عملکرد «ماهر» در حملات متجاوز سایبری ایران !

عملکرد «ماهر» در حملات متجاوز سایبری ایران !

محمدرضا عیوضی- در سال گذشته بالغ بر ۱۴ حمله مخرب نرم‌افزاری، فضای مجازی ایران را تهدید کرد. مهم‌ترین این حملات کشف بدافزار «واناکرای» و ویروس «پتیا» بود که منجر به آلودگی سیستم‌های رایانه‌ای شد.

بررسی‌ها نشان می‌دهد که بالغ بر ۱۴ حمله اینترنتی مهم، منجر به تهدید فضای سایبری کشور شد. در این راستا مرکز ماهر بالغ بر ۱۰ هشدار مرتبط با تهدیدات سایبری به ‌کاربران فضای مجازی داد.

حمله اول ۹۷!

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای از حمله باج‌افزاری به سرورهای متعلق به شرکت HP خبر داد که شماری از قربانیان آن در ایران شناسایی شده‌اند.

مرکز ماهر نسبت به انتشار باج‌افزار با سوءاستفاده از درگاه مدیریتی iLO سرورهای شرکت HP هشدار داد.

این مرکز اعلام کرد: رصد فضای مجازی نشان‌دهنده حملاتی مبتنی بر ‫آسیب‌پذیری‌های موجود در سرویس ‫iLo سرورهای ‫HP بوده است.

سرویس iLo یک درگاه مستقل فیزیکی است که برای مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده می‌شود؛ این سرویس حتی در صورت خاموش بودن سرور‌ها به مهاجم قابلیت راه‌اندازی مجدد و دسترسی غیرمجاز را می‌دهد. حملات مذکور روی نسخه‌های مختلف مانند iLO ۲ و iLO ۳ و iLO ۴ مشاهده شده است.

وانا کرای؛ نفوذ بزرگ‌ترین باج‌گیر سایبری

اردیبهشت ۹۶ نرم‌افزار مخربی تحت عنوان «واناکرای- wannacry » با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بالغ بر ۷۵ هزار سیستم کامپیوتری را آلوده کرد. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باج گیر، در سطح شبکه کشور ما نیز مشاهده شد؛ به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمان، قربانی این باج افزار در کشور شد که بیش‌تر این آلودگی‌ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاه‌ها و در تهران و اصفهان شناسایی شد.

در نهایت در تیرماه رییس یکی از مراکز آگاهی رسانی، پشتیبانی و امداد رخدادهای رایانه‌ای از مهار باج‌گیر سایبری «واناکرای » در ایران خبر داد و گفت: واکنش در ایران به این حمله سایبری، واکنش مناسبی بود.

حمله به چند وب‌سایت دولتی

هفتم خردادماه، برخی وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی از دسترس خارج شد. به دنبال حمله و از دسترس خارج شدن این وب‌سایت‌ها، سازمان فناوری اطلاعات ایران با تأیید حمله سایبری صورت گرفته به این وب‌سایت‌ها، از کنترل این حملات خبر داد.

طبق اعلام مرکز ماهر، هدف این حمله، منع سرویس توزیع شده سیستم‌های عامل ویندوز با سرویس‌دهنده‌های وب IIS بوده است و تمامی اهداف مورد حمله قرار گرفته، از شرایط فنی یکسان برخوردار بوده‌اند.

حمله سایبری پتیا

تیرماه سال ۹۶ خبر گسترش باج‌افزار جدیدی به نام پتیا (Goldeneye/Petya) در نقاط مختلف جهان بازتاب وسیعی داشت. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با اعلام این‌که گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باج‌گیر سایبری پتیا (petya) دریافت نشده، اعلام کرد: نحوه گسترش این باج‌افزار و نیز عملکرد آن بسیار مشابه به باج افزار واناکرای (WannaCry) است.

بر این اساس اعلام شد که بالغ بر ۳۲ قربانی توسط «پتیا» آسیب دیده و فایل‌هایشان رمرگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت‌کوین(پول مجازی) برای بازپس‌گیری اطلاعاتشان پرداخت کردند. بیش‌ترین آسیب‌پذیری مربوط به کشور اوکراین بود به نحوی که گفته شد کمپانی بزرگ نفتی روسی به نام Roseneft، کمپانی‌های تولیدکننده برق اوکراینی، بانک‌هایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفتند.

خسارت باج‌افزاری به سامانه‌های بیمارستانی کشور

مردادماه نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای از بروز حملات باج افزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد و اعلام کرد: گزارش‌های متعددی از حمله باج‌افزار‌ها (نرم‌افزار مخرب باج‌گیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارت‌های جبران‌ناپذیری به بار آورده است.

بررسی‌های فنی نشان داد که در بسیاری از این حملات، مهاجمان با سوء‌استفاده از دسترسی‌ به «سرویس دسترسی از راه دور» در سیستم‌ عامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP) است، وارد شده، آنتی‌ویروس نصب شده را غیرفعال کرده و با انتقال فایل باج افزار، اقدام به رمزگذاری فایل‌های سرور کردند.

شیوع باج‌گیر سایبری تای رنت

مهرماه مرکز ماهر نسبت به انتشار نوع جدیدی از بدافزار باج‌گیر در فضای سایبری کشور هشدار داد که این ویروس، برای هدف قراردادن کاربران فارسی زبان طراحی شد.

بررسی‌های مرکز ماهر نشان داد که باج‌افزاری موسوم به TYRANT (تای رنت) با الهام از یک باج‌افزار متن باز در فضای سایبری منتشر شد که از صفحه باج‌خواهی به زبان فارسی استفاده کرده و طبیعتاً برای هدف قراردادن کاربران فارسی زبان طراحی شد.

روش انتشار این باج‌افزار استفاده از پوشش فیلترشکن سایفون بود و از طریق شبکه‌های اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می‌کرد.

شیوع باج‌گیرهای سایبری دادسرا!

آبان ماه خبر انتشار جاسوس افزاری به نام دادسرای الکترونیکی (e_dadsara) که با هدف سرقت اطلاعات حساب بانکی کاربران، فعال شد، منتشر شد. این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدر‌ها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشه‌ای حاوی اطلاعات الکترونیکی دادسرا می‌کرد. هدف اصلی این جاسوس‌افزار، سرقت اطلاعات قربانی به خصوص اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپ‌بورد و برنامه‌های اجرا شده توسط کاربر است.

همچنین مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای، از انتشار باج افزار خطرناک «خرگوش بد» خبر داد که احتمال حمله بین‌المللی از طریق این باج‌افزار بسیار بالا بود.

شناسایی حمله بدافزاری به «فلش پلیر»

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای از هشدار ادوب (Adobe) برای دریافت آخرین نسخه‌ فلش‌پلیر در راستای جلوگیری از حملات بدافزاری خبر داد و اعلام‌کرد: هشدار Adobe مربوط به آسیب‌پذیری موجود در بسته‌ نرم‌افزاری چندرسانه‌ای «فلش‌پلیر» بود. به همین دلیل، این شرکت از کاربران خود خواست تا با وصله کردن سامانه‌های خود، از این حملات جلوگیری کنند.

محققان امنیتی آزمایشگاه کسپرسکی، استفاده از این آسیب‌پذیری برای اجرای کدهای کنترل از راه دور را در Adobe Flash پیدا کردند که توسط گروهی به نام BlackOasis ارایه شده بود. این گروه قربانیانی را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا مورد هدف قرارداده بود.

سوءاستفاده بدافزاری از فیلترشکن

در دی‌ماه سالی که گذشت مرکز ماهر موضوع حمله بدافزاری در پوشش یک فیلترشکن که با سوءاستفاده از ناآگاهی کاربران موبایل منتشر شد را اعلام کرد.

تحلیل‌های فنی روی کد مهاجم نشان داد که حمله این بدافزار، با دریافت یک پیامک فریبنده که مدعی ارایه فیلترشکن از طریق یک آدرس وب بود آغاز شد. با کلیک کردن کاربر روی لینک مذکور، بدافزار روی تلفن قربانی دانلود می‌شد.

حمله سایبری به سایت‌های خبری

در آستانه برگزاری راهپیمایی باشکوه ۲۲ بهمن ماه اخباری در خصوص حمله به تعدادی از پورتال‌ها و وب‌سایت‌های خبری منتشر شد.

براساس بررسی‌های صورت گرفته مشخص شد وب‌سایت‌های خبری که مورد حمله قرار گرفته بودند، در مرکز داده (دیتا سنتر) تبیان و مرکز داده شرکت پیشتاز میزبانی شده‌اند. بر این اساس گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم‌های هدف کرد و در این فرایند مشخص شد تمامی این سامانه‌ها توسط یک شرکت و در بستر سیستم عامل با سرویس‌دهنده وب IIS و زبان برنامه‌نویسی ASP.Net توسعه داده شده‌اند.

شرکت تولیدکننده نرم‌افزار این سامانه‌ها مجری بیش از ۳۰ وب‌سایت خبری (از جمله وب‌سایت‌های مورد حمله قرار گرفته) در کشور بود که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کرده‌اند.

هک ۱۴۰ وبسایت داخلی

در اسفندماه ۹۶ نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای از هک ۱۴۰ وب‌سایت داخلی خبر داد.

این مرکز موضوع را سریعاً مورد بررسی قرارداد و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد.

سایت‌های مورد حمله همگی روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده به‌صورت محدود و تنها شامل بارگزاری یک فایل متنی بود.

۱۰ هشدار مرکز ماهر برای رخدادهای سایبری

در سالی که گذشت از سوی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای برخی هشدار‌ها برای پیشگیری از رخدادهای سایبری نیز منتشر شد.

در فروردین ماه این مرکز نسبت به تلاش بدافزار‌ها و نرم‌افزارهای مخرب برای آلوده کردن شبکه‌های صنعتی هشدار داد. چرا که محققان امنیتی دنیا محاسبه کردند که سالانه حدود ۳۰۰۰ واحد صنعتی با انواع بدافزار‌ها و نرم‌افزارهای غیرهدف‌دار و روزمره، آلوده می‌شوند.

در اردیبهشت ماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای هشدار داد که هکر‌ها می‌توانند گذر واژه کاربران سایت‌هایی که با وردپرس نوشته شده‌‏اند را تغییر دهند. وردپرس محبوب‌‌ترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیب‌پذیری منطقی به هکر این امکان را می‌دهد که گذرواژه‏ کاربر را تغییر دهد.

در خردادماه این مرکز اعلام کرد که کاربران رایانه‌های خانگی به دلیل بی‌توجهی و تعلل در به روزرسانی سیستم عامل ویندوز خود، بیش‌تر در معرض خطر حمله باج افزار سایبری «واناکرای» قرار دارند. در این اطلاع رسانی با اشاره به ۴ هزار رایانه آلوده به این بدافزار باج گیر، اعلام کرد که بسیاری از این رایانه‌ها، مربوط به سازمان‌های مختلف بودند که نسبت به رفع مشکل اقدام کرده و دستورالعمل‌های امنیتی را رعایت کردند.

در تیرماه، ابزارهای دروغ رمزگشایی «واناکرای» شناسایی شد که به دروغ خود را به عنوان ابزارهایی برای رمزگشایی این باج گیر سایبری معرفی کردند. در بررسی و تحلیل سیستم‌های رایانه‌ای مشخص شد که ابزارهای بسیاری در اینترنت مدعی شده‌اند که اطلاعات قربانیان این حمله را می‌توانند بازگردانند. از این رو به‌کاربران اینترنت هشدار داده شد که نرم‌افزارهای ناشناخته و جعلی نصب نکنند.

در مردادماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای از ارایه خدمات ابری توزیع محتوا، با هدف ارتقای امنیت، مقابله با حملات سایبری و افزایش ظرفیت وب‌سایت‌های دولتی خبر داد و اعلام کرد که برای کمک به وب‌سایت‌های دولتی در پاسخگویی به حجم درخواست‌ها و مراجعات بالا و همچنین حفاظت از آنها در برابر حملات رایج، اقدام به ارایه خدمات حفاظت سامانه‌های تحت وب کرده است.

در شهریورماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با اعلام هشدار به‌کاربران برای به‌روزرسانی سیستم‌ عامل پیش‌بینی کرد که ممکن است اتفاقاتی شبیه بروز باج افزار سایبری واناکرای مجدد رخ دهد.

این مرکز با اشاره به این‌که پس از به‌روزرسانی ویندوز که لااقل ۴۸ آسیب‌پذیری وصله شد (۲۵ تای آنها بحرانی بوده‌اند)، این آسیب‌پذیری‌ها افشا شده‌اند، اعلام کرد: یکی از این آسیب‌پذیری‌ها بسیار خطرناک بوده و همه نسخه‌های ویندوز را تحت تأثیر قرارداده است.

آذرماه مرکز ماهر به توسعه‌دهندگان اندرویدی هشدار داد. چرا که گوگل نیز با ارسال ایمیلی به توسعه‌دهندگان اپلیکیشن‌های اندروید، بزرگ‌ترین مشکل امنیتی نرم‌افزارهای مخرب اندرویدی و حذف آنها از پلی‌استور را هشدار داد.

دی ماه سال ۹۶ مرکز ماهر، ایران را در بین ۱۰ کشور نفوذپذیر سیستم‌های سایبری صنعتی اعلام کرد. نتایج به دست آمده از تهدیدات سامانه‌های کنترل صنعتی در ۶ ماهه‌ اول سال ۲۰۱۷ نشان داد که ایران در میان ۱۰ کشور اولی است که سامانه‌های آن به دلیل تهدیدات سایبری، آلوده شده‌اند.

بر مبنای این بررسی‌ها همچنین مشخص شد در نیمه اول سال ۲۰۱۷ در بین ۱۵ کشوری که بالا‌ترین درصد سامانه‌های کنترل صنعتی مورد حمله قرار گرفته را، دارا هستند، ایران رتبه هفتم را به خود اختصاص داده است.

از سوی دیگر در دی‌ماه مرکز ماهر نسبت به کشف آسیب‌پذیری‌ مهمی که همه‌ پردازنده‌های سخت‌افزاری را تحت تأثیر قرارداده هشدار داد. این آسیب‌پذیری‌ها همه‌ پردازنده‌های مهم از جمله AMD، ARM و Intel را تحت تأثیر قرارداد.

بهمن ماه محققان امنیتی یک جاسوس‌افزار اندرویدی بسیار پیشرفته با نام Skygofree کشف کردند که به هکر‌ها امکان می‌داد، پیام‌های واتس اپ (WhatsApp) قربانی را بدزدد و امکان کنترل کامل دستگاه آلوده را از راه دور می‌داد..

همچنین در این ماه بدافزاری که سیستم‌های اینترنت اشیا را هدف قرار می‌داد، کشف شد. این اولین باری بود که یک بدافزار، به‌طور خاص سیستم‌های مبتنی بر ARC را هدف قرار می‌داد. بدافزار Mirai Okiru در زمان کشف برای بیش‌تر آنتی‌ویروس‌‌ها غیرقابل تشخیص بود.

در نهایت این‌که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای نسبت به پیش‌بینی جهانی از تهدیدات سایبری برای پول‌های رمزنگاری شده در سال ۲۰۱۸ هشدار داد و اعلام کرد: با وجودی که در سال ۲۰۱۷ باج افزار‌ها تهدید اصلی برای کاربران فضای سایبر محسوب می‌شدند، پیش‌بینی‌ها حاکی از آن است که «پول‌های رمزنگاری شده» مهم‌ترین تهدید سایبری در سال ۲۰۱۸ خواهد بود.