعادی، کندی اینترنت یا افزایش مصرف پهنای باند باشید و در صورت مشکوک بودن، دستگاه را ریست کرده و رمز عبور جدیدی تنظیم کنید.
https://www.greynoise.io/blog/new-ddos-botnet-discovered
@NarimanGharib
احمد قیومی، مدیرعامل شرکت واحد اتوبوسرانی تهران، اخبار منتشر شده درباره دیزلی بودن اتوبوسهای وارداتی برقی را تکذیب کرد و گفت: «سیستم گازوئیلی این اتوبوسها برای گرمایش کابین و بهمنظور جلوگیری از افت عملکرد باتری است و ارتباطی با نیروی محرکه ندارد.»
😂😂😂😂
واقعا مغزتون رو باید قاب بکنند بزنن سر در تهران! گازوئیلشم بدن آقای میثاقی بخوره
@NarimanGharib
شبکه نظارتی جدید و گستردهای در حال پوشش دادن خیابانهای تهران است. بر اساس اطلاعات دریافتی از یک منبع آگاه، جمهوری اسلامی بیسروصدا در حال نصب دوربینهای پیشرفته ساخت هایکویژن چین در زیر پلهای عابر پیاده است. این دوربینها که با دقت از دید عموم پنهان شدهاند، همزمان قادر به تشخیص پلاک خودروها و چهرهها هستند و تمام تحرکات در خطوط بیآرتی، مسیرهای خودروها و پیادهروها را ثبت میکنند.
محور اصلی این شبکه نظارتی، مسیر خیابان انقلاب تا آزادی است که تقریباً تمام پلهای عابر آن به این سیستم مجهز شدهاند. نقطه آغاز این پروژه، نصب دوربین در پل عابر پیاده نزدیک مترو میدان امام حسین بوده و از آنجا به سرعت در حال گسترش است. تیمهای نگهداری با خودروهای بدون نشان و مجهز به بالابر، بهویژه پیش از مراسمهای خاص، بهطور مرتب این دوربینها را سرویس میکنند و هیچ نشانی از هویت سازمانی خود به نمایش نمیگذارند.
لینک گزارش *** فارسی - English
@NarimanGharib
پشت پرده ابرآروان: ماجرای عوامفریبی و منافع پنهان
وقتی به گذشته نگاه میکنیم، صحنههای آشنایی در ذهن زنده میشود. هنوز فراموش نکردهایم زمانی را که با کمک آذری جهرمی، رپورتاژ تبلیغاتی ابرآروان از آنتن بیبیسی فارسی پخش شد. این همان شرکتی است که امروز، به لطف حمایتهای جوزف بورل و عیسی زارعپور، از لیست تحریمهای اتحادیه اروپا خارج شده و حالا با افتخار سرور دیتاسنتر آلمان را در ایران میفروشد.
در تبلیغاتشان با اطمینان کامل مینویسند: "با خرید VPS آلمان بدون نگرانی بابت اُفت سرعت یا پایداری، کسبوکارتان را توسعه دهید و خدمات خود را بهدست میلیونها کاربر در سراسر اروپا برسانید." اما واقعیت پشت این تبلیغات چیست؟ در آینده شاهد خواهیم بود که در زمان اعتراضات و شلوغیهای داخلی، حکومت سرعت دسترسی و ارتباط با دیتاسنترهای اروپایی را محدود خواهد کرد (که البته همین حالا هم throttling انجام میشود) و تنها سرورهای ابرآروان را برای کاهش خسارت به خدمات زیرساختی خودشان، با سرعت کامل نگه خواهد داشت. یعنی عملا از این طریق و با داشتن امکان تفکیک ترافیک سرورهای به اصطلاح «خودی» در اروپا، میتوانند انتخاب کنند که چه کسانی و البته چه کسبوکارهایی از سرورهای اروپا با سرعت بالا استفاده کنند و چه کسانی نه!
اگر کسی فکر میکند ابرآروانیها شرکتی مستقل و حامی آزادی اینترنت هستند، باید یادآوری کنیم که آنها نقش مهمی در توسعه شبکه ملی اطلاعات داشتهاند. الگوی رفتاری آنها همواره یکسان بوده است: همکاری با حکومت؛ به خود گرفتن شمایل معترض به فیلترینگ و مجددا باز هم همکاری با حکومت!
ابرآروان، از ابتدا با همراهی حکومت و از طریق بهرهبرداری از رانت و امتیازات ویژه، کار خود را شروع کرد؛ در راستای پیشبرد اهداف زیرساختی شبکه ملی اطلاعات قدم برداشت؛ در میانه راه، پس از اعتراضات مهسا، کمی ظاهر معترض به سیاستهای حکومتی به خود گرفت؛ تلاش کرد تا از این طریق افکار عمومی را فریب دهد؛ پس از آن مجددا به خفا رفت تا بتواند همانند سابق، در پشت پرده، پروژههای کلان در راستای اهداف حکومت را پیش ببرد. اگر فردای روز، باز بیایند و بگویند مخالف فیلترینگ هستند، اصلا چیز عجیبی نیست. کما اینکه امروز نیز ادعا میکنند که دیگر با دولت همکاری ندارند، اما سؤال اصلی اینجاست: وقتی شما کمک کردهاید تا دیواری ساخته شود که مردم را در داخل آن زندانی کنند، دیگر حکومت چه نیازی به شما دارد؟ شما کار خود را کردهاید و در ایجاد شبکهای که به دولت امکان سانسور و رصد کامل را میدهد، نقش اساسی داشتهاید.
نمونه بارز این عوامفریبی را میتوان در جلسات کمیسیون اینترنت انجمن تجارت الکترونیک دید، جایی که علیه فیلترینگ صحبت میکردند اما همزمان در خفا مشغول تقویت زیرساختهای محدودکننده بودند. جالب اینجاست که امیر ناظمی، رئیس سابق سازمان فناوری اطلاعات و معاون آذری جهرمی، که نقش کلیدی در پیشبرد منافع این شرکت داشت، در سال گذشته به کشور آلمان مهاجرت کرده است.
@NarimanGharib
🔍 به گزارش وال استریت ژورنال، طبق تحقیقات جدید گوگل، گروههای هکری از بیش از ۲۰ کشور، به ویژه ایران و چین، به طور فعال از هوش مصنوعی Gemini گوگل برای تقویت عملیات سایبری خود استفاده میکنند. گروههای ایرانی به عنوان پرکاربردترین کاربران در میان تمام کشورها شناسایی شدهاند که از این هوش مصنوعی برای اهداف مختلف از جمله تحقیقات مرتبط با دفاعی و تولید محتوای فیشینگ چند زبانه به انگلیسی، عبری و فارسی استفاده میکنند.
🤖 در حالی که هوش مصنوعی هنوز قابلیتهای سایبری را متحول نکرده است، عمدتاً برای بهبود کارایی و مقیاسپذیری عملیات موجود استفاده میشود. تحقیقات گوگل نشان میدهد که مهاجمان از هوش مصنوعی بیشتر به عنوان یک دستیار پژوهشی استفاده میکنند تا یک سلاح استراتژیک، و بر روی وظایفی مانند کدنویسی و اسکن آسیبپذیریها تمرکز دارند.
🔒 نکته قابل توجه اینکه بر اساس گزارش گوگل، گروه APT42 (نزدیک به سپاه پاسداران) ایران که بیش از ۳۰٪ از فعالیتهای ایرانی در Gemini را به خود اختصاص داده، عمدتاً بر روی طراحی کمپینهای فیشینگ متمرکز بوده است. این گروه از Gemini برای جمعآوری اطلاعات در مورد کارشناسان سیاسی و دفاعی، و همچنین تولید محتوا با موضوعات امنیت سایبری و محتوای متناسب با سازمانهای دفاعی آمریکا استفاده کرده است. علاوه بر این، APT42 به تحقیق در مورد آسیبپذیریهای عمومی و سیستمهای دفاعی، به ویژه سیستمهای هوافضای آمریکا پرداخته است.
@NarimanGharib
https://blog.google/technology/safety-security/ai-and-the-future-of-national-security/
https://cloud.google.com/blog/topics/threat-intelligence/adversarial-misuse-generative-ai
اخیرا حسین رونقی @HosseinRonaghi فعال سیاسی، متوجه شده بود که مقامات امنیتی جمهوری اسلامی برای نظارت بر رفت و آمد افراد به منزل او، تجهیزات شنود را در ساختمان آپارتمانی که او در آن زندگی میکند نصب کردهاند. او امروز این تجهیزات را جمعآوری و تصاویر آن را منتشر کرد. یکی از این تصاویر مربوط به مودم روتر سیمکارتخور تیپیلینک بود که حسین رونقی همراه با سیمکارت نانو تصویر آن را منتشر کرد.
/channel/hosseinronaghi/1915
/channel/hosseinronaghi/1914
بگذارید برای اولین بار بگویم که این سیمکارتها را کدام شرکت ارائه میکند.
اپراتور این سیمکارتها، تاراسل (Taracell) نام دارد که متعلق به شرکت تأمین ارتباطات رویکرد آینده (Tamin Ertebatat Ruykard Ayandeh) است که یکی از نمایندگان شرکت چینی هایترا در ایران است. آنها مجوز خرید و فروش تجهیزات رادیویی را به کشور از سازمان تنظیم مقررات رادیویی دارند و مدیرعامل و رئیس هیئت مدیره این شرکت مهدی فقیهی با کد ملی 0452745977 و شماره پاسپورت T14576581 است. همچنین وحید ثنایی منش به شماره ملی 0067155219 و مهدی خزایی به شماره ملی 0080964648 نیز در این شرکت سمتهایی را دارند.
در توضیحات این شرکت در اینترنت آمده است که: «هدف تاراسل ایجاد و توسعه پایدار زیست بوم اختصاصی در کشور، متناسب با شرایط و نیازهای اختصاصی مشتریان هدف خود یعنی سازمانهای ماموریت حساس و امنیت عمومی است. ماموریت این اپراتور ایجاد زیرساخت موبایلتی باند پهن امن به عنوان مهمترین فعال کننده در تحول دیجیتال سازمانهای هدف میباشد.»
جالب است بدانید، خود شرکت «تأمین ارتباطات رویکرد آینده» زیرمجموعه «صنایع الکترونیک زعیم» است که وابسته به وزارت اطلاعاته.
@NarimanGharib
https://x.com/NarimanGharib/status/1882429569921114324
گزارشها حاکی است که #سگارو، که به دلیل فعالیتهایش در راستای آزادی اینترنت و آموزش راههای دور زدن فیلترینگ جمهوری اسلامی همراه با یوسف قبادی بازداشت شده بود، اکنون آزاد شده است.
او پس از آزادی، ویدیویی از مزار پدرش منتشر کرده که در زمان بازداشت وی در زندان، درگذشته است.
من از سوی تیم @ArgoVPN و @Filtershekanha، عمیقترین تسلیتها را به سگارو و خانوادهاش ابراز میکنیم و امید داریم که یوسف قبادی نیز به زودی آزاد شود.
@NarimanGharib
https://x.com/iSegar0/status/1881237883664863373
عواملی در ایران تلاش داشتند یک تاجر اسرائیلی را به امارات متحده عربی بکشانند تا به او آسیب برسانند. آنها با این فرد تماس گرفته و مدعی شدند که از طرف رئیس فعلی کانال العربیه فارسی هستند. اما در واقع، کانال رسمی العربیه در تلگرام با یوزرنیم *Alarabiya_far* فعالیت میکند. این عوامل، با ثبت یک یوزرنیم مشابه به شکل *aiarabiya_far* (که در آن حرف "i" را بهصورت بزرگ نوشته بودند)، قصد داشتند تاجر اسرائیلی را فریب داده و گمراه کنند.
سیستم کاری آنها به این شکل بوده/هست:
- تمام مطالب منتشر شده در کانال اصلی العربیه بهطور خودکار به کانال جعلی ارسال میشود.
- ارسال پیام به قربانی از طرف آی دی شبیه العربیه.
- در این پیامها، آدرس کانال اصلی العربیه فارسی ذکر میشود، اما لینک ارائهشده به کانال جعلی در تلگرام هایپرلینک شده است.
گزارش:
https://www.kan.org.il/content/kan-news/defense/847025/
بروزرسانی: حساب جعلی رو بعد از این پست پاک کردند.
@NarimanGharib
به تازگی گوگل به کاربران ایرانی اطلاع داده است که حساب های گوگل آنالیتیکس آنها را طبق بند ۱۴ شرایط استفاده که اجازه پایان دادن به توافق با اطلاع را میدهد، تعلیق کرده است. با این حال، اگر این اقدام به تحریمهای آمریکا مرتبط باشد، این تصمیم غیرموجه به نظر میرسد. طبق «مجوز عمومی D-2» صادر شده توسط
اوفک(خزانه داری آمریکا)، خدماتی مانند گوگل آنالیتیکس که امکان مرور وب و اشتراک گذاری اطلاعات را فراهم میکنند، در صورتی که الزامات مرتبط (مانند EAR99 یا ECCN 5D992.c) را رعایت کنند، میتوانند قانونی تلقی شوند.
Recently, Google has informed Iranian users that their Google Analytics accounts are being suspended, citing Section 14 of the Terms of Service, which allows termination with notice. However, if this action is related to U.S. sanctions, it appears unwarranted. Under General License D-2 issued by OFAC, services like Google Analytics that enable web browsing and information sharing could be permissible, provided they meet the relevant classifications (e.g., EAR99 or ECCN 5D992.c).
If sanctions are not the issue, it is unclear why Google has decided to terminate these accounts, especially when such services may fall under legally authorized exemptions outlined in General License D-2.
@NarimanGharib
توماج صالحی: جانِ برادر لبهایش را باز کرد و جانِ دوباره به خانواده داد.❤️
از توییتر توماج
از توماج، مهدی یراحی و مردم عزیز و شجاع ایران و همه کسانی که همراه و همدرد بودند و با اینکه یک تن بودم اما مرا در این راه سخت تنها نگذاشتند ممنونم.
@Hosseinronaghi
پس از این حمله سایبری، گروه لبدوختگان اطلاعات ویژهای را در اختیار خبرنگاران و محققان امنیتی قرار داده است. میتوانید فهرست کشتیهای ایرانی را که در حال حاضر با اختلال در ارتباطات ماهوارهای مواجه شدهاند، را اینجا برای اولین بار مشاهده کنید.
@NarimanGharib
"دبیر شورای عالی فضای مجازی: متن مصوبه مربوط به رفع فیلتر گوگلپلی و واتساپ محرمانه است."
اگر به این نامه دست پیدا کردین، مثل همیشه میدونید چطوری به دست من برسونید.😉
@NarimanGharib
اگر در چند روز اخیر ایمیلی دریافت کردید که حاوی یک فایل PDF پیوست شده بود و مشابه تصویر نمونه به نظر میرسید، باید احتیاط کنید. کلیک روی آیکون گوگل درایو داخل این فایل، شما را به یک سایت فیشینگ هدایت میکند که توسط هکرهای وابسته به جمهوری اسلامی برای سرقت اطلاعات حساب جیمیل طراحی شده است. در ادامه، شاخصهای مرتبط با این حمله (IoCs) را منتشر کردهام:
hjrd49gj40s32ttu597f9q7udoi49dh29ahqifaaws8u22q[.]site
drives[.]googles[.]com-id-sddsdssd[.]fu58di30d8u8u2t976kg90i4fuj48duy7398wa73ahfd398a3suhyu456eh2q[.]site
hjrd49gj4dh54sj28917eryfg8ajudoi49dh29ahqifaaws8u22q[.]site
drives[.]googles[.]com[.]hjrd49gj4dh54sj28917eryfg8ajudoi49dh29ahqifaaws8u22q[.]site
accent-going-session[.]bond
cheking-panel[.]site
cheking-panel-step[.]site
human-queer-write[.]cyou
forward-goal-inner[.]digital
join-room-host[.]site
@NarimanGharib
بر اساس گزارش منتشر شده، یک حمله سایبری با منشأ ایرانی به شبکه درمانگاهی Bikuropa اسراییل صورت گرفته است. این شبکه درمانگاهی خدمات خود را به بیمههای سلامت و همچنین ارتش اسرائیل (IDF) ارائه میدهد و سربازان برای درخواست مرخصی استعلاجی از جمله به این مراکز مراجعه میکنند.
اداره ملی سایبری اسرائیل و تیم امنیت اطلاعات شبکه بیکوروپا در حال بررسی این حادثه هستند که در اوایل این هفته رخ داده است. آنها در حال بررسی احتمال نشت اطلاعات و ماهیت آن هستند، اما در این مرحله برای تعیین دقیق وضعیت خیلی زود است. با این حال، تمامی طرفها از جمله وزارت بهداشت اسرائیل خود را برای هر سناریویی آماده میکنند.
شرکت Bikrofa اعلام کرده است: «در اوایل این هفته، شرکت نشانههایی از یک حادثه سایبری که توسط مهاجمان ایرانی انجام شده بود را شناسایی کرد. این کشف در مرحله اولیه انجام شد. شرکت بلافاصله اقدامات مهارکننده از جمله قطع پیشگیرانه شبکه سازمانی را برای کاهش خطرات و حفظ امنیت اطلاعات انجام داد. تاکنون هیچ نشانهای از نشت اطلاعات محرمانه یا مهم کشف نشده است.»
شبکه کلینیکهای بیکوروپا سالانه به بیش از یک میلیون بیمار خدمات ارائه میدهد و همچنین با ارتش اسرائیل همکاری میکند.
@NarimanGharib
https://www.ynet.co.il/health/article/sksvprdoke
بر اساس گزارشی که دیروز توسط پروفپوینت منتشر شده، گروهی از هکرهای مرتبط با سپاه پاسداران (به نام UNK_CraftyCamel) در اواخر اکتبر ۲۰۲۴ اقدام به حملهای هدفمند علیه بخش هوانوردی و ارتباطات ماهوارهای امارات متحده عربی کردهاند.
هکرها با نفوذ به حساب ایمیل یک شرکت الکترونیکی هندی به نام INDIC Electronics، پیامهای فیشینگ برای کمتر از پنج سازمان در امارات ارسال کردهاند. مهاجمان با سوءاستفاده از اعتماد که میان این شرکت و قربانیان وجود داشته، توانستهاند پیامهای سفارشیشده برای هر هدف ارسال کنند. این پیامها حاوی لینکهایی به دامنه جعلی indicelectronics[.]net بوده که فایلهای مخرب را منتقل میکرده است. آدرس IP استفاده شده 46.30.190[.]96 بوده و متعلق به سرویس میزبانی CrownCloud است.
فایلهای ارسالی شامل یک فایل ZIP حاوی یک فایل XLS (که در واقع یک فایل LNK با پسوند دوگانه بوده) و دو فایل PDF بودهاند. این فایلهای PDF در واقع polyglot (چندگانه) بودهاند - یکی PDF با HTA و دیگری PDF با ZIP. فایل LNK ابتدا cmd.exe را اجرا کرده و سپس با mshta.exe فایل PDF/HTA را اجرا میکند. در نهایت، این زنجیره به نصب یک بکدور (درب پشتی) به نام Sosano منجر شده که با زبان Go نوشته شده است. این بدافزار با سرور C2 در آدرس bokhoreshonline[.]com (با IP 104.238.57[.]61) ارتباط برقرار میکند. این بدافزار میتوانسته دستوراتی مانند دریافت اطلاعات دایرکتوریها، اجرای دستورات شل، و دانلود و اجرای فایلهای دیگر را انجام دهد.
محققان پروفپوینت شباهتهای تاکتیکی و تکنیکی این حملات را با فعالیتهای گروههای TA451 و TA455 شناسایی کردهاند که پیشتر به سپاه پاسداران نسبت داده شدهاند. این گروهها قبلاً نیز صنایع هوافضا را هدف قرار دادهاند. TA451 و UNK_CraftyCamel هر دو از فایلهای HTA در حملات هدفمند در امارات استفاده کردهاند و TA455 و UNK_CraftyCamel ترجیح میدهند با پیشنهادات تجاری B2B به اهداف خود نزدیک شوند.
https://www.proofpoint.com/us/blog/threat-insight/call-it-what-you-want-threat-actor-delivers-highly-targeted-multistage-polyglot
@NarimanGharib
در سایههای کنترل و نظارت، اینستاگرام برای میلیونها ایرانی دریچهای به سوی دنیای بیرون بود. امروز اما، همان پنجره کوچک با مهر "مصادره شده" کوبیده میشود. پلیس سایبری جمهوری اسلامی، با تاکتیکی که یادآور مصادرههای اموال دهه شصت است، اینبار به غارت هویت دیجیتال شهروندان پرداخته است. آنها با احضار فیزیکی کاربران - از چهرههای شناخته شده تا شهروندان عادی - و تحت فشار بازجویی، کلیدهای قلمرو دیجیتال آنها را میرُبایند.
فرایند این مصادره دیجیتال با دقتی شبیه عملیات نظامی انجام میشود: ابتدا دستگیری، سپس بازجویی طولانی، اخذ رمزهای عبور، حذف تمام پستهای صفحات مجازی، و در نهایت نصب پرچم مصادره بر سردر این خانههای دیجیتال. این اقدام یادآور تاریخ مشابهی است که در آن، روزنامهها توقیف و دفاتر رسانهها پلمب میشد.
این خاموشی اجباری صداها در فضای مجازی، با سابقه تاریخی سرکوب رسانهها در ایران پیوند میخورد؛ از توقیف روزنامههای دوره اصلاحات گرفته تا فیلترینگ گسترده پلتفرمهای آنلاین در دهههای ۸۰ و ۹۰ و اوج سرکوب دیجیتال و خاموشی اینترنت پس از اعتراضات دی ۹۶ و آبان ۹۸. تفاوت امروز در این است که حکومت از مرز محدودسازی دسترسی فراتر رفته و به مصادره کامل هویت دیجیتال افراد رسیده است - گویی که نه تنها صدا، بلکه حتی تصویر و خاطره دیجیتال افراد نیز باید از صفحه روزگار محو شود.
شرکت متا و مدیران اینستاگرام باید این پرسش را از خود بپرسند: آیا ابزاری که برای اتصال انسانها ساخته شده، اکنون به اهرمی برای سرکوب و ارعاب تبدیل شده است؟ از زمان قطع دسترسی به تلگرام در سال ۱۳۹۷ و محدودیتهای گسترده اینترنتی در جریان اعتراضات آبان ۱۳۹۸ و مهر ۱۴۰۱، الگوی مشخصی از محدودسازی فضای دیجیتال در ایران قابل مشاهده است. اکنون مسئولیت تاریخی متا این است که سیستمهای هوشمند تشخیص الگوی مصادره حسابهای کاربری را توسعه دهد - الگوریتمهایی که بتوانند رفتارهای غیرعادی مانند حذف یکباره محتوا و تغییر پروفایل به نشانهای مشخص مصادره را شناسایی کرده و بهطور خودکار حساب را قفل کنند. متا همچنین میتواند مسیرهای بازیابی امنی ایجاد کند که حتی در شرایط بازداشت فیزیکی، برای مقامات قابل دسترسی نباشد. آیا غولهای فناوری در برابر این استفاده ابزاری از پلتفرمهایشان برای سرکوب، ایستادگی خواهند کرد؟
https://blog.narimangharib.com/posts/2025%2F03%2F1740920973809?lang=en
@NarimanGharib
طی چند ماه گذشته، یک کمپین پیچیده فیشینگ تلگرام را زیر نظر داشتم که توسط سپاه پاسداران طراحی و اجرا شده است. این حملات به طور خاص فعالان حقوق بشر و روزنامهنگاران را هدف قرار میدهد و تلاش میکند تا به حسابهای تلگرام آنها نفوذ کند.
آنچه این کمپین را به شدت نگرانکننده میکند، پیچیدگی فنی آن است. برخلاف حملات فیشینگ معمولی، این عملیات به طور کامل فرآیند احراز هویت تلگرام را شبیهسازی میکند، به طوری که حتی کاربران آگاه به مسائل امنیتی هم به سختی میتوانند آن را تشخیص دهند.
حمله زمانی شروع میشود که قربانیان پیامی دریافت میکنند که به نظر میرسد یک هشدار امنیتی واقعی از تلگرام است. سپس کیت فیشینگ یک مجموعه دقیق از مراحل را اجرا میکند:
ابتدا، کاربران با صفحه ورودی مواجه میشوند که بر اساس آیپی آنها، کد کشور را به طور خودکار تشخیص داده و پر میکند - ترفندی هوشمندانه که به صفحه جعلی مشروعیت میبخشد. پس از وارد کردن شماره تلفن، بخش اصلی حمله شروع میشود:
مهاجمان از سیستم احراز هویت واقعی تلگرام استفاده میکنند و باعث میشوند قربانیان کدهای واقعی تلگرام را روی دستگاههای دیگر خود دریافت کنند.
اینجاست که خطر جدی میشود. از آنجایی که کد تأیید از خود تلگرام ارسال میشود، حتی کاربران محتاط هم ممکن است در این تله بیافتن. برای حسابهایی که تأیید دو مرحلهای دارند، مهاجمان ترفند زیرکانه دیگری را پیادهسازی کردهاند: آنها راهنمای واقعی رمز عبور از حساب قربانی را نمایش میدهند که صفحه ورود رمز جعلی آنها را تقریباً غیرقابل تشخیص از صفحه واقعی تلگرام میکند.
در مرحله آخر، فیشرها از روشهای پیشرفته مهندسی اجتماعی استفاده میکنند. آنها به کاربر نشان میدهند که یک نفر در حال دسترسی به حساب کاربریشان است و همزمان با نمایش یک تایمر ۳۰ ثانیهای، کاربر را مجبور میکنند تا سریعاً تصمیم بگیرد. آنها دو گزینه به کاربر میدهند: «بله، این من هستم» یا «نه، من نیستم». این ترفند باعث میشود کاربر در شرایط استرس و اضطرار تصمیم بگیرد و احتمال اینکه روی گزینه «بله» کلیک کند را افزایش میدهد.
ادامه مطلب را این صفحه بخوانید
@NarimanGharib
پس از آنکه تلگرام ۱۵ بار کانالهای جانبی گروه سایبری جمهوری اسلامی موسوم به -Banished Kitten- را که با نام -Handala- فعالیت میکردند، مسدود کرد، امروز در واکنش به حمله سایبری ادعایی این گروه علیه پلیس اسرائیل، تمامی کانالهای مرتبط با 'Handala' را به طور کامل از دسترس خارج کرد.
After Telegram blocked for the 15th time the subsidiary channels of the Islamic Republic’s cyber group known as “Banished Kitten,” which were operating under the name “Handala,” today—in response to the group’s alleged cyberattack on the Israeli police—it completely removed all channels related to Handala.
@NarimanGharib
گروه هکری طالبلیکس که مدتی است در توییتر(X) فعال بوده، اخیراً به سیستمهای چندین سازمان دولتی تحت کنترل طالبان نفوذ کرده است.
این نشت گسترده اطلاعات شامل اسناد داخلی از سازمانهای زیر است:
اداره غذا و دارو افغانستان، اداره تنظیم مخابرات افغانستان، معاونت اقتصادی نخستوزیری، وزارت مخابرات و تکنولوژی، وزارت انرژی و آب، وزارت صنعت و تجارت، وزارت اطلاعات و فرهنگ، وزارت معادن و پترولیم، وزارت عدلیه، وزارت مالیه، وزارت امور خارجه، وزارت صحت عامه، وزارت امور مهاجرین، شرکت ترمیم و نگهداری مکروریان، اداره ملی امتحانات، اداره ملی احصائیه و معلومات، اداره امور زندانها، دفتر امور استراتژیک، اداره تعلیمات تخنیکی و مسلکی، وزارت امر به معروف و نهی از منکر، ستره محکمه
@NarimanGharib
«بریم یک اکانت بسازیم تو توییتر. کاراکتر اکانت یک دختر خوشگل هست که باشگاه میره و مدل هستش، بعد بیاییم نریمان غریب رو تو توییتر فالو کنیم بعد یک مدتی بهش مسیج بدیم و تو تله اطلاعاتی بندازیم»
عه. 🤨نریمان غریب عکس سمت چپ که عکس اصلی و برای سال ۲۰۲۴ بوده و ما با ایآی صورت نازنین رو به فاطمه تغییر داده بودیم رو پیدا کرد.😤
😂😂😂😂
@NarimanGharib
آیا #سحابپرداز را به خاطر دارید؟ همان بازوی اصلی فیلترینگ جمهوری اسلامی. حالا گزارشها حاکی از آن است که محمدحسن انصاری، یکی از چهرههای کلیدی، در ژوئیه ۲۰۲۴ همراه با تعدادی از مقامات جمهوری اسلامی به روسیه سفر کرده بود.
در همین حال، گزارشهای جدید نشان میدهند که طی ماههای اخیر نقش محمدحسن انصاری به عنوان مسئول اصلی تقویت همکاریهای سایبری میان مسکو و تهران پررنگتر شده است.
https://x.com/NarimanGharib/status/1882356682283532352
گزارش:
https://x.com/visegrad24/status/1882159132658262220
@NarimanGharib
🔴 هشدار امنیتی مهم برای اکانتهای واتساپ - چون ممکن است جمهوری اسلامی هم از این تکنیک بزودی استفاده کند
طبق گزارش واحد امنیتی مایکروسافت، یک گروه سایبری در اواسط نوامبر ۲۰۲۴ عملیاتی را با استفاده از مهندسی اجتماعی آغاز کرده است. هدف این عملیات، نفوذ به حسابهای واتساپ کارمندان دولتی و افراد فعال در حوزه سیاستگذاری، بهویژه در زمینه روابط بینالملل و موضوعات مرتبط با روسیه، بوده است.
روش اجرای این حمله به این صورت بود که ابتدا ایمیلی برای قربانی ارسال میشد. این ایمیل شامل یک کد کیآرکد بود که به نظر میرسید برای ورود به یک گروه واتساپ طراحی شده است. با این حال، کد به طور عمدی به گونهای ساخته شده بود که کار نکند.
پس از اینکه قربانی متوجه ناکارآمدی کد میشد، هکرها ایمیل دیگری ارسال میکردند و با عذرخواهی از مشکل ایجاد شده، از قربانی میخواستند روی لینکی کلیک کند تا به گروه مذکور بپیوندد. این لینک قربانی را به صفحهای هدایت میکرد که در واقع یک صفحه فیشینگ با طراحی شبیه به واتساپ بود.
در این صفحه فیشینگ، یک کد کیآرکد دیگر به نمایش درمیآمد که برخلاف کد قبلی، معتبر و مربوط به واتساپ واقعی بود. هنگامی که قربانی این کد را اسکن میکرد، به طور ناخواسته دسترسی به واتساپ دسکتاپ خود را به مهاجم ارائه میداد!
هکرها سپس با استفاده از یک افزونه مخصوص مرورگر که برای این حملات طراحی شده بود، به طور کامل محتوای تمام چتهای قربانی را استخراج میکردند.
این تغییر در شیوههای عملیاتی گروه سایبری موردنظر، اولین تحول از این نوع محسوب میشود. مایکروسافت اعلام کرده است که این تغییر احتمالاً پاسخی به عملیات مشترک این شرکت و دولت آمریکا در اکتبر ۲۰۲۴ است. در جریان این عملیات، بیش از ۱۰۰ وبسایت مورد استفاده گروه Star Blizzard از دسترس خارج شد.
@NarimanGharib
Iran International TV tonight revealed the identities of nine operatives from Parsian Rayan Borna (پارسیان افزار رایان برنا) Software Company, a cover organization linked to the Ministry of Intelligence of the Islamic Republic. The company is involved in cyberattacks, including one on Albania, and manipulates public opinion using fake social media accounts. https://x.com/NarimanGharib/status/1878192810542657978
تلویزیون ایران اینترنشنال، امشب هویت ۹ نیروی عملیاتی شرکت پارسیان افزار رایان برنا، یک شرکت پوششی وابسته به وزارت اطلاعات جمهوری اسلامی را افشا کرد. این شرکت علاوه بر انجام حملات سایبری، از جمله حمله به آلبانی، با اکانتهای جعلی در شبکههای اجتماعی افکار عمومی را دستکاری میکند.
مشاهده گزارش:
https://youtu.be/mYuTtYMM-f0?t=169
@NarimanGharib
وزارت خزانهداری آمریکا سهشنبه ۱۱ دیماه دو نهاد جمهوری اسلامی و روسیه را برای تلاش «تحریک تنشهای سیاسی-اجتماعی و تأثیرگذاری بر رایدهندگان ایالات متحده در جریان انتخابات سال ۲۰۲۴ آمریکا» را تحریم کرد.
یکی از این نهادها، مرکز تولید انگاره های شناختی Cognitive Design Production Center (CDPC)، یکی از سازمانهای تابعه سپاه پاسداران است که دستکم از سال ۲۰۲۳، به نمایندگی از سپاه، عملیات نفوذ را برای برانگیختن تنشهای سیاسی-اجتماعی در میان رایدهندگان ایالات متحده برنامهریزی کرد.
یکی از کارکنان این شرکت «سعید نو دهقان» نام دارد. او مسئول تهیه سرور برای این نهاد است و قبلا در اینترنت افشا شده است، در کنار او این اسامی هم قبلا افشا شده است:
محسن نوری، مهدی خرامان، مصطفی عدالتخواه، مسعود مدیری راد، حسن شمس آبادی، حامد ونک، حسین خرازی
The US Treasury Department on Tuesday, December 31, 2024, sanctioned two entities from the Islamic Republic and Russia for attempting to "incite socio-political tensions and influence US voters during the 2024 US elections."
One of these entities, the Cognitive Design Production Center (CDPC), is an organization affiliated with the Islamic Revolutionary Guard Corps (IRGC) that has been planning influence operations on behalf of the IRGC since at least 2023 to provoke socio-political tensions among US voters.
One of this organization's employees is named "Saeed No Dehghan." He is responsible for providing servers for this entity and has previously been exposed on the internet. Alongside him, these names have also been previously exposed:
Mohsen Nouri, Mehdi Kharaman, Mostafa Edalatkhah, Masoud Modiri Rad, Hassan Shamsabadi, Hamed Vanak, Hossein Kharazi
@NarimanGharib
گزینه ریاست FBI ترامپ در میان آخرین اهداف هکرهای جمهوری اسلامی
به گزارش سیانان، کاش پاتل، گزینه پیشنهادی دونالد ترامپ برای ریاست پلیس فدرال آمریکا (FBI)، اخیراً از سوی این نهاد آگاه شده که هدف حمله سایبری از سوی جمهوری اسلامی قرار گرفته است. بر اساس این گزارش، هکرها موفق شدهاند به بخشی از ارتباطات او دسترسی یابند. علاوه بر پاتل، برخی دیگر از نزدیکان ترامپ نیز در ماههای اخیر با حملات مشابهی روبهرو شدهاند. به عنوان نمونه، تاد بلانچ، که گزینه معاونت دادستان کل محسوب میشود، هدف حملات هکرهای چینی قرار گرفته است.
این اتفاق تنها بخشی از مجموعه حملات سایبری گستردهای است که علیه تیم ترامپ انجام شده است. لیندزی هالیگان، یکی دیگر از وکلای ترامپ، نیز به طور جداگانه هدف حملهای سایبری از سوی جمهوری اسلامی قرار گرفته است. دونالد ترامپ جونیور نیز اعلام کرده که FBI به او هشدار داده که یکی از "اهداف اصلی" ایران محسوب میشود. پیشتر، در ماه ژوئن، هکرهای جمهوری اسلامی موفق شدند به حساب ایمیل راجر استون، یکی از متحدان قدیمی ترامپ، نفوذ کنند و تلاش کردند از طریق این حساب به ایمیل یکی از مقامات ارشد کمپین ترامپ دسترسی یابند.
اقدامات اخیر جمهوری اسلامی ممکن است پیامدهای جدیای برای آنها در زمان بازگشت ترامپ به کاخ سفید در ژانویه به همراه داشته باشد. با توجه به سابقه سیاستهای سختگیرانه ترامپ علیه جمهوری اسلامی و اظهارات تیم او که کَش پاتل در دولت اول ترامپ نقش کلیدی در مقابله با جمهوری اسلامی ایفا کرده است، احتمال میرود این حملات سایبری به اتخاذ سیاستهای سختگیرانهتر علیه جمهوری اسلامی منجر شود.
@NarimanGharib