ايران در خاموشي ديجيتال
دادههاي كلاودفلر در هفته سوم ديماه نشان ميدهد موج گسترده حملات سايبري نه از خارج، بلكه از درون زيرساخت ارتباطي ايران و بهويژه از شبكههاي موبايل كشور ايجاد شده است. تمركز بيش از سهچهارم ترافيك مخرب در دو اپراتور تلفن همراه به اين معناست كه ميليونها گوشي هوشمند شهروندان، ناخواسته به ابزار يك عمليات سايبري بينالمللي تبديل شدهاند.
دادههاي كلاودفلر در هفته سوم ديماه نشان ميدهد موج گسترده حملات سايبري نه از خارج، بلكه از درون زيرساخت ارتباطي ايران و بهويژه از شبكههاي موبايل كشور ايجاد شده است. تمركز بيش از سهچهارم ترافيك مخرب در دو اپراتور تلفن همراه به اين معناست كه ميليونها گوشي هوشمند شهروندان، ناخواسته به ابزار يك عمليات سايبري بينالمللي تبديل شدهاند. رخدادي كمسابقه كه مرز ميان «كاربر عادي» و «عامل حمله» را از بين ميبرد و اينترنت ايران را از يك فضاي تحت محدوديت، به منشأ فعال تهديد در مقياس جهاني بدل ميكند.
بر اساس پايش كلاودفلر سطح حملاتي كه از مبدا ايران نسبت به ساير نقاط انجام ميشود طي چهار هفته گذشته نسبتا پايدار بوده، اما در بازه يكشنبه تا چهارشنبه (۱۴ تا ۱۷ دي) بهطور ناگهاني بين دو تا سه برابر سطح معمول افزايش يافته است. آنطور كه پيوست اشاره ميكند، اين رويداد برخلاف روندهاي تدريجي و قابل پيشبيني در كشورهاي ديگر، حاكي از حساسيت فضاي سايبري ايران به رويدادهاي بيروني و نوسانات اجتماعي است. دادههاي كلاودفلر تصويري از اينترنتي با سرعت بسيار پايين ارائه ميدهد. سرعت دانلود نيمي از كاربران ايراني تنها ۵.۴ مگابيت بر ثانيه است و يكچهارم كاربران سرعتي برابر يا كمتر از ۳.۵ مگابيت بر ثانيه را تجربه ميكنند. هرچند ميانگين نتايج تست سرعت در بازه ۹۰روزه عدد بالاتري را نشان ميدهد، اما تجربه واقعي و روزمره كاربران، بيانگر اينترنتي كند و محدود است. اين ارقام فاصله معناداري با ميانگينهاي جهاني با پهنايباند ۳۰ تا ۵۰ مگابيت و تأخير كمتر از ۱۰۰ ميليثانيه دارند. حملات اين كارزار سايبري از مبدا ايران به مقاصد مختلف مانند امريكا، اندونزي، فرانسه و روسيه انجام ميشود. تحليل نوع حملات نشان ميدهد تمركز مهاجمان بر حملات پيچيدهتر در سطح برنامهها و تلاش براي دور زدن سازوكارهاي نظارتي است. البته ميتوان اينطور برداشت كرد كه ابزارهاي دورزدن فيلترينگ و پروكسيها ميتوانند باعث شناسايي حجم بالاتري از ناهنجاريهاي ترافيكي به عنوان تهديد شوند و حتي بخشي از ترافيك عادي كاربران با فيلترشكنها نيز در آمار حملات منعكس شدهاند. اما واقعيت اين است كه جهش ناگهاني و پايدار حملات از بخش بزرگي از شبكههاي موبايل كشور، نشانه فعالسازي يك باتنت است و نميتوان آن را حاصل تجميع تلاشهاي پراكنده شهروندان براي دسترسي آزاد به اينترنت دانست. در نتيجه اپليكيشنهاي عبور از فيلترينگ كه بارها در مورد آنها هشدار داده شده اكنون ميتوانند به عنوان بخشي از يك كمپين سايبري براي حمله به اهداف مشخص مورد استفاده قرار بگيرند بدون اينكه كاربران اطلاع داشته باشند. حملات لايه كاربرد (Application Layer Attacks) با تقليد رفتار كاربران واقعي، شناسايي و مهار را دشوارتر ميكنند و حجم و تداوم آنها نشاندهنده فعالسازي يك كارزار بزرگ با پشتيباني قابلتوجه است. اين رفتار زماني اثبات ميشود كه نوسانات ترافيك در دو اپراتور موبايل كشور از يك الگوي مشابه پيروي ميكند و احتمال تصادفي بودن اين حملات منتفي است.
بدافزارها قاتل اينترنت كاربران
كاربران قرباني شايد متوجه اجراي اين حملات از طريق گوشي موبايل خود نباشند و در روزهاي آينده تاثير آن را در حجم مصرفي و افزايش هزينه اينترنت تجربه خواهند كرد. از منظر منشأ و مقصد حملات، دادهها نشان ميدهد كه بخش عمده آنها از شبكه اپراتورهاي موبايل ايران سرچشمه ميگيرد و سهم شبكههاي ثابت بهمراتب كمتر است. وضعيتي كه با الگوي جهاني تفاوت چشمگير دارد. منشأ ترافيك اين حمله نشان ميدهد ابزارهاي آلوده به شبكه تلفن همراه متصل هستند. تمركز بر شبكههاي موبايل، ميتواند ناشي از نفوذ گسترده بدافزار در گوشيهاي هوشمند و ضعف بهروزرسانيهاي امنيتي باشد و در بعد رسانهاي، تصويري از ايران به عنوان همزمان «قرباني» و «منبع» تهديدهاي سايبري ارايه ميدهد. تصويري كه پيامدهاي امنيتي قابل توجهي در فضاي مجازي و دسترسي ايرانيان به سرويسهاي بينالمللي خواهد داشت.
كمپين حملات سايبري از روز يكشنبه چهاردهم دي شتاب گرفته است و در روز سهشنبه شانزدهم دي به اوج خود ميرسد. از منظر ماهيت حملات، تركيبي از روشهاي پيشرفته بهكار گرفته شده است: حدود ۶۳ درصد ترافيك توسط فايروالهاي برنامههاي وب مسدود شده كه نشاندهنده تلاش براي سوءاستفاده هوشمندانه از آسيبپذيريهاي نرمافزاري است و حدود ۳۶ درصد به حملات DDoS اختصاص داشته كه هدفشان از كار انداختن سرويسها است.
نعمتي به نام فيلترينگ براي مهاجمان
آمارهاي كلادفلر نشان ميدهد كه شمار بسيار زيادي از تلفنهاي همراه در ايران آلوده شده و بهنظر ميرسد به عنوان ابزار اجراي يك كارزار هجوم سايبري مورد استفاده قرار گرفتهاند. غلبه مطلق اين شبكههاي موبايل به عنوان منشأ يك حمله هماهنگ و چندروزه، ميتواند به اين معنا باشد كه دستگاههاي متصل به آنها در حال توليد ترافيك مخرب بودهاند. هر دستگاهي كه بهصورت هماهنگ در ارسال چنين ترافيكي مشاركت كند، عملا آلوده شده و بخشي از يك باتنت محسوب ميشود. اين شواهد نشاندهنده آلودگي گسترده گوشيهاي هوشمند در ايران است. وضعيتي كه در آن، موبايل كاربران به ابزاري در يك شبكه توزيعشده و قدرتمند براي عمليات سايبري تبديل شدهاند. حجم بالاي ترافيك حملات از شبكههاي موبايل نشان ميدهد كه بخش قابلتوجهي از كاربران تحت تأثير قرار گرفتهاند، موضوعي كه از يك ضعف امنيتي عميق و فراگير در زيستبوم موبايل ايران پرده برميدارد.
اندرويد، سلطان بازار موبايل ايران
دادههاي كلاودفلر نشان ميدهد كه در بازه دوهفته ابتداي ديماه، رفتار اكوسيستم دستگاههاي متصل در ايران كاملا يكنواخت است. اندرويد با سهم ۹۰ درصدي تقريبا تمام ترافيك موبايل را در اختيار دارد و سهم iOS به حدود ۱۰ درصد محدود شده است. الگويي كه با ميانگينهاي جهاني فاصله زيادي دارد. همين يكنواختي در مرورگرها نيز ديده ميشود. جايي كه كروم تقريبا انحصاري است و ساير مرورگرها سهم ناچيزي دارند. اين وضعيت عمدتا ناشي از محدوديتهاي اقتصادي و تحريمهاست و اين تمركز، ريسك آسيبپذيري گسترده در برابر نقصهاي فني مشترك را افزايش ميدهد. در شاخصهاي رمزنگاري و پروتكلها، شبكه اينترنت ايران همزمان نشانههايي از همسويي و عقبماندگي را نشان ميدهد. استفاده از HTTPS با نرخ ۹۷ درصد تقريبا همسطح استانداردهاي جهاني است و از امنيت پايه ارتباطات حكايت دارد، اما وابستگي بالا به IPv4 (بيش از ۸۲ درصد) در مقايسه با ديگر كشورها، از كهولت زيرساختها خبر ميدهد. در عين حال، توزيع نسخههاي HTTP و غلبه TLS 1.3 حركت تدريجي به سوي استانداردهاي جديدتر را بيان ميكند، هرچند اين پيشرفت نسبت به كشورهاي پيشرو همچنان محدود باقي مانده است.
كيفيت اينترنت، پايدار و همچنان ضعيف
علاوه بر سرعت پايين، تأخير بالا يكي ديگر از مشكلات جدي اينترنت ايران است. زمان رفتوبرگشت نيمي از كاربران كشور حدود ۱۳۸ ميليثانيه و زمان پاسخ DNS حدود ۱۵۳ ميليثانيه گزارش شده است. دادههاي تجميعي نشان ميدهد كه در زمان شلوغي شبكه، تأخير بهطور ميانگين تا حدود ۴۹۳ ميليثانيه افزايش مييابد. چنين تأخيري باعث ميشود تجربه كاربري در فعاليتهاي تعاملي مانند تماسهاي اينترنتي، بازيهاي آنلاين و ارتباطات بلادرنگ، كند و آزاردهنده شود و از ازدحام شديد و ناكارآمدي مديريت ترافيك حكايت دارد. سرعت متوسط نيمي از كاربران كشور حدود ۵.۵ مگابيت بر ثانيه يعني حدود ۷۰۰ كيلوبايت بر ثانيه است. نمودارهاي زماني كلادفلر همچنين از بيثباتي شديد حكايت ميكنند. جايي كه سرعت، تأخير و پاسخ DNS بهطور مداوم دچار نوسانهاي تند و غيرقابل پيشبيني ميشوند. اين وضعيت نشاندهنده زيرساختي شكننده و كمظرفيت است كه كيفيت خدمات در آن درگير نوسانات روزمره و ساعتي است. در بستر سياسي و ژئوپوليتيكي ايران، چنين ناپايداري تنها نشانه كمبود سرمايهگذاري نيست، بلكه ميتواند ابزاري براي اعمال «اختلال نرم» در ارتباطات بدون قطع كامل اينترنت باشد. زمان تاخير در اينترنت ايران حدود ۱۲۷ ميليثانيه است كه در ساعتهاي شلوغ به ۴۹۳ ميليثانيه ميرسد. Jitter نيز نشاندهنده نوسان قابلتوجه در توالي ارسال بستهها است. شبكههاي موبايل ايران كه محدود به دو اپراتور اصلي هستند به سنگر حملات لايه كاربردي تبديل شدهاند. از سوي ديگر ميتوان تحليل كرد سياست «كاهش كارايي بدون قطع كامل» به ابزار اصلي مديريت فضاي ديجيتال در روزهاي اخير تبديل شده است. در مجموع ميتوان گفت اينترنت ايران در هفته سوم ديماه تركيبي متناقض از امنيت ظاهري و عملكرد بيثبات است. از يكسو، اجراي گسترده استانداردهاي رمزنگاري و ثبات در لايههاي هستهاي شبكه بيانگر كنترلي متمركز و حسابشده است از سوي ديگر، افت كيفيت، نوسان مداوم و نقش پررنگ شبكههاي موبايل در حملات سايبري، از زيرساختي شكننده و عمدا تضعيفشده در سطح تجربه كاربر حكايت دارد. در سطحي فراتر از ايران، اين وضعيت پيامدهاي منطقهاي و جهاني دارد. استفاده از زيرساخت داخلي به عنوان سكوي حملات برونمرزي، احتمال تنشهاي سايبري را بالا ميبرد و همزمان، كاربران عادي را در معرض انزواي ديجيتال، ناامني ناخواسته و افت مزمن كيفيت ارتباط قرار ميدهد.
نت بلاكس خبر از افت دسترسي به اينترنت در تهران و چند استان ديگر ميدهد
دادههاي زنده اتصال شبكه نتبلاكس نشاندهنده افت همزمان اينترنت در تهران و چندين استان ديگر ايران است. اين نهاد پايش اينترنت اعلام كرده است كه كاهش اتصال در چند ارايهدهنده بهطور موازي رخ داده و نشانههايي از ورود كشور به يك «خاموشي ديجيتال» مشاهده ميشود. مطابق نمودار نتبلاكس ميزان اتصال شبكه در استانهايي از جمله تهران، كرمانشاه، همدان، بوشهر، فارس و آذربايجان شرقي با افت ناگهاني و همزمان مواجه شده است. NetBlocks تأكيد كرده كه اين رخداد ميتواند دسترسي عمومي به اينترنت را بهشدت محدود كند. كاهش ناگهاني ترافيك اينترنت ايران در دادههاي كلادفلربررسي نمودار «ترافيك HTTP در ايران» منتشرشده توسط Cloudflare Radar نشان ميدهد كه در روز پنجشنبه ۱۸ دي ۱۴۰۴، الگوي ترافيك اينترنت كشور تا ساعات مياني روز روندي نسبتا باثبات و رو به افزايش داشته، اما در ساعات پاياني بازه زماني ثبتشده، افتي شديد و ناگهاني را تجربه كرده است. بر اساس اين دادهها، ميزان درخواستهاي HTTP از نيمهشب تا حوالي ظهر بهتدريج افزايش يافته و در برخي مقاطع با نوسانهاي محدود همراه بوده است. با اين حال، از حدود ساعت 30: 19 كاهش چشمگيري در حجم ترافيك ثبت شده كه در ادامه به نزديك صفر ميرسد؛ وضعيتي كه معمولا با اختلال گسترده يا قطع ارتباط در سطح ملي همخواني دارد.
