افزایش فعالیت‌های شناسایی سایبری در ایران نگرانی‌ها را درباره آغاز فاز پیش‌حمله و آماده‌سازی مهاجمان برای نفوذهای هدفمند افزایش داده است.

بررسی تازه الگوهای ترافیک امنیتی در شبکه‌های کشور نشان می‌دهد مهاجمان سایبری در حال تغییر رویکرد خود هستند. برخلاف هفته‌های گذشته که بخش عمده تهدیدها در قالب حملات اختلالی و DDoS مشاهده می‌شد، اکنون نشانه‌هایی از ورود مهاجمان به مرحله شناسایی و جمع‌آوری اطلاعات دیده می‌شود؛ مرحله‌ای که معمولاً پیش‌درآمد حملات پیچیده‌تر و هدفمندتر به شمار می‌رود.

تحلیل داده‌های امنیتی ۲۴ ساعت اخیر نشان می‌دهد حجم قابل توجهی از فعالیت‌های مشکوک ثبت‌شده در شبکه‌های ایران به عملیات شناسایی زیرساخت‌ها (Reconnaissance) و کشف دارایی‌های متصل به اینترنت (Asset Discovery) اختصاص داشته است. کارشناسان امنیت سایبری این مرحله را نخستین گام در آماده‌سازی یک عملیات نفوذ سازمان‌یافته می‌دانند.

بر اساس این گزارش، طی شبانه‌روز گذشته تعداد زیادی اسکن خودکار روی سرویس‌های در معرض اینترنت شناسایی شده است. تمرکز این اسکن‌ها عمدتاً روی سرویس‌هایی بوده که به‌عنوان نقاط ورود رایج به شبکه‌های سازمانی شناخته می‌شوند؛ از جمله سامانه‌های VPN، سرویس SSH و پروتکل دسترسی از راه دور RDP.

هدف از این نوع فعالیت‌ها معمولاً شناسایی نسخه نرم‌افزارها، کشف سرویس‌های آسیب‌پذیر، یافتن تنظیمات امنیتی ضعیف و بررسی سامانه‌هایی است که به‌روزرسانی‌های امنیتی لازم را دریافت نکرده‌اند.

آنچه این روند را از اسکن‌های عادی اینترنتی متمایز می‌کند، ماهیت هدفمند و متمرکز آن است. بررسی‌ها نشان می‌دهد بخشی از این فعالیت‌ها به‌صورت تکرارشونده روی برخی زیرساخت‌های حساس از جمله درگاه‌های سازمانی و سرویس‌های مرتبط با بخش بانکی انجام شده است؛ الگویی که با مرحله جمع‌آوری اطلاعات پیش از نفوذ (Pre-Exploitation Intelligence Gathering) همخوانی دارد.

در حملات پیشرفته سایبری، مهاجمان معمولاً پیش از هرگونه اقدام عملی، نقشه دقیقی از سطح حمله یا Attack Surface هدف ترسیم می‌کنند. پس از شناسایی نقاط ضعف احتمالی، مرحله نفوذ اولیه آغاز می‌شود که می‌تواند از طریق آسیب‌پذیری‌های شناخته‌شده، رمزهای عبور ضعیف یا پیکربندی‌های نادرست انجام شود. این فرآیند ممکن است از چند ساعت تا چند هفته ادامه پیدا کند.

کارشناسان معتقدند تفاوت مهم وضعیت فعلی با حملات DDoS در این است که فعالیت‌های کنونی اثر فوری و قابل مشاهده‌ای ندارند. هدف اصلی این اقدامات ایجاد اختلال در سرویس‌ها نیست، بلکه جمع‌آوری اطلاعات و آماده‌سازی برای دسترسی‌های پایدارتر و عملیات‌های دقیق‌تر در آینده است.

ایران در فاز پیش‌حمله سایبری قرار دارد؟

جمع‌بندی تحلیل‌های امنیتی نشان می‌دهد شرایط فعلی بیش از آنکه به یک حمله فعال شباهت داشته باشد، با مرحله «پیش‌حمله» یا Pre-Attack Phase مطابقت دارد؛ مرحله‌ای که مهاجمان در آن اهداف ارزشمندتر را انتخاب و کم‌ریسک‌ترین مسیرهای نفوذ را شناسایی می‌کنند.

در چنین شرایطی، متخصصان امنیت اطلاعات توصیه می‌کنند سازمان‌ها توجه ویژه‌ای به اقدامات پیشگیرانه داشته باشند. از مهم‌ترین این اقدامات می‌توان به تقویت امنیت سامانه‌های VPN و دسترسی‌های راه دور، حذف یا محدودسازی سرویس‌های غیرضروری در معرض اینترنت، پایش مستمر لاگ‌های غیرعادی و شناسایی الگوهای تکرارشونده اسکن اشاره کرد.

کارشناسان هشدار می‌دهند موفقیت یا شکست بسیاری از حملات سایبری در همین مرحله تعیین می‌شود و میزان آمادگی تیم‌های دفاعی می‌تواند نقش تعیین‌کننده‌ای در کاهش خسارات احتمالی آینده داشته باشد.