مرکز ماهر اعلام کرد علت هک سایت زرین پال؛ آسیبپذیری روترهای میکروتیک! گروه فناوری اطلاعات مرکز ماهر نسبت به آلودگی مسیریابهای شبکه در کشور هشدار داد و اعلام کرد: براساس مشاهدات حسگرهای این مرکز، در روزهای گذشته حجم حملات ثبت شده به تجهیزات «روتر» با افزایش همراه بوده است. مرکز مدیریت امداد و هماهنگی عملیات […]
مرکز ماهر اعلام کرد
علت هک سایت زرین پال؛ آسیبپذیری روترهای میکروتیک!
گروه فناوری اطلاعات
مرکز ماهر نسبت به آلودگی مسیریابهای شبکه در کشور هشدار داد و اعلام کرد: براساس مشاهدات حسگرهای این مرکز، در روزهای گذشته حجم حملات ثبت شده به تجهیزات «روتر» با افزایش همراه بوده است.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر)، اواخر هفته گذشته با انتشار اطلاعیهای نسبت به آلودگی تعداد زیادی از مسیریابهای شبکه (روتر) در کشور، مربوط به تجهیزات میکروتیک، هشدار داد.
در این اطلاعیه آمده بود که «متأسفانه به رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه در خصوص آسیبپذیری گسترده روترهای میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات، هنوز نسبت به بهروزرسانی و رفع آسیبپذیری این تجهیزات اقدام نکردهاند.»
در این راستا مرکز ماهر مربوط به معاونت امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران، بار دیگر با انتشار اطلاعیهای تأکیدکرد: پیرو اطلاعیه قبلی در خصوص افزایش آلودگی روترهای میکروتیک در کشور، رصد انجام شده از افزایش چشمگیر حملات روی پورت ۲۳ (telnet) حکایت دارد؛ منشأ این حملات عمدتاً روترهای میکروتیک آلوده است.
افزایش حملات ثبت شده به روترهای شبکه در کشور
این مرکز با اعلام جزییات گزارش افزایش حملات ثبت شده به پورت ۲۳ در شبکه ارتباطی کشور، اعلام کرد: براساس بررسیهای انجام شده، منشأ این حملات عمدتاً تجهیزات اینترنت اشیا (IOT) آلوده نظیر مودمهای خانگی و به ویژه روترهای میکروتیک بوده و هدف آن نیز شناسایی و آلودهسازی تجهیزات مشابه است.
افزایش حملات صورت گرفته روی دستگاههای اینترنت اشیا در حالی رو به افزایش است که سطح پایین امنیت در بسیاری از این ابزارها، آنها را به هدف سادهای برای حمله تبدیل کرده است؛ بهطوریکه بسیاری از قربانیان حتی متوجه آلوده شدن سیستم خود نمیشوند. هدف بسیاری از مهاجمان آلوده کردن یک سیستم IoT و اضافه کردن آن سیستم به شبکه «بات» است. بیشتر این باتنتها برای ایجاد حمله DoS توزیع شده، طراحی شداند.
راهکار پیشگیری و مقابله
از این رو مهمترین راهکار پیشگیری و مقابله با این تهدید، به روزرسانی سفتافزارها (firmware) تجهیزات و مسدودسازی دسترسی به پورتهای کنترلی از جمله پورت ۲۳ و ۲۲ است.
در این زمینه مرکز ماهر تأکید کرده است که در صورت عدم به روزرسانی دستگاهای IoT در هنگام نیاز، احتمال آلوده شدن دستگاه افزایش پیدا میکند. انتشار این بدافزارها معمولاً از طریق اسکن آدرسهای ip و یافتن پورتهای Telnet و SSH باز صورت میگیرد و پس از آن با استفاده از حمله Brute Force و یا استفاده از آسیبپذیریهای شناخته شده، امکان ورود به سیستم محقق میشود.
چگونگی آلودگی دستگاههای IOT
دستگاههای IOT از پردازندهها و معماریهای سختافزاری مختلفی بهره میگیرند، به همین منظور توسعهدهندگان بدافزار برای اطمینان از اینکه برنامه آنها تعداد بالایی از این دستگاها را آلوده کند، فایل خود را برای معماریهای مختلف آماده میکنند.
در حملات مربوط به تجهیزات IoT، معمولاً ابتدا نوع پلتفرم دستگاه بررسی شده و پس از آن فایل اجرایی مربوطه در سیستم نصب میشود. پس از اجرای فایل باینری مخصوص دستگاه، اتصالی به یک سرور C&C برقرار شده و «بات» منتظر دستوری از باتمستر راه دور میکند. در این حملات بیشترین معماریهای مورد هدف در ابزارهایی مانند روترها، مودمها، دستگاههای NAS، سیستمهای CCTV، سیستمهای ICS و بسیاری ابزارهایIoT دیگر بهکار میروند.
بدافزار تولید شده با پوشش هرچه بیشتر معماریهای مختلف که عمده آن از خانواده Mirai هستند، طیف گستردهای از ابزارهای IoT را هدف میگیرد.
جزییات هک درگاه پرداخت اینترنتی «زرین پال»
در این زمینه آخر هفته قبل نیز درگاه پرداخت اینترنتی زرین پال مورد هجوم هکرها قرار گرفت و گفته شد که اطلاعات کاربران این وبسایت مورد سرقت قرار گرفته است.
در این راستا مرکز ماهر با انتشار اطلاعیهای با بیان اینکه حمله به این سایت از نوع دیفیس (تغییر چهره سایت) بوده است، اعلام کرد: رخداد دیفیس سامانه درگاه پرداخت اینترنتی زرین پال به نام دامنه zarinpal.ir و آدرس IP 91.239.55.245 توسط اپراتور سامانه مراقبت از رخداد هک و دیفیس مرکز ماهر در ساعت ۲۰: ۱۵ روز جمعه مشاهده شد و این موضوع در همان زمان با تماس با مسؤولان این شرکت اطلاع داده شد.
مرکز ماهر در این اطلاعیه به موارد زیر اشاره کرده است:
*براساس بررسیهای صورت گرفته تا این لحظه و نیز ادعای قاطع مسؤولان شرکت زرین پال، نفوذ تنها در سطح روتر میکروتیک این شرکت صورت گرفته و مهاجم پس از در اختیار گرفتن کنترل روتر، بازدیدکنندگان وب سایت را به صفحه دیگری متعلق به خود مهاجم هدایت کرده و پیغام Deface را منتشر کرده است.
*محل فیزیکی استقرار تجهیزات از جمله این روتر، دیتاسنتر آسیاتک در تهران بوده است. در این مورد مسؤولیت نگهداری تجهیز با خود شرکت زرینپال بوده و مسؤولیتی متوجه آسیاتک نبوده است.
* پیگیری مرکز ماهر برای صحتسنجی قطعی ادعای شرکت، با توجه به اعمال reset factory تجهیز جهت بازیابی رمز عبور توسط مسؤولان آن، امکانپذیر نبوده است. شرکت آسیاتک نیز به دلیل عدم ذخیرهسازی netflow شبکه، در این خصوص نتوانسته کمکی ارایه کند. با این حال لاگهای دیگر در حال تهیه است که ممکن است شواهد بیشتری ارایه کند. در خصوص این آسیبپذیری میکروتیک طی چند ماه گذشته ۳ بار توسط مرکز ماهر از طریق سایت، شبکه تعاملی و پیامک اطلاعرسانی شده است.
*در این خصوص پیشتر آدرس روترهای میکروتیک آسیبپذیر در کشور شناسایی شد و به تفکیک استانی در اختیار مراکز ICT استانی قرار گرفت. آدرس روتر این شرکت نیز به نام سامان سیستمپرداز کیش در میان روترهای آسیبپذیر بوده و با توجه به آدرس ثبت شده آن (در سایت Ripe.net) در جزیره کیش، اواسط هفته گذشته به مسؤولان آن استان اطلاعرسانی شد.
*شمار دیگری از روترهای آسیب پذیر میکروتیک که مورد نفوذ قرار گرفته و درحال حمله به نقاط دیگر شبکه کشور هستند نیز شناسایی شده و هفته گذشته در اختیار شرکتهای سرویس دهنده اینترنت قرار گرفته است. فهرست کل اینIPها در سامانه تعاملی نیز برای ۲۳۱۸ نفر از نمایندگان دستگاهها در هفته گذشته ارسال شد.
مدیر این وبسایت نیز با تأیید حمله صورت گرفته به این سایت، گفته است که این حمله در روتر میکروتیک لایه نت ورک اتفاق افتاده که کوتاهی از سوی این مجموعه بوده است اما از آنجایی که حمله در لایه اکسس شبکه نبود، هیچ دیتایی لو نرفته و مورد سوء استفاده واقع نشده است.
مرکز ماهر تأکید کرده که «موارد دیگری نیز که هنوز نسبت به بروزرسانی روترهای میکروتیک اقدام نکردند در معرض نفوذ قرار دارند که لازم است سریعاً اقدامات پیشگیرانه صورت پذیرد.»
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.