محققان امنیت سایبری از شناسایی یک کمپین پیچیده جاسوسی خبر دادهاند که شرکتهای فعال در حوزه هوانوردی و اپراتورهای پهپاد را هدف قرار داده است. محور اصلی این عملیات سرقت دادههای GIS از سازمانهایی است که با اطلاعات جغرافیایی، نقشهبرداری و سامانههای پروازی کار میکنند. بررسیها نشان میدهد مهاجمان با استفاده از کمپینهای فیشینگ، تبلیغات مخرب، وبسایتهای جعلی، فایلهای آلوده و پروژههای نرمافزاری ساختگی، امکان سرقت دادههای GIS و سایر دادههای جغرافیایی حساس را از سیستمهای هدف فراهم میکنند.
عملیات سرقت دادههای GIS توسط گروه HeartlessSoul
بر اساس گزارش منتشرشده توسط کسپرسکی، گروهی که با نام HeartlessSoul ردیابی میشود، یک کمپین چندمرحلهای را علیه شرکتهای هوافضا و اپراتورهای پهپاد اجرا کرده است. در این عملیات، مهاجمان با ثبت دامنههای جعلی و طراحی وبسایتهایی مشابه سرویسهای قانونی صنعت هوانوردی، کاربران را به دانلود نرمافزارهای آلوده ترغیب میکنند.
در یکی از نمونهها، مهاجمان حتی یک پروژه جعلی در پلتفرم SourceForge ایجاد کردند تا فرایند آلودگی را کاملاً مشروع و قابل اعتماد جلوه دهند. این پروژه در نهایت منجر به دانلود یک آرشیو مخرب میشد. به گفته کسپرسکی، هدف نهایی این گروه جمعآوری دادههای جغرافیایی، اطلاعات مکانی، دادههای GPS و اطلاعات مرتبط با سامانههای ناوبری از سیستمهای آلوده است؛ سیستمهایی که در مقطع فعلی عمدتاً به نهادهای دولتی و شرکتهای روسی تعلق داشتهاند. به گزارش کسپرسکی، این گروه فراتر از یک گروه هکتیویستی یا مجرمانه عمل میکند و به الگوهای حملات پیشرفته هدفمند (APT) شباهت دارد.
محققان امنیتی اعلام کردهاند این گروه از ترکیبی از تکنیکهای پیشرفته استفاده میکند، از جمله:
- اجرای کد بهصورت بدون فایل (Fileless Execution)
- استفاده از اسکریپتهای PowerShell
- تروجان دسترسی از راه دور (RAT) مبتنی بر JavaScript
- فایلهای مخرب LNK
- سوءاستفاده از آسیبپذیری Windows Shortcut (ZDI‑CAN‑25373)
افزایش اهمیت سرقت دادههای GIS در جنگهای سایبری
در سالهای اخیر، همزمان با تشدید درگیریهای منطقهای و افزایش اختلال در سامانههای ناوبری ماهوارهای جهانی (GNSS)، دادههای جغرافیایی به یکی از داراییهای راهبردی در عملیاتهای اطلاعاتی و نظامی تبدیل شدهاند. این حملات نشان میدهد سرقت دادههای GIS میتواند به مهاجمان امکان دسترسی به اطلاعات بسیار حساسی درباره زیرساختها، مسیرها و محیط عملیاتی سازمانها را بدهد.
این دادهها ممکن است شامل مختصات دقیق، مسیرهای پروازی، مدلهای سهبعدی زمین، تصاویر نقشهبرداری، فایلهای توپوگرافی و اطلاعات زیرساختی باشند؛ اطلاعاتی که میتوانند برای شناسایی داراییهای دشمن، تحلیل جابهجایی تجهیزات، اختلال در لجستیک و برنامهریزی عملیاتی مورد استفاده قرار گیرند.
به گفته Will Baxter، مدیر محصولات در شرکت Team Cymru، ارزش واقعی این نوع سرقت فقط به خود نقشهها محدود نمیشود. مهاجم با دسترسی به تحلیلهای جغرافیایی قربانی، در عمل درک میکند تحلیلگران آن سازمان چه برداشتی از زمین، زیرساختها و مسیرها دارند و از این طریق میتواند شکافهای آگاهی و ضعفهای عملیاتی آنها را مدلسازی کند.
فایلها و دادههای مورد هدف مهاجمان
طبق تحلیل کسپرسکی، پس از نفوذ به ایستگاههای کاری و پایگاههای داده مرتبط با سامانههای GIS، مهاجمان مجموعهای از فایلهای تخصصی را استخراج میکنند.
مهمترین فایلهای مورد هدف در این حملات عبارتند از:
- فایلهای داده GPS و GNSS
- فایلهای Shapefile در سامانههای GIS
- فایلهای Digital Relief Model (DRM)
- فایلهای مدل دیجیتال ارتفاع و مدلهای زمین (Terrain/Elevation Models)
- اسناد مهندسی و تحلیلهای جغرافیایی
این اطلاعات میتوانند جزئیات دقیقی از جادهها، شبکههای مهندسی، زمینشناسی و حتی موقعیت زیرساختهای استراتژیک را آشکار کنند.
ردپای فعالیت مهاجمان در زیرساخت فرماندهی و کنترل (C2)
محققان کسپرسکی اعلام کردهاند فعالیت گروه HeartlessSoul از طریق زیرساخت فرماندهی و کنترل (C2) دستکم از فوریه 2026 تحت نظارت قرار گرفته است. با این حال، بررسیهای این شرکت نشان میدهد نخستین فعالیتهای شناختهشده این گروه احتمالاً به سپتامبر 2025 بازمیگردد. این فاصله زمانی نشان میدهد کمپین مذکور احتمالاً مدتها پیش از شناسایی عمومی در حال فعالیت بوده است.
به گفته کسپرسکی، در مقطع فعلی بسیاری از سیستمهای آلوده شناساییشده به نهادهای دولتی و شرکتهای روسی تعلق دارند.
انتساب و تحلیل گروههای تهدید
تاکنون هیچ شرکت امنیتی غربی بهطور رسمی این حملات را به عوامل دولتی نسبت نداده است. با این حال دو شرکت امنیت سایبری روسی یعنی Positive Technologies و BI.ZONE نیز فعالیت این گروه را رصد کردهاند.
شرکت BI.ZONE این گروه را با نام Versatile Werewolf معرفی کرده است. همچنین این شرکت اعلام کرده است که دو گروه دیگر، یعنی Paper Werewolf و Eagle Werewolf نیز انجمنها و کانالهای آنلاین مرتبط با پهپاد را هدف قرار دادهاند. این گروهها بهویژه کانالهای تلگرامی و کاربران روسی را که به دنبال دور زدن محدودیتهای Starlink هستند، مورد هدف قرار میدهند.
با وجود شباهت در نامگذاری و برخی تکنیکها، BI.ZONE معتقد است این گروهها احتمالاً بهصورت مستقل از یکدیگر فعالیت میکنند. در عین حال، گروه Paper Werewolf که با نام GOFFEE نیز شناخته میشود، ظاهراً با گروههای حامی اوکراین مرتبط است؛ هرچند تاکنون هیچ انتساب عمومی و قطعی درباره این حملات منتشر نشده است.
راهکارهای دفاعی برای مقابله با سرقت دادههای GIS
کارشناسان امنیت سایبری معتقدند سازمانهایی که با دادههای جغرافیایی، سامانههای پهپادی یا نرمافزارهای برنامهریزی پرواز کار میکنند باید تدابیر امنیتی خود را تقویت کنند؛ زیرا سرقت دادههای GIS میتواند پیامدهای عملیاتی و اطلاعاتی جدی برای آنها داشته باشد. مهمترین اقدامات دفاعی شامل موارد زیر است:
- پیادهسازی کنترلهای امنیتی مبتنی بر Zero Trust برای سامانههای حیاتی
- اعمال کنترل دسترسی مبتنی بر هویت
- مانیتورینگ ترافیک خروجی شبکه
- تفکیک شبکههای مهندسی از شبکههای عمومی کسبوکار
- محدودسازی اجرای PowerShell در سیستمهای حساس
- نظارت بر فایلهای LNK مشکوک
- انجام Threat Hunting برای شناسایی شاخصهای نفوذ (IOC)
کارشناسان تأکید میکنند اجرای کامل Zero Trust ممکن است برای همه سیستمها عملی نباشد، اما محافظت از ایستگاههای کاری حیاتی که با دادههای جغرافیایی کار میکنند باید در اولویت قرار گیرد.
دادههای جغرافیایی؛ هدف روبهرشد حملات سایبری
تحولات اخیر نشان میدهد سرقت دادههای GIS بهتدریج به یکی از اهداف کلیدی عملیاتهای جاسوسی سایبری تبدیل شده است. با گسترش استفاده از پهپادها، سامانههای ناوبری، نقشهبرداری دیجیتال و تحلیلهای مکانی در حوزههای نظامی، زیرساختی و صنعتی، این دادهها ارزش استراتژیک بیشتری پیدا کردهاند.
در چنین شرایطی، سازمانهایی که در حوزههای هوافضا، لجستیک، نقشهبرداری و زیرساخت فعالیت میکنند باید این تهدید را بهعنوان یک ریسک جدی در راهبرد امنیت سایبری خود در نظر بگیرند.
