کرم‌های خزنده مصوبه ۴۲ | واحد شناسایی گردان سایه‌ها

• کرم‌های خزنده مصوبه ۴۲ | واحد شناسایی گردان سایه‌ها
  توسعه گرد اوری و تنظیم : توانا محمدی

مقدمه

در سال‌های اخیر، راهبردهای فنی جمهوری اسلامی ایران در حوزهٔ نظارت و مدیریت فضای سایبری با شتاب فزاینده‌ای به‌سوی معماری‌های پیشرفته و چندلایهٔ هوشمند حرکت کرده است. تحولاتی که از فاز سنتی فیلترینگ عبور کرده و به سطوحی از شناسایی تطبیقی، تحلیل داده‌محور، و مدیریت رفتاری در سطح شبکه ارتقاء یافته‌اند. بر مبنای تحلیل‌های ساخت‌یافته سامانهٔ مستقل «پنبه‌نت»، ساختاری موسوم به «کرم‌های خزنده مصوبه ۴۲» به‌عنوان یکی از آخرین ابتکارات عملیاتی در حوزهٔ فایروال ملی ایران شناسایی شده است؛ ساختاری که از حیث عملکرد، با الگوبرداری از رفتار سیستم‌های خودکار تشخیص نفوذ و بهره‌گیری از شبکه‌های عصبی توزیع‌شده، گامی به‌سوی پیاده‌سازی سانسور سازگار با هوش مصنوعی محسوب می‌شود.

ساختار مفهومی کرم‌های مصوبه ۴۲

اصطلاح «کرم‌های خزنده» در این زمینه به سیستم‌های هوشمند توزیع‌شده‌ای اطلاق می‌شود که در لایه‌های متکثر ارتباطی کشور مستقر شده و برخلاف سامانه‌های خطی و مبتنی بر نقاط دروازه‌ای مانند DPIهای کلاسیک، در عمق شبکه و زیرساخت بومی تلفیق شده‌اند. این ساختار، متکی بر معماری عصبی غیرمتمرکز است که بر پایهٔ الگوریتم‌های یادگیری ماشینی و نظارت رفتاری فعال، مسیرهای دورزنندهٔ سیستم سانسور را شناسایی می‌کند. از جمله مشخصات بارز این سامانه می‌توان به موارد زیر اشاره کرد:

• استقرار نامحسوس: در مسیرهای حیاتی ارتباطات داخلی و بین‌المللی، با قابلیت نفوذ در گره‌های میان‌راهی شبکه و اختفای لاگ‌ها در لایه‌های مبهم لاگ‌گذاری

• تحلیل انطباقی مبتنی بر یادگیری عمیق: استفاده از شبکه‌های عصبی کانولوشنی و بازگشتی برای تحلیل الگوهای ترافیک رمزنگاری‌شده، رفتار handshake، زمان‌بندی انتقال و نوسانات پینگ

• سازوکار خودسازگار: قابلیت به‌روزرسانی خودکار در پاسخ به تغییرات در پروتکل‌های عبور از فیلترینگ مانند VLESS Reality، Hysteria2، Shadowsocks-2022، و Obfs4 همراه با تشخیص تاکتیک‌های ماسکینگ مانند CDN tunneling

• ارتباط با شبکه فرمان و کنترل مرکزی (C2): سامانهٔ C2 چندلایه متصل به هاب‌های ناحیه‌ای مستقر در مراکز استانی و در تعامل مستقیم با نهادهای کلیدی همچون NIXI و مراکز مدیریت بحران

هدف‌گذاری عملیاتی

این سیستم‌ها در راستای اجرای فازهای پیشینی عملیات انهدام ارتباطات غیرمجاز توسط واحدی موسوم به «گردان سایه‌ها» فعالیت می‌کنند. مأموریت کرم‌ها نه‌تنها جمع‌آوری داده بلکه شبیه‌سازی، طبقه‌بندی و دست‌کاری ترافیک مشکوک پیش از مداخله نهایی است. مراحل کلیدی عملکرد آن‌ها به‌شرح زیر است:

1. تشخیص رفتارهای غیرنرمال: رصد جریان‌های داده‌ای دارای الگوهای انتقال و رمزنگاری منحصر به فرد و تحلیل شباهت‌های آن با ترافیک بومی

2. طبقه‌بندی ریسک‌محور: تخصیص نمره تهدید بر مبنای رفتار رمزنگاری، دامنهٔ تکرار اتصال، زمان فعال‌سازی و کانال پروتکل

3. دست‌کاری تطبیقی: اجرای حملات تزریقی شامل افزون‌سازی تأخیر، تحریف handshake، fragmenting بسته‌های داده و تقلید خطای شبکه برای تحریک واکنش کلاینت

4. فعال‌سازی عملیات انهدام (Trigger): صدور فرمان قطع مسیر، مسیریابی مجدد به Sinkhole یا حذف ارتباط از طریق زیرساخت Kill Switch

جایگاه گردان سایه‌ها

«گردان سایه‌ها» به‌عنوان یگان اجرایی نهایی، ساختاری نیمه‌محرمانه در قالب پدافند سایبری و پاسخ سریع به تهدیدات اطلاعاتی محسوب می‌شود. این واحد، با دسترسی مستقیم به مسیرهای تبادل دادهٔ بین‌المللی و داخلی، از ظرفیت‌های زیر بهره می‌برد:

• Kill Switch سراسری مبتنی بر سیستم کنترل مرکزی

• پروتکل‌های اختلال در BGP، شامل Hijacking، Poisoning و Null Routing

• انسداد ساختاری در سطوح DNS، SNI و ALPN

• تعامل هم‌زمان با شرکت‌های اینترنتی و اپراتورهای تلفن همراه
  بررسی شواهد تاریخی نشان می‌دهد تاکتیک‌های مذکور در چندین مرحله از جمله رویدادهای آبان ۱۳۹۸، شهریور ۱۴۰۱ و بحران‌های امنیتی سال‌های اخیر به‌طور مؤثر اعمال شده‌اند.

تحلیل مقاومتی در برابر سامانه

در مواجهه با چنین سیستم پیچیده‌ای، توسعه‌دهندگان فناوری‌های ضد سانسور ملزم به اتخاذ راهکارهایی هستند که فراتر از تغییر سادهٔ پروتکل‌ها بوده و به طراحی معماری‌های پویای رمزنگاری، تغییرات رفتاری پویا، و الگوریتم‌های مخفی‌سازی منجر شود. راهبردهای پیشنهادی شامل:

• بهره‌گیری از پروتکل‌های نامنظم با زمان‌بندی پویا و کانال‌های تطبیق‌پذیر برای انتقال داده

• ادغام لایه‌های رمزنگاری موازی، تصادفی‌سازی داده و Routing مبتنی بر الگوریتم‌های گرافی پویا

• به‌کارگیری مولدهای نویز مصنوعی و الگوهای ترافیک بومی‌نما برای استتار ترافیک اصلی

• استفاده از بسترهای ارتباطی مانند DoH، DoQ، و QUIC با Masking مبتنی بر ترافیک CDNهای داخلی

نتیجه‌گیری

مصوبه ۴۲ نماد عبور سانسور اینترنتی از مرحلهٔ ایستا به فاز تحرک‌پذیر و هوشمند است. تلفیق سامانه‌های یادگیرنده، تحلیل رفتاری، و الگوریتم‌های مداخله‌ای، نه‌تنها چالش‌های تازه‌ای برای ارتباط آزاد فراهم می‌کند، بلکه ماهیت جنگ سایبری در حوزه ارتباطات مدنی را دگرگون می‌سازد. تداوم تحقیق در مورد سازوکارهای مشابه و توسعه پروتکل‌های مقاوم، از اولویت‌های حیاتی برای نهادهای فناورانه، حقوق بشری و جامعهٔ فنی است.

⚠️ با توجه به شواهد میدانی، در زمان مطالعه این گزارش، امکان فعالیت فعال یکی از کرم‌های خزنده در مسیر داده‌ای شما وجود دارد. بهره‌گیری از تکنیک‌های پراکندگی رفتاری و رمزنگاری چندبُعدی به‌شدت توصیه می‌شود.