سازمان فناوری اطلاعات اعلام كرد
انگلیس و آمریكا منشأ حمله سایبری شب گذشته، ۳۰ سایت خبری در سایه تهدید
ابزار اپل: مركز ماهر، گزارش بررسی حمله سایبری به سایت های خبری را منتشر نمود كه در آن اعلام گردید ˮمبدأ حملات، انگلیس و آمریكا بوده و این تهدیدات همچنان برای ۳۰ سایت خبری وجود داردˮ.
به گزارش ابزار اپل به نقل از ایسنا، مركز ماهر متعلق به سازمان فناوری اطلاعات، حمله سایبری شب گذشته -۲۱ بهمن - به سایت روزنامه قانون، روزنامه آرمان و روزنامه ستاره بامداد را بررسی و نتیجه بررسی های انجام شده را منتشر نمود كه بر مبنای آن به علت مشترك بودن مجری و تولیدكننده نرم افزار ۳۰ سایت خبری كشور كه روزنامه های آرمان، قانون و ستاره بامداد هم شامل آن می شوند این سایت های خبری همچنان در معرض تهدید نفوذ هكرها قرار دارند كه پیشگیری و افزایش ظرفیت های امنیتی در این مورد لازم است.
گزارش كامل مركز ماهر در بررسی حملات سایبری به سایت های خبری شب گذشته به این شرح است:
"در آستانه ی برگزاری راهپیمایی باشكوه ۲۲ بهمن ماه در روز شنبه مورخ ۲۱ بهمن ماه حدود ساعت ۲۰ الی ۲۲ اخباری در مورد حمله به تعدادی از پورتال ها و وبسایت های خبری منتشر و سبب تولید نگرانی هایی در سطح جامعه شد.
مركز ماهر وزارت ارتباطات و فناوری اطلاعات مبحث را سریعا مورد بررسی قرار داده و اقدامات فنی الزم را در این خصوص بعمل آورد. جهت اطلاع و رعایت نكات مهم مطرح در این زمینه، توضیح اجمالی حمله فوق در گزارش حاضر آمده است. وبسایت های خبری كه مورد حمله قرار گرفته اند شامل: روزنامه ی قانون، روزنامه ی آرمان، روزنامه ی ستاره بامداد بوده كه در مركز داده ی تبیان و مركز داده شركت پیشتاز میزبانی شده اند. گروه فنی مركز ماهر اقدام به شناسایی نقاط اشتراك سیستم های هدف نموده و در این فرایند مشخص گردیده كه تمامی این سامانه ها توسط یك شركت و در بستر سیستم عامل ویندوز با سرویس دهندهی وب IIS و زبان برنامه نویسی Net.ASP توسعه داده شده اند.
شركت تولید كننده نرم افزار این سامانه ها مجری بیش از ۳۰ وبسایت خبری به شرح زیر در كشور است كه نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا نمودند. تهدید اخیر كماكان برای این سایت ها وجود دارد و الزامی است سریعا تمهیدات امنیتی مناسب را اعمال كنند.
۱- armandaily.ir
۲- aminejameeh.ir
۳- kaenta.ir
۴- ghanoondaily.ir
۵- asreneyriz.ir
۶- sharghdaily.ir
۷- ecobition.ir
۸- karoondaily.ir
۹- baharesalamat.ir
۱۰- tafahomnews.com
۱۱- bankvarzesh.com
۱۲- niloofareabi.ir
۱۳- shahrvand-newspaper.ir
۱۴- etemadnewspaper.ir
۱۵- vareshdaily.ir
۱۶- bahardaily.ir
۱۷- nishkhat.ir
۱۸- sayeh-news.com
۱۹- nimnegahshiraz.ir
۲۰- shahresabzeneyriz.ir
۲۱- neyrizanfars.ir
۲۲- sarafrazannews.ir
۲۳- tweekly.ir
۲۴- armanmeli.ir
۲۵- davatonline.ir
۲۶- setaresobh.ir
۲۷- noavaranonline.ir
۲۸- bighanoononline.ir
۲۹- naghshdaily.ir
۳۰- hadafeconomic.ir
اقدامات فنی اولیه توسط مركز ماهر به شرح زیر انجام شد:
_ شناسایی دارایی های در رابطه با سامانه ها جهت تحلیل دقیق) در این زمینه متاسفانه مركز داده تبیان هیچگونه همكاری را نكرده است
_ از دسترس خارج كردن سامانه های كه مورد حمله قرار گرفته اند، جهت بازیابی و حذف تغییرات در محتوی پیام ها
_ تغییر یا غیرفعال سازی نام كاربری اشتراكی و پیشفرض در تمامی سامانه ها
_ تولید یك Snapshot و همینطور یك كپی سالم و دست نخورده از سرویس دهنده های مجازی كه مورد حمله قرار گرفته اند
_ كپی كامل از تمامی فایل های ثبت وقایع بر روی سرویس دهنده های هدف
پس از دریافت فایل های ثبت وقایع از حملات انجام شده از سرویس دهنده ها با تحلیل و بررسی تاریخچه ی حملات و صدمه پذیری ها حجم بالایی از فایل ها مورد تحلیل و آنالیز قرار گرفت و آی پی مبدأ حملات استخراج شد كه شامل پنج آی پی از كشورهای انگلستان و آمریكا بوده است.
شواهد موجود در فایل های ثبت وقایع نشان داده است كه مهاجمان از دو روز قبل (از تاریخ ۲۰۱۸/۰۲/۰۸ الی ۲۰۱۸/۰۲/۱۰ ) بعد از كشف صدمه پذیری های از قبیل انواع Injection ها، در تلاش جهت نفوذ با ابزارهای خودكار و نیمه خودكار جهت استخراج اطلاعات نظیر نام كاربری و كلمات عبور در پایگاه داده ای سامانه ها بوده اند. تمامی فعالیت ها و عملیات مخرب جهت كشف صدمه پذیری و نفوذ به سامانه ها، كه متعلق به آدرسهای IP حمله كننده استخراج و بررسی گردید.
اقدامات اصلاحی انجام شده:
۱-تغییر نام كاربری و كلمه عبور پیش فرض راهبر سامانه در تمامی محصولات شركت
توضیح مهم در این زمینه:
تمامی سایت های خبری مورد حمله دارای نام كاربری و كلمه ی عبور پیشفرض(*****) و یكسان توسط شركت پشتیبان بوده است. همینطور در بررسی مشخص گردید كه متاسفانه آدرس پست الكترونیكی راهبر ارشد سامانه با سطح دسترسی بالا است كه نام كاربری و كلمه ی عبور استفاده شده در سایت ها هم همان است. این موارد *****@gmail.com برابر نشان داده است و متاسفانه حداقل موارد امنیتی رعایت نشده است.
۲-اطلاع رسانی به تمامی دارندگان و استفاده كنندگان محصول شركت مورد هدف
۳-كشف ماژول ها و بخشه ای صدمه پذیر در سایت های مورد حمله و اطلاع به پشتیبان جهت وصله امنیتی سریع
۴-هشدارها و راهنمایی های الزم جهت حفاظت و پیكربندی و مقاوم سازی سرویس دهنده و فایل ثبت وقایع بر روی تمامی سرویس دهنده ها
۵-اقدامات الزم برای انجام آزمون نفوذپذیری بر روی تمامی بخش ها و ماژول های سامانه مشترك"
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب