جزییات حمله سایبری به وب‌سایت‌های دولتی ایران

سازمان فناوری اطلاعات اعلام کرد

جزییات حمله سایبری به وب‌سایت‌های دولتی ایران

روزهای گذشته در اخبار غیررسمی اعلام شد که سایت‌هایی از جمله سایت بانک مرکزی، شرکت پست، وزارت کار و ایرانسل از دسترس خارج شده‌اند. این اخبار رد و اعلام شد برخی به دلیل به‌روزرسانی فنی از دسترس خارج شده‌اند یا اصلاً از دسترس خارج نشده‌اند.

اما در ادامه فراگیری این خبر در فضای مجازی و به دنبال حمله و از دسترس خارج شدن برخی وب‌سایت‌های دستگاه‌های دولتی، سازمان فناوری اطلاعات ایران با تأیید حمله سایبری صورت گرفته به این وب‌سایت‌ها، از کنترل این حملات خبر داد.

به گزارش مهر، عصر هفتم خرداد ماه، برخی وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی از دسترس خارج شد.

سازمان فناوری اطلاعات ایران با اعلام کنترل حملات، جزییات این حمله سایبری ر ا تشریح کرد.

براساس اعلام سازمان فناوری اطلاعات ایران، تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی بر اثر حوادث امنیتی، از دسترس خارج شدند و یا با بارپردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب خود روبه‌رو بودند که تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرایی کرد.

طبق اعلام مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، هدف حمله، منع سرویس توزیع شده، سیستم‌های عامل ویندوز با سرویس‌دهنده‌های وب IIS بوده است و تمامی اهداف مورد حمله قرار گرفته تاکنون، از شرایط فنی یکسان برخوردار بوده‌اند.

آناتومی حمله، شامل ارسال زیاد درخواست‌های HTTP به سمت وب‌سرور‌‌ها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویس‌دهنده‌ها شده و به اعتقاد کارشناسان، هدف اولیه این حمله پهنای باند شبکه نبوده است، لذا تشخیص اولیه با سیستم‌های مانیتورینگ و پایش معمولی، به سختی قابل انجام است و با تأخیر تشخیص حاصل می‌شود.

برهمین اساس، پیکربندی صحیح سرویس‌دهنده‌های وب که میزبان برنامه‌های کاربردی تحت‌وب هستند، باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستم‌ها و برنامه‌های کاربردی را تحت‌تأثیر قرار می‌دهد.

روش‌های پیشگیری و مقابله

براساس این گزارش و با توجه به اعلام مرکز ماهر، استفاده از دیواره‌های آتش اختصاصی لایه کاربرد یا WAF و پیکربندی مؤثر آن به تناسب تعداد کاربران و نیز شرایط برنامه‌ کاربردی هر سازمان از جمله روش‌های مؤثر برای مقابله با این دست از حملات است.

یکی از اولین اقدام‌های امنیتی، مقاوم‌سازی سرویس‌دهنده‌های وب در مقابل ارسال درخواست‌های سیل‌آسا جهت تشخیص و جلوگیری است؛ برای این منظور لازم است تا به روش‌های مختلف نظیر استفاده از ماژول‌های امنیتی و قابلیت‌های درونی سرویس‌دهنده‌های وب IIS موارد لازم به تناسب پیکربندی شود.

یکی از مؤثر‌‌ترین پیکربندی‌‌‌ها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions است.

از این رو باید در طراحی و پیکربندی برنامه‌های کاربردی مختلف هریک دارای application pools مجزا باشند و از فضاهای اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنند.

پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویس‌دهنده، جهت فیلترسازی درخواست‌های ورودی ناخواسته براساس قواعد امنیتی و همچنین پیکربندی فایل‌های ثبت وقایع یا ماژول Logging در سرویس‌دهنده‌ وب IIS، جهت بررسی و پاسخگویی‌های امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است.

مجزا کردن یا ایزوله کردن نرم‌افزارهای کاربردی تحت وب مختلف، ایجاد Worker Processهای منحصربه‌فرد برای هریک از نرم‌افزارهای کاربردی تحت وب مختلف و همچنین به‌روزرسانی سیستم‌عامل و نصب آخرین وصله‌های امنیتی نیز از دیگر توصیه‌هایی است که در جهت پیشگیری و مقابله با این حملات می‌تواند اثرگذار باشد.

در این خصوص مرکز ماهر نیز در اطلاعیه‌ای تأکید کرد: با توجه به اخبار دریافتی و بررسی حوادث امنیتی روی تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی در روز یکشنبه ۷ خرداد ماه، مبنی بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع و ارتباط با سازمان‌های مورد حمله قرار گرفته، نسبت به پیگیری ابعاد حادثه‌ و همچنین تهدیدات پیش رو، اقدامات لازم و ضروری را به عمل آورده است.

 

از آنجایی که تکرار حوادث مشابه در دیگر سایت‌ها نیز وجود دارد، لذا جهت پیشگیری و آمادگی برای حوادث احتمالی مشابه، مستندات و اطلاعات تکمیلی در پورتال مرکز ماهر به نشانی https: //certcc.ir/موجود است.