دسترسی افراد محدود به اینترنت مخل امنیت است مردم ایران دوباره وارد قرنطینه دیجیتال شدند

به گزارش پیوست، در حالی که تصاویر حملات هوایی به شهرها در صدر اخبار قرار گرفته اما نبردی موازی در زیرساخت‌های دیجیتال ایران هم شکل گرفت. عملیات فیزیکی با حملات سایبری لایه‌بندی شدند. این حملات که با هدف‌ قرار‌دادن خبرگزاری‌ها آغاز شد بیش از اینکه به‌دنبال جنگ سایبری باشد، آگاهی موقعیتی مردم را کاهش داد تا فرآیند تصمیم‌گیری را مختل کند. این در حالی است که تداوم حملات به افراد و تاسیسات با وجود پویایی موقعیت‌ها این فرضیه را مطرح می‌کند که احتمالا مهاجمان دارای بسترهای ارتباطی مستقل از شبکه ملی و اینترنت ایران هستند.

جمعیت خاموش و نگران

بخش اعظمی از زیرساخت اینترنت ایران بیش از ۷۰ ساعت است که در وضعیت قطع کامل قرار دارد. اگرچه مقدار بسیار ناچیزی از ترافیک  همچنان در جریان است، اما پایش لحظه‌ای همین ترافیک باقی‌مانده نشان‌دهنده وقوع اختلالات ثانویه در فواصل زمانی مشخص است. هنوز معلوم نیست ایران چه زمانی دوباره آنلاین خواهد شد اما رویکرد قطع اینترنت احتمالا دو هدف عمده را دنبال می‌کند نخست، مسدود کردن جریان اطلاعات و روایت‌های غیررسمی و دوم ایجاد یک سپر سایبری برای محدود کردن توان شناسایی و اجرای حملات دیجیتال علیه زیرساخت‌های حیاتی کشور. بنابراین در خوشبینانه‌ترین حالت تا زمانی که جنگ ادامه دارد اینترنت هم در دسترس نخواهد بود.

کلاودفلر به عنوان عمومی‌ترین مرجع وضعیت شبکه ایران، نشان می‌دهد اینترنت کشور که بعد از ۲۲ بهمن با افت قابل توجه ترافیک به کمتر از ۵۰ درصد مواجه شده بود، در روز شنبه نهم اسفند حدود ساعت ۱۰:۳۰ تا ۱۱ صبح به‌طور ناگهانی قطع شده و به نزدیک صفر رسیده است.

یک کارشناس شبکه به‌نام Doug Madory در شبکه ایکس براساس داده‌های کنتیک اعلام کرده نمودار ارتباطات نشان‌دهنده سقوط ناگهانی و یکباره ترافیک در تمامی زیرسیستم‌های اصلی (AS Numbers) است. به عنوان مثال سه زیرسیستم کلیدی با حجم ترافیک بالا به‌طور همزمان دچار فروپاشی شده‌اند. (AS197207، AS44244 و AS58224) این سقوط نامتقارن نشان می‌دهد قطع شبکه در سطح دروازه‌های اصلی کشور انجام شده است.

بر اساس همین داده‌ها، اندکی بعد مجموعه‌ای از شبکه‌های دیگر از جمله AS62442، AS60423 و AS213069 به طور کامل تبادل ترافیک را متوقف کردند. به‌نظر می‌رسد بخشی از از ASها تا عصر همچنان تبادل داده داشته‌اند و در این زمان موج دیگری از قطع دسترسی رخ داد که طی آن زیرسیستم‌هایی نظیر AS205585 و AS34918 از دسترس خارج شدند.

نکته فنی قابل توجه در مورد AS34918 این است که این شبکه پیش‌تر دچار افت شده بود، اما خاموشی نهایی آن قبل از ساعت ۱۹ رخ داده است. این الگوی رفتاری کاملاً با مدل قطع دسترسی سراسری که در ژانویه ۲۰۲۶ مشاهده شده بود، مطابقت دارد.

حملات سایبری همزمان با عملیات‌های فیزیکی

مرور اخبار نشان می‌دهد همزمان با شنیده‌شدن اولین صداهای انفجار در تهران، حملات تهاجمی متقابلی از سوی ایران، اسرائیل و آمریکا در فضای سایبری آغاز شده است. خبرگزاری‌های رسمی از جمله ایرنا و ایسنا در اولین مرحله به طور کامل از دسترس خارج شدند و برخی رسانه‌های دیگر نیز به صورت محدود با حملات DDoS و نفوذ سیستمی غیرمتعارف مواجه بودند. در این مرحله مشخص نشد این حملات با پشتوانه دولتی انجام شده یا حاصل فعالیت هکتیویست‌ها است. هیچ گروهی هم مسئولیت حمله را برعهده نگرفت اما بهرحال این حملات با مواضع مهاجمان همسو بود.

در ساعت ۱۴:۳۰ به وقت شرق آمریکا اولین هشدار از سوی سازمان CISA (اداره حفاظت از زیرساخت‌های آمریکا) صادر شد. در این هشدار نوشته شده زیرساخت‌های حیاتی آمریکا، شامل حوزه‌های انرژی، مالی، دولت، نظامی، سیستم‌های کنترل صنعتی و تکنولوژیک (ICS/OT) به زودی مورد حمله قرار می‌گیرند. پس از این، اسرائیل نیز در اقدامی مشابه اعلام کردیک حمله بدافزاری (wiper) بخش‌های انرژی، مالی، دولتی و خدمات عمومی این رژیم را هدف گرفته است. سپس آمریکا دوباره سطح هشدار را افزایش داد و زیرساخت‌های حیاتی مانند آب، برق، سدها و چند مورد دیگر را هم به موارد قبلی اضافه کرد. مایکروسافت نیز اعلام کرد در شش ماه گذشته فعالیت‌های حمایت‌شده توسط دولت ایران ۳۰۰ درصد افزایش یافته است.

گروه هکری حنظله که یکی از فنی‌ترین گروه‌های هکری تهدید شدیدی علیه دولت‌های مهاجم و هم‌پیمانان آنها منتشر کرد. هنوز نتایج عملکرد این گروه منتشر نشده اما اعلام شد حنظله شرکت ملی نفت شارجه را هک کرد. کمی بعد با تهدید گروه مقاومت اسلامی سایبری، پمپ بنزین‌ها در اردن مشکل پیدا کردند و این کشور اعلام کرد تلاش‌هایی برای تخریب هدفمند داده‌ها انجام شده است.

بمباران هوایی صداوسیما باعث شد فرکانس شبکه‌ها تغییر کرد و شبکه‌های سیما در باندهای جدید دریافت شدند با این حال به نظر می‌رسد نفوذ یا اختلال در پخش ماهواره‌ای وجود داشته است. علاوه بر این برخی دیتاسنترها نیز دچار مشکلات فیزیکی جدی شدند.

پیامی برای مخاطبان خاص

گزارش‌های مربوط به پوش نوتیفیکیشن اپلیکیشن تقویم و اوقات شرعی بادصبا، عمق نفوذ این تقابل را نشان می‌دهد. ارسال اعلان‌های حاوی پیام‌های سیاسی به کاربران باد صبا که قشر مذهبی جامعه در آن حضور بیشتری دارد، نشان‌دهنده این واقعیت است که تمرکز حملات صرفا روی زیرساخت‌های ارتباطی نیست. هدف قراردادن اپلیکیشن باد صبا با بیش از ۵ میلیون کاربر فعال، تلاشی برای نفوذ به یک پایگاه اجتماعی است. این اقدام نشان می‌دهد که هدف عملیات روانی، دیگر طبقه متوسط شهری نیست، بلکه بدنه مذهبی و سنتی اکنون مخاطب پیام‌ها هستند.

پس از این مرحله یک حجم محدود ارسال پیامک نیز انجام شد که بسیار محدود بود و بیشتر از اینکه نتیجه خود عملیات نفوذ گسترده شود، اسکرین‌شات‌های آن منتقل شد.

چالش امنیتی چهار درصدی‌ها

آنچه مشخص نیست دلیل دسترسی ۴ درصد اتصال است که عمدتاً شامل نهادهای دولتی، نظامی و حاکمیتی می‌شود. به عنوان مثال یک نماینده مجلس در شبکه ایکس با ادعای اطلاع از شرایط، یک پست به فارسی منتشر می‌کند در حالی که میلیون‌ها مخاطب فارسی زبان به اینترنت دسترسی ندارند و زبان توئیت نیز شائبه پیام برای مخاطب خارجی را رد می‌کند. کارشناسان حوزه امنیت سایبری معتقدند وقتی ترافیک کل یک کشور به این سطح محدود می‌شود، شناسایی الگوهای رفتاری بازیگران حاکمیتی آسان‌تر می‌شود. در واقع، مسیرها به دلیل ترافیک اندک و نویز کم در شبکه، هویت خود را به‌سادگی فاش می‌کنند. به زبان ساده، در این وضعیت هرگونه اتصال از سوی هر نهادی به معنی تونلی برای خروج داده‌های یک بازیگر خاص است.

البته استمرار اختلالات در همین ۴ درصد باقیمانده نشان می‌دهد که حتی مسیرهای اختصاصی و ایزوله اقشار ویژه نیز در برابر حملات مصون نمانده‌اند. از دیدگاه تحلیل امنیت، وقوع این اختلالات متناوب در بازه‌های زمانی مختلف به تحلیلگران اجازه می‌دهد تا «اثر انگشت دیجیتال» مسیرهای کلیدی مورد استفاده بازیگران حاکمیتی را شناسایی کنند، چرا که در یک فضای سوت و کور، هرگونه نوسان ترافیکی به معنای شناسایی یک گره حیاتی است.

کشورهای همسایه

در حالی که ایران در خاموشی کامل به سر می‌برد، داده‌های رادار کلادفلر نشان‌دهنده الگوی متفاوتی در سایر کشورهای منطقه است که هدف حملات موشکی و رهگیری‌های هوایی قرار گرفته‌اند.

بر خلاف ایران، هیچ قطعی اینترنتی در کشورهای امارات، قطر، بحرین و کویت گزارش نشده است. در عین حال به دلیل پیگیری اخبار و وقایع توسط کاربران، ترافیک اینترنت در قطر ۴۱ درصد، ابوظبی ۳۰ درصد و دبی ۲۱ درصد نسبت به هفته گذشته افزایش یافته است.

سهم استارلینک چقدر است

گزارش‌های پراکنده‌ از برقراری ارتباطات محدود از طریق پایانه‌های ماهواره‌ای استارلینک منتشر شده است، اما پایداری و گستردگی این نوع اتصال در شرایط فعلی نامشخص است. آنچه از وضعیت شبکه‌های اجتماعی دیده می‌شود در شرایط قطعی کامل در مقایسه با خاموشی دی‌ماه افراد بیشتری از داخل کشور آنلاین شده‌اند. تعداد پست‌ها و کوت‌هایی که در شبکه اجتماعی ایکس توسط کاربران داخل ایران منتشر شده‌اند یا آمار سرانگشتی استوری‌های اینستاگرام به‌وضوح نسبت به قطعی دی‌ماه بیشتر است.

البته بدیهی است که تمام اعتبار این افزایش دسترسی را نمی‌توان به استارلینک داد زیرا در میان اقشار مرفه استفاده از سیم‌کارت‌های خارجی نیز رواج دارد. درصدی از این دسترسی‌ها نیز به ایرانیان خارج از کشور متعلق است با این حال می‌توان اعلام کرد حدود ۲۰ تا ۳۰ درصد از کاربران کانال‌ها و صفحات خبری همچنان توانسته‌اند در خاموشی مطلق شبکه رسمی کشور، ارتباط خود را حفظ کنند.

هر پست کانال خبری یورونیوز در تلگرام با حدود ۱۴۰ هزار کاربر به‌طور متوسط ۳۵ هزار بازدید دارد اما زمانی که اینترنت در ایران قطع می‌شود تعداد بازدیدکنندگان هر پست تنها ۲۰ هزار بازدید کاهش پیدا می‌کند و حدود ۴۰ درصد کاربران همچنان به کانال دسترسی دارند. در اسکرین‌شات آخر دیده می‌شود حدود ساعت ۱ بامداد یکی از پست‌‌های این کانال که در ساعت ۲۱ منتشر شده به حدود ۸ هزار بازدید رسیده است. در نتیجه نیمه‌عمر محتوا در این کانال حدود ۴ ساعت است.

در یک مثال دیگر می‌توان کانال صابرین در تلگرام را بررسی کرد. این کانال اگرچه حدود ۷۷۰ هزار مشترک دارد اما تعداد بازدیدکنندگان روزانه هر یک از پست‌های آن تقریبا با یورونیوز مشابه است. با توجه به رویکرد اصولگرایانه این کانال به نظر می‌رسد تعداد دنبال‌کنندگان صابرین به‌طور معنی‌داری در ایران بیشتر از خارج از کشور باشد. در این کانال هم بعد از قطع اینترنت تعداد بازدید هر پست از حدود ۳۸ هزار به ۱۰ هزار بازدید رسیده است ولی باتوجه به پوشش وسیع اخبار جنگ، سرعت بازدید محتوا در این کانال بیشتر است و نیمه‌عمر محتوای آن به حدود یک ساعت می‌رسد. از این سرعت هم می‌توان این‌طور پیش‌بینی کرد که کاربران بیشتری از داخل ایران این کانال را دنبال می‌کنند.

داده‌های کانال بیسیمچی‌مدیا که با صابرین همسو است نیز روند مشابهی دارد.

برای کشف دقیق‌تر الگوی بازدید کانال‌های تسنیم‌نیوز و فارس‌نیوز نیز مورد بررسی قرار گرفتند. نسبت کاربر به بازدید در این دو کانال غیرعادی است به این معنی که هر دو با حدود ۲ میلیون کاربر هر پست در حالت عادی حدود ۲۰ تا ۲۵ هزار بازدید دارد. علاوه بر این پس از قطع اینترنت در ایران میزان بازدید تسنیم‌نیوز (همانطور که در تصویر پیدا است) تغییر نداشت.

کانال‌های دیگر هم مورد بررسی قرار گرفتند به‌عنوان مثال انتخاب که یک اصلاح‌طلب معتدل است با حدود ۲۰۰ هزار کاربر و بازدید روزانه حدود ۴۰ هزار برای هر پست، بعد از قطع اینترنت به ۱۵ هزار بازدید رسید. عصر ایران نیز که با انتخاب همسو است از ۱۲ هزار بازدید به ۳ هزار بازدید رسید. در میان اقتصادی‌ها هم اقتصاد آنلاین با متوسط ۱۳ هزار بازدید بعد از قطع اینترنت توانست ۴ هزار بازدید خود را حفظ کند.

قرنطینه مهندسی‌شده

گزارش‌های دریافتی از رصدخانه اینترنتی IODA نشان‌دهنده تغییرات معنادار در سیگنال‌های پایش شبکه است. در ساعات اولیه اختلال، افزایش شدیدی در نرخ کاوش مشاهده شد. این متدولوژی با پینگ دستگاه‌های موجود در شبکه‌های ایران و تحلیل پاسخ‌های دریافتی، وضعیت اتصال هر شبکه را برچسب‌گذاری می‌کند. نبود پاسخ از سوی دستگاه‌ها، تاییدکننده قطع فیزیکی یا منطقی دسترسی در سطح زیرساخت‌های داخلی است.

بر خلاف سایر شاخص‌ها، لایه BGP افت کمتری را نشان می‌دهد. این بدان معناست که اگرچه مسیرهای شبکه همچنان در سطح جهانی اعلام می‌شوند، اما انتقال داده (Traffic Flow) در لایه کاربر کاملاً مسدود شده است.

نرخ از دست رفتن پاسخ بلافاصله پس از شروع اختلال به ۱۰۰ درصد رسیده است. این یعنی تقریباً هیچ سیگنالی که برای پایش پایداری به دستگاه‌های داخل ایران ارسال شده، پاسخی دریافت نکرده است. در معدود پاسخ‌های دریافتی پیش از قطع کامل، میزان تاخیر نوسانات شدیدی را نشان می‌داد که از ۲۰۰ میلی‌ثانیه فراتر رفته بود.

تحلیل داده‌های DNS و پروتکل‌ها

پس از شروع خاموشی در نهم اسفند، توزیع انواع کوئری‌های DNS به شدت تغییر کرده است. به طوری که رکوردها از وضعیت A (آدرس‌های IPv4) به سمت TXT و سایر رکوردها متمایل شده‌اند که نشان‌دهنده تلاش‌های ناموفق برای مسیریابی و بن‌بست در لایه اپلیکیشن است.با وجود سقوط ترافیک، ۹۹ درصد از اندک کوئری‌های DNS باقی‌مانده بر بستر پروتکل UDP انجام شده است، در حالی که استفاده از پروتکل‌های امن نظیر HTTPS و TLS به شدت کاهش یافته است.

افزایش نسبت رکوردهای TXT به بالای ۲۰ درصد قابل توجه است، زیرا این رکوردها برای وظایف خاصی مانند جستجوی احراز هویت SPF، بررسی DKIM، تأیید مالکیت دامنه و در زمینه اختلالات اتصال به‌کارگیری توسط برخی ابزارهای VPN و دور زدن محدودیت‌ها برای کشف سرویس و پیکربندی استفاده می‌شوند.