#APT_IR 1
#Railways_Organization
#Evin_Prison
در ماه های اخیر حملات سایبری به ایران شدت یافته و تحرکات اعتراضی در بستر حملات سایبری خود را نمایان میکند، در تاریخ جمعه 18 تیر 1400 یک حمله سایبری به سیستم راه آهن ایران تمام سرویس ها را مختل کرده است، این حمله به حمله دیگری که به زندان اوین انجام شده مرتبط است که میتواند مورد توجه قرار گیرد، دلیل این ارتباط انگیزه هر دو حمله است که با انگیزه های یکسان رخداده است و این میتواند در حمله دوم که به زندان اوین انجام شده است کمک کند تا زنجیره حمله کشف شود، چرا که در حمله به زندان اوین هیچگونه IoCs یا شاخصه های حمله عمومه نشده است.
تشریح حمله به راه آهن
معمولا اولین گام زنجیره حمله بحث Initial Access یا ایجاد دسترسی خواهد بود که در خصوص هر دو حمله شاخصه یا بهرهبرداری از آسیب پذیری ای گزارش نشده است، البته شرکت amnpardaz که متولی محصول Padvish است گزارشی منتشر کرده است که میتواند مورد ارزیابی قرار گیرد ،اما در خصوص مرحله اول حمله یعنی بحث ایجاد دسترسی سناریو های دیگری را متوان متصور بود مثلا حمله بر مبنای یک دستگاه Replication Through Removable Media پایه ریزی شده باشد، ما برای اینکه ابعاد دقیق تری از این موضوع را کشف کنیم اقدام به پایش سامانه های نمایان شده در اینترنت راه آهن کردیم که نتیجه تصویر زیر شده است.
همونطور که در تصویر بالا مشاهده میکنید پشت دامنه www.rai.ir چندین IP متصل قرار داره که جزئیات برخی از آنها هم دیده میشود، اما نکته ای که اینجا بسیار مهم میتونه باشه این است که اولا با بررسی هایی که ما کردیم امکان آسیب پذیر بودن سرویس های فعال بر بستر IP ها وجود دارد و برخی از این سرویس ها میتوانند بدلیل بروز نبودن به نسخه آخر خود، متوجه حملات و بهرهبرداری بشوند، برای مثال اگربه تصویر زیر دقت بفرماید خواهید دید که یکی از IP ها با شماره 212.16.75.136 دارای درگاه 443 که مختص سرویس https است بوده که با مشاهده این IP ما با یک سامانه ورود به پنل کاربری خواهیم شد.
سناریو های احتمالی در خصوص ایجاد دسترسی
خب همونطور که در تصویر بالا مشاهده میکنید یک پنل کاربری بر مبنای معماری IIS فعال هستش که میتواند طیف بسیاری از آسیب پذیری های تحت وب را دارا باشد، که البته ما بدلیل نداشتن مجوز از تست نفوذ آسیب پذیری های احتمالی صرف نظر کردیم ولی همونطور که بیان شد سامانه بدلیل شخصی ساز بودن میتواند آسیب پذیری های متعددی را دارا باشد که از دید همگان پنهان مانده است، اگر به شرکت سازنده CMS وبسایت rai.ir دقت بفرماید یک شرکت خصوصی است که CMS های خود را بهصورت Close Source طراحی میکند، که ما در ادامه یک ارزیابی ظاهری از منظر امنیتی خواهیم داشت،
شرکت سازنده که با نام DorsaPortal این محصول را طراحی کرده است، یک آرایش نا منظم در تعاریف پارامتر های صفحات و Endpoint های BackEnd دارد که میتواند بسیار آسیب پذیر خیز باشد، مورد دوم بحث نوع محتوای (Content-Type) تولید Request ها از طیف های مختلفی بوده است که این موضوع هم میتواند آسیب پذیر خیز بودن سامانه را تقویت کند، اما از طراح CMS و وبسرویس ها و سرویس های فعال بر روی آدرس ها و درگاه های مختلف که بگذریم که میتوانسته اند نظریه های متخلفی در خصوص نوع ایجاد دسترسی که اولین پلن یک زنجره حمله سایبری است، میرسیم به مراحل بعدی حمله راه آهن و تطبیق آن با سناریو حمله به زندان اوین است.
همونطور که در تصویر بالا تشبیه شده، اولین قدم اجرا فایلی با نام setup.bat
بهصورت زمانبندی شده به وسیله Group Policy بوده است، این زمابندی بواسطه Misconfiguration در سرور Domain و ساخت Task انجام شده است، در تصویر زیر دستور اجرایی را مشاهده میکنید که یک نکته جالب دارد،
ببنید Tag در تصویر یعنی Exec
یک Tag مختص به آرایش معماری IIS است و با توجه به نکات قبلی ای که در خصوص CMS بر روی rai.ir است میتوان اینطور نتیجه گرفت که مرحله Initial Access بر مبنای خود CMS اتفاق افتاده است و شاید برای زیر سؤال نرفتن شرکت متولی طراح این CMS، در نقشه Attack Chain و گزارش Padvish بیان نشده است، این کار زمانی مفید است که یک کار MSBuild خاص برای کاری که می خواهید انجام دهد در دسترس نیست. یعنی مستقیما میتوان با استفاده از MSBuild دستور میتواند اجرا شود در خصوص نحوه سو استفاده از MSBuild میتوانید به لینک زیر ارجاع نماید، اما در خصوص هدف دستوری که اجرا شده این است که فایل Task با نام AnalyzeAll را از مسیر زیر حذف میکند.
در خط سوم متغییری با نام lastTaskName
تعریف شده که آدرس Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeAll
را مقدار دهی کرده است که در خط 10 اقدام به حذف بواسطه تعریف یک Task خواهد شد، اما در خط 12 یک تصدیق وجود فایلی با نام enNew.tmp
در آدرس C:\Programdata\Microsoft\env
را انجام میدهد و در صورت وجود پوشه ای با نام env
حذف خواهد شد، اما مورد بعدی اینه که در خط 28 فایل env.cab
را از دامنه railways.ir دریافت و به آدرس C:\Programdata\Microsoft\env
کپی میکند و در خط بعدی یعنی 29 یک تبدیل فرمت از cab به exe داده میشود که در خط 31 بواسطه فایل update.bat
با رمز hackemall
فایل env.exe
اجرا میشود، نکته: فایل update.bat
و Rar.exe
یا programs.rar
قبلا به آدرس C:\Programdata\Microsoft\env
از فایل env.cab استخراج داده شده است، اما نکته آخر آنکه فایل update.bat
بعد از اجرا شدن استخراج فایل هایی را از فایل programs.rar
با رمز hackemall
انجام میدهد، در اثر این استخراج فایل هایی با نام های cache.bat
، bcd.rar
و ms.rar
اتفاق می افتد که در ادامه به این فایل ها هم خواهیم پرداخت.
در قسمتی دیگر از فایل update.bat
میبینیم که عملیات استخراج سه فایل ذکر شده بواسطه فایل Rar.exe
انجام شده و اولین تماس در خط 5 با فایل cache.bat
برقرار میشود که دارای دو ورودی هم میباشد،
در خط 5 اگر دقت بفرماید بواسطه استفاده از Get-WmiObject و تشخیص و انتخاب کارت شبکه فعال، آنرا غیرفعال کرده و از کار می اندازد، اما در ادامه یک چک در خصوص وجود ضد بدافزار Kaspersky انجام داده و در صورت تصدیق وجود این ضد بدافزار script را exit خواهد نمود،
همونطور که مشاهده میشه در قطعه کد بالا، فایل cache.bat
در روند اجرای خود اقدام به قرار دادن لیست فایل ها و Directory های مورد استفاده مهاجم در Exclusion Foder ضد بدافزار خود سیستم عامل یعنی Windows Denfeder کرده است، این اقدام قبل از مراحل Impact یا تخریب است و به نوعی آماده سازی سیستم عامل برای ناتوانی در مقابل مرحله بعدی است.
اما بعد از اجرا شدن فایل cache.bat
فایل bcd.rar
بازگشایی میشود که شامل فایل bcd.bat
و sync.exe
میباشد، در مرحله بعد فایل cache.bat فایل bcd.bat
به اجرا در می آورد، همونطور که در کد بالا مشاهده میشه مهاجم یک فایل boot.ini
ساخته و جایگزین فایل boot.ini
اصلی سیستم عامل میکند و به همین منظور سیستم عامل در خصوص Bootloader به مشکل خواهد خورد و دفع بعد از راهاندازی بالا نخواهد آمد، در قدم بعدی بواسطه فایل sync.exe فایل cache.bat
اقدام به بازنویسی مقادیر حافظه Cache در هارد دیسک خواهد شد، اما بعد از این تخریب ها مهاجم به دنبال پلن بعدی خود یعنی پاک سازی Event Logs ها رفته که کد اجرایی این موضوع رو هم در قسمت پایین میبینیم،
در دستورها بالا همونطور که میبینید از COM Object با نام wevtutil استفاده شده که مختص مدیریت Log بوده است و در دستورها بالا با سوئیچ cl
اقدام به حذف Event Log ها در Security
و System
و Application
خواهد کرد، در مرحله آخر اقدام به اجرای فایلی با نام sync.exe
میبینیم که به عمکرد این فایل هم خواهیم پرداخت.
فایل update.bat
در جریان اتمام اجرای bcd.bat
، فایلی با نام ms.rar
را بازگشایی میکند که در اثر این Extract شش عدد فایل با نام های mscap.bmp
– mscap.jpg
– msconf.conf
– msmachine.reg
– mssetup.exe
– msuser.reg
را خواهد داشت و نهایتا فایل update.bat
یک تماس با msrun.bat
خواهد گرفت تا جریان اجرا به فایل msrun.bat
انتقال بیابد.
اما بعد از اجرای msrun.bat
تمامی شش فایلی که استخراج شده اند به پوشه "C:\temp"
انتقال یافته و یک schtasks
برای اجرای فایل msapp.exe
ساخته میشود که فایل msconf.conf
بهصورت رمزنگاری شده به عنوان ورودی به فایل msapp.exe داده میشود، متأسفانه بسیاری از فایل های مورد استفاده بازیابی نشده اند و Source از آنها بدست نیامده است. اجرای فایل msapp.exe
سبب قفل شدن سیستم و تغییر رمز عبور آن خواهد شد، محتوای فایل msconf.conf
را در تصویر زیر مشاهده میکنید. در انتها اگر به تصویر بالا دقت کنید در مرحله آخر فایلی به نام mstask
اجرا میشود.
این فایل رمز سیستم را به مقداری تصادفی تغییر داده و سپس در صورتی که نسخه ویندوز قبل از ویستا باشد، فایل boot.ini
را تخریب میکند. در صورتی که ویندوز سیستم بعد از ویستا باشد، مقادیر bcdedit
را تخریب میکند که در نتیجه سیستم هنگام Boot توانایی Load کردن سیستم عامل را از دست میدهد.
اما در تصویر بالا که بخش دیگری از کدهای فایل update.bat
است، یک تماس انجام میشود با فایل mssetup.exe
برای قفل کردن Screen Server و Wipe کردن حافظه سخت که تخریب کامل انجام شود تا بعد از Restart کردن دیگر سیستم عامل بالا نخواهد آمد.
همچنین، با مسیرهایی که به صورت هاردکد برای خود در فایل conf
مشخص کرده است، اقدام به Wipe هارد سیستم میکند. این فایل پس از اجرای عملیات فوق، Session جاری را میبندد و کاربر را Logout میکند تا مجبور به وارد کردن رمز عبور شود. با توجه به اینکه رمز عبور توسط بدافزار تغییر پیدا کرده، کاربر نخواهد توانست مجدداً وارد سیستم شود. حتی با وارد کردن رمز صحیح، هر زمان که کاربر سیستم را Restart کند، با خطای بوت مواجه خواهد شد.
شرح عملیات فایل mssetup.exe
این فایل صرفاً وظیفه قفل کردن صفحه نمایش و از کار انداختن ابزارهای ورودی را بر عهده دارد. به این ترتیب که:
• امکان ارسال دستورها به سیستم از طریق ماوس و کیبورد را غیرفعال میکند.
• پنجرهای مشکی رنگ که در میان آن تصویر مورد نظر بدافزار قرار دارد و تمام صفحه نمایش را در بر میگیرد، نمایش میدهد.
اجرای فایل nti.exe
در مواردی دیده شده که فایل update.bat
فایل mssetup.exe nti.exe
را اجرا میکند که اجرای این فایل سبب آلوده شدن MBR و 17 سکتور بعد از آن میشود. همچنین، در سکتور 34ام، مقدار MBR اصلی را با عدد هفت XOR کرده و مینویسد، نهایتا برای تخریب دیسک نیز با رمزکردن MFT، امکان بوت کردن سیستم را از بین میبرد.
log_encryption_key processes_to_kill process_termination_timeout log_server_port locker_background_image_jpg_path auto_logon_path locker_background_image_bmp_path state_encryption_key log_server_ip log_file_path paths_to_wipe wiping_stage_logger_interval locker_installer_path locker_exe_path locker_registry_settings_files locker_password_hash users_password cleanup_scheduled_task_name self_scheduled_task_name cleanup_script_path is_alive_loop_interval
فایل mssetup.exe
را بهصورت Binary مقادیر Cleartext آنرا استخراج کردیم و موارد بالا بیرون آمد، مقادیر بدست آمده مجموعه ای از مسیرهای پیکربندی رمزگذاری شده است و این مسیرها را رمزنگاری میکند. همچنین مطمئن می شود که کپی های سایه را حذف می کند و همچنین سیستم عامل را از دامنه حذف می کند تا از روش های کشف درون شبکه ای جلوگیری کند. دیگر امکانات را میتواند از جمله موارد زیر اشاره نمود:
- تغییر رمزهای عبور برای همه کاربران
- محافظ صفحه نمایش غیر فعال
- خاتمه فرایند بر اساس فهرستی از فرایندهای هدف
- نصب یک کمد صفحه نمایش
- غیرفعال کردن حالت بازیابی
- تغییر بوت سیاست دست زدن به خطا
- ایجاد وظایف برنامه ریزی شده
- ورود به سیستم کردن جلسات محلی
- تغییر تصاویر صفحه قفل برای نسخه های مختلف ویندوز (XP ، 7، 10)
- ایجاد فرایندها و اجرای دستورها
در کد مهندسی معکوس شده بالا دو روش برای حذف سیستم عامل قربانی از عضویت در Domain پیادهسازی شده که اولی با استفاده از توابع خود سیستم عامل یعنی WinAPI تلاش میکند و اگر شکست خورد از COM Object سیستم عامل یعنی WMIC به همین منظور استفاده میکند.
شاخصه های حمله (IoCs)
شاخصه های حمله و امضاء Yara برای شکار APT-IR-1
تشریح حمله به زندان اوین
اولین نکته راجعبه حمله سایبری به زندان اوین این است انگیزه های سیاسی پشت پرده آن کاملا همخوانی با حملات گذشته مخصوصا حمله راه آهن دارد، و این بدین معنی است که این دو حمله را میتوان به هم مرتبط دانست، در خصوص حمله به زندان اوین هیچگونه TTP انتشار داده نشده و IoCs های حمله نا معلوم است، برای تشریح نحوه عمکرد حمله ، میتوان به گذاره های حمله راه آهن هم تا حدودی اشاره داشت.
روش های ایجاد دسترسی
در خصوص مرحله Initial Access یا ایجاد دسترسی نظریه پردازی های بسیاری شده است، اما نسبت به پتانسیل های قربانی معمولا چند پلن تکنیکی بیشتر را نمیتوان متصور بود، اولین نکته این است که شبکه زندان اوین یک شبکه Intranet بوده است، بدین معنی که شبکه ارتباطی به سیستم های زندان بر بستر Internet نبوده و بهصورت انحصاری شبکه طراحی شده است بهطوری که صرفا لبه شبکه با نظارت و دیواره آتش کنترل شده و دسترسی ها کاملا تحت کنترل خواهند بود، پس به همین منظور از سناریو های حمله بهصورت مستقیم بر مبنای کشف بلاک IP های شبکه زندان صورت نگرفته است.
سناریو اول
بهصورت کلی دو سناریو بر مبنای استانداردهای MITRE ATT&CK میتوان متصور بود که اولین سناریو آلوده سازی سیستم ها بواسطه یک عامل داخلی و نفوذی که مستقیما بدافزار را بر روی یکی از سیستم ها اجرا و فعال کرده است، این سناریو قبلا هم در خصوص حملات رخداده به کشور ایران استفاده شده است و در حمله ویروس Stuxnet ما شاهد استفاده از همین سناریو در خصوص شبکه های صنعتی که یک معماری کاملا مشابه به معماری شبکه زندان اوین را دارد بوده ایم، اما نکته ای در خصوص تفاوت حمله ویروس Stuxnet با حمله به زندان اوین وجود دارد، آن هم اینکه در سناریو حمله ویروس Stuxnet قرار بر Leak شدن اطلاعات نبوده و هدف صرفا Impact و تخریب بر مبنای PLC ها بوده است، به همین منظور نیازی به ارتباط به Command & Control نبوده است، اما در خصوص حمله به زندان اوین به این صورت نبوده و یکی از اهداف حمله Leakage کردن اطلاعات دوربین ها بوده است که خب این مسئله نیازمند ارتباط با C&C خواهد بود، البته ناگفته نماند که همین Leakage اطلاعات میتواند بواسطه نیروی انسانی هم باشد که خب فعلا تمامی این توضیحات در حد نظریه است.
اما سناریو دوم
در کنفرانس BlackHat 2018 از دانشگاه Ben-Gurion کشور جعلی اسرائیل ارائه ای داده شد مبتنی بر انواع حملات به شبکه Air-Gap که یک نوع از شبکه غیر وابسطه به اینترنت جهانی است که مبتنی بر ارتباطات کاملا درون شبکه ای بوده و بهصورت جدا پیادهسازی میشود، تفاوت آن با معماری شبکه Intranet این است که در ابعاد وسیع تر کاملا خصوصی طراحی میشود، بسیاری از مراجع صنعتی مانند نیروگاه های انرژی، تاسیسات صنعتی، شبکه های نظامی و غیره بر مبنای این نوع معماری از شبکه کار میکنند، از این روی کشور جعلی اسرائیل بشدت بر روی حملات مبتنی بر شبکه Air-Gap کار کرده و سعی بر استفاده از روش هایی دارد که بر مبنای معماری شبکه رایج مانند Internet نباشد و از روش های دیگری ارتباط با قربانی را فراهم سازد، به همین منظور هفت نوع از حملات مبتنی بر Physical Media، Acoustic، Electromagnetic، Magnetic، Electric، Optical، Thermal در ارائه BlackHat 2018 تشریح کرده است،
در خصوص نحوه عملکرد تمامی تکنیک ها مجال صحبت نیست و در مقاله دیگری بهصورت کامل تری خواهیم پرداخت به این موضوع، اما یکی از روش ها یعنی Physical Media را تشریح کرده و وارد جزئیات آن میشویم چرا که میتواند در خصوص سناریو حمله به زندان اوین و دزدیدن اطلاعات محرز تر باشد، در روش Physical Media همانطور که تشریح شده میتوان بواسطه دستگاه های رادیو پایه ارتباطی را با یک کامپیوتر بر قرار نمود که بعضا بدون نیاز به هیچگونه ارتباطه مبتنی بر شبکه ای رایج، قدرت انتقال و دریافت داده را از آن کامپیوتر داشته باشید، در تصویر بالا مشاهده میکنید که برخی از حملات پیشرفته رخداده (APTs) از نمونه ی این روش استفاده کرده و عملیات خود را با موفقیت به پایان رسانیدند.
آشنایی با دستگاه USBee
یکی از سختافزار هایی که بهصورت عموم بفروش میرسد USBee نام دارد، این دستگاه با همان روش منطق ارتباط رادیویی کار کرده و هیچگونه عملیاتی را بر روی سیستم عامل انجام نخواهد داد، اما این روش ها معایبی هم دارا هستند از جمله آنکه محدودیت مسافتی در خصوص این نوع از ارتباط رادیویی وجود داشته و یک بازه مسافتی را پوشش میدهند که البته این موضوع متغیر است.
بازه رادیویی فرکانس ارسال داده ها بین 240 تا 480 مگاهرتز است و در حال حاضر ، با نوشتن توالی های ‘0’ و ‘1’ ، مهاجمان می توانند موجی حامل را از تغییرات سریع ولتاژ ایجاد کرده و سپس از کلید زنی تغییر فرکانس باینری (B-FSK) برای رمزگذاری داده های مفید استفاده کنند. نکته آخر: از آنجا که هدف این حمله سرقت داده های باینری است ، مهاجمان قادر به سرقت فایل های بزرگ نیستند ، اما می توانند کلیدها ، گذرواژه ها و سایر قطعات کوچک اطلاعات حساس ذخیره شده در رایانه مورد نظر را در دست بگیرند.
نمونه ای از حمله بر مبنای USBee
مرحله جا به جایی در شبکه
تاکتیک Lateral Movement یکی از تاکتیک های چهاردهگانه حملات مداوم پیشرفته یا APT است که تیم مهاجم با استفاده از تکنیک های این تاکتیک اقدام به جا به جایی درون شبکه ای کرده و به نوعی دسترسی خود را به سیستم عامل های دیگر درون شبکه افزایش میدهد، این امر به قصد دسترسی داشتن به تمامی سیستم های داخل یک شبکه انجام میشود.
همانطور که در تصویر بالا مشاهده میکنید روش های جا به جایی در نُه تکنیک کلی تعریف میشوند که از بهرهبرداری از آسیب پذیری های مبتنی بر پروتکل میتوان نام برد تا تکنیک های مبتنی بر Hijack کردن Token ها، Hash ها که معروفترین روش هایش تکنیک Pass the Hash و Pass the Ticket و Application Access Token میباشد.
اما از شواهد و قرائن موجود در تصاویر دوربین های زندان اوین، ما شاهد یک Crash در برخی سیستم عامل ها هستیم که نشان دهنده بهرهبرداری یک آسیب پذیری Binary Base هستش که میتوان نتیجه گرفت که روش شناسی مورد استفاده در امر Lateral Movement میتواند بر پایه بهرهبرداری از آسیب پذیری های بر روی پروتکل ها باشد،
نکته دومی که میتواند این نظریه را تقویت کند این است که در Deface سیستم عامل ها یکی از آنها که سیستم عامل ویندوز 10 میباشد تحت تاثیر قرار نگرفته و این نشان دهنده این است که مهاجم موفق به Lateral کردن در آن سیستم عامل نشده است، که این بدین معنی است که آسیب پذیری مبتنی بر پروتکل بر روی ویندوز 7 بسیار شایه است.
یکی از آسیب پذیری های معروف پروتکل SMB که در خصوص بسیاری از سیستم عامل های ویندوز 7 وجود دارد، EternalBlue نام دارد که در جریان حمله سایبری ای که به سازمان NSA آمریکا صورت گرفت این کدهای بهرهبرداری یا Exploit ها بدست تیم Shadow Brokers عمومی شد.
این آسیب پذیری میتواند برای مهاجم بهصورت مستقیم ایجاد دسترسی از سیستم مورد نظر کند و تنها نیاز به یک شناسه IP از آن سیستم دارد. حال مبتنی بر نکاتی که ذکر شد و شواهدی که وجود دارد احتمال آنکه سیستم های درون شبکه ای زندان اوین دارای این آسیب پذیری بوده و مهاجم بواسطه آن توانسته است تکنیک Lateral Movement را عملیاتی کند بسیار تقویت میشود.
مرحله Impact یا تخریب
نکته دیگری که در این حمله مورد توجه است، این است که مهاجمان در انتهای عملیات خود اقدام به تخریب و Deface سیستم عامل ها کرده اند تا اهداف سیاسی خود را مطالبه کنند، این مورد دقیقا با حمله اول یعی تخریب سیستم عامل های راه آهن مشترک کرد و اگر ما فرض را بر آن بگیریم که مهاجمان هر دو حمله یک تیم بوده اند میتواند گفت تمامی روش های مورد استفاده در حمله راه آهن در بحث تخریب میتواند در مورد حمله به زندان اوین هم صادق باشد، از این روی با توجه به آنکه هیجگونه IoCs در خصوص رخداد حمله به زندان اوین عمومه نشده است نمیتوان نظر قطعی داد اما از لحاظ تئوری میتوان این سناریو ها را متصور بود.
خلاصه
دو حمله مورد بررسی بدلیل شباهت های اهداف سیاسی، در یک قاب تجزیه و تحلیل شده است و بدلیل نداشتن اطلاعات محبوب جرم شناسان، حمله دوم را مبتنی بر روش شناسی حمله اول تشریح کردیم و سعی کردیم تمامی سناریو های احتمالی را بیان کرده و از دیدمان مخفی نماند.
پر واضح است که این قبیل حملات با اهداف سیاسی از طرف گروه های مخالف جمهوری اسلامی ایران طراحی شده است و بدلیل استاندارد نبودن آرایش امنیت دفاعی هر دو سازمان مهاجمان توانسته اند بهصورت موفقیت آمیز حمله خود را عملیاتی نمایند، اگر علاقمند هستید تا در خصوص استانداردهای بالا برنده امنیت سایبری اطلاعات و راه کار هایی کسب کنید میتواند به قسمت راهکار ها سری بزنید.