ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۶۷۳ مطلب با موضوع «security» ثبت شده است

تحلیل


باج‌افزار «واناکرای» هنوز فعال است

چهارشنبه, ۳۰ آبان ۱۳۹۷، ۰۷:۱۱ ق.ظ | ۰ نظر

مرکز مدیریت راهبردی افتای ریاست جمهوری از ادامه فعالیت باج‌افزار مخرب واناکرای خبر داد و اعلام کرد: نرخ آلودگی این بدافزار از زمان مشابه سال گذشته بیشتر است.

به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، باج‌افزار واناکرای (WannaCry) ، پس از ۱۸ ماه فعالیت مخرب و آلوده کردن هزاران سیستم در سراسر جهان، همچنان فعال و نرخ آلودگی آن از زمان مشابه در سال گذشته بیشتر است.

گزارش‌های سه ماهه سوم آزمایشگاه کسپرسکی نشان می‌دهند که باج‌افزار WannaCry دارای بالاترین رتبه در بین بدافزارهایی است که فایل‌های کاربران را رمزگذاری می‌کنند. این بدافزار در ماه‌های جولای تا سپتامبر حدود ۷۴ هزار و ۶۲۱ حمله علیه کاربران در سطح جهان انجام داده، با این حال تعداد کل حملات همه باج‌افزارها در سال جاری کمتر از ۲۰۱۷ بوده است.

باج‌افزار WannaCry با استفاده از اکسپلویت EternalBlue گسترش یافته است. مایکروسافت برای جلوگیری از این بدافزار، وصله‌ای برای آن ارائه کرد، اما بسیاری از سازمان‌ها همچنان به روزرسانی را اعمال نکرده‌اند.

دیگر باج‌افزار گسترش یافته که در این گزارش آمده، GandCrab است که ۱۲ درصد از کل بررسی‌های باج‌افزاری را به خود اختصاص داده است. Cryakl، PolyRansom، Shade وCrysis نیز سایر بدافزارهای رمزکننده فایل‌ها هستند که بیشترین تعداد آلودگی را داشتند.

در مجموع آزمایشگاه کسپرسکی ۲۵۹ هزار و ۸۶۷ تلاش برای حملات باج‌افزاری علیه قربانیان را شناسایی کرد که ۱۳۲ هزار و ۸۱۰ مورد آن‌ها تنها در ماه سپتامبر اتفاق افتاده است.

مرکز افتا اعلام کرد: با اینکه تعداد حملات باج‌افزاری در حال کاهش است، اما همچنان خطری جدی به شمار می‌رود و توصیه می‌شود تا با اعمال به روزرسانی‌ها، استفاده از ابزارهای امنیتی و پشتیبان‌گیری دوره‌ای از فایل‌ها، جهت کاهش خطرات این گونه حملات اقدام شود.

به گزارش مهر، سال گذشته باج افزار واناکرای توانست طی یک حمله جهانی، بیش از ۲۳۰ هزار رایانه در ۱۵۰ کشور جهان را آلوده و اقدام به باج‌گیری کند.

مهراد کریم‌نیایی - دو سال قبل بود که دادستانی کل کشور پیگیر موضوع ضرر و زیانی شد که استاکس‌نت به ایران وارد آورد و خواستار محکومیت این اقدام در مجامع بین‌المللی شد. موضوعی که همان زمان مقام معظم رهبری نیز بر آن تاکید و در دیدار با کارگزاران نظام در بیست و پنجم خرداد‌  95 با اشاره به حمله سایبری آمریکا به تاسیسات هسته‌ای ایران گفته بودند: «این استاکس‌نت که سه سال قبل از این فرستادند داخل تشکیلات سایبری جمهوری اسلامی، می‌توانست تمام تشکیلات [هسته‌ای] ما را از بین ببرد؛ این کار، جنایت است؛ یعنی یک جنایت شناخته‌ شده بین‌المللی است و می‌توان گریبان صاحبان این جنایت را در دادگاه‌های بین‌المللی گرفت؛ متاسفانه ما نگرفتیم.»

کمی بعد از سخنان رهبر انقلاب، عبدالصمد خرم‌آبادی، معاون وقت دادستانی کل کشور از سازمان انرژی اتمی خواست که دلایل و مستندات وقوع حمله توسط استاکس‌نت را اعلام کند تا نسبت به شکایت در مجامع بین‌المللی اقدامات لازم به عمل آید.

در واقع مدتی توپ در زمین سازمان انرژی اتمی بود تا آنکه پس از مدتی این سازمان اعلام کرد که پاسخ دادستانی را در این مورد داده است؛ اما با وجود گذشت بیش از دو سال از این ماجرا همچنان روشن و مشخص نیست که دادستانی چه کاری انجام داده و چه اقداماتی در مجامع بین‌المللی برای محکومیت استاکس‌نت صورت گرفته است.

اهمیت این موضوع وقتی بیشتر می‌شود که همین هفته قبل، سردار جلالی، رییس سازمان پدافند غیرعامل کشور اعلام کرد، اخیرا نسل جدیدی از ویروس استاکس‌نت را که به‌صورت چندتکه بود و به‌صورت غیرفعال قصد ورود به سامانه‌های ما را داشت، کشف کردیم.

از سوی دیگر کشور ما همواره یکی از قربانیان اصلی جنگ‌ها و تبعیض‌ها و تحریم‌های سایبری محسوب می‌شود و با وجود ناکارآمدی مراجع و نهادهای بین‌المللی، اما موضع منفعلانه ایران می‌تواند باعث تشدید بروز حملات سایبری علیه کشور شود و از سوی دیگر این جنایات نیز پنهان مانده و به فراموشی سپرده شود.

 

تاکید بر جرم بودن حمله استاکس‌نت

"حمله سایبری به تاسیسات اتمی کشور بر اساس مواد 737 و 739 قانون مجازات اسلامی، (مواد 9 و 11 قانون جرایم رایانه‌ای)، ماده 17 قانون سازمان انرژی اتمی ایران، قانون مجازات اخلالگران در صنایع و معاهدات بین‌المللی مربوط به استفاده صلح‌آمیز از انرژی هسته‌ای جرم محسوب می‌شود."

این بخشی از اظهارات عبدالصمد خرم‌آبادی معاون سابق دادستان کل کشور در سال 95 بود.

تمام کشورهای پیشرفته دنیا تخریب و اخلال در سامانه‌های کامپیوتری از طریق ویروس و نرم‌افزارهای مخرب را جرم‌انگاری کرده‌اند، بنابراین از دیدگاه حقوقی زمینه پذیرش چنین دعاوی در مراجع قضایی خارجی و بین‌المللی وجود دارد و مسوولان ذی‌ربط باید این موضوع را با سرعت و اهتمام بیشتری به سرانجام برسانند. با این وجود تا لحظه سازمان انرژی اتمی، دادستانی و دولت هیچ‌یک اقدامی مشخص برای محکومیت حمله استاکس‌نت به تاسیسات اتمی کشور در مجامع بین‌المللی به انجام نرسانده‌اند.

 

وظیفه پیگیری حمله با دادستانی یا انرژی‌اتمی؟

ششم دی ماه 95 بود که عبدالصمد خرم‌آبادی، در رابطه با مطالبه رهبر معظم انقلاب مبنی بر پیگیری حمله سایبری استاکس‌نت به تاسیسات و تشکیلات هسته‌ای جمهوری اسلامی به اظهار نظر پرداخته و اعلام داشت: از نظر حقوقی در مواردی که حقوق عمومی مورد تعرض قرار می‌گیرد، در وهله اول وظیفه طرح دعوا برعهده نهادی است که اموال عمومی مورد تعرض را در اختیار دارد و دادستانی کل کشور در اجرای ماده 290 قانون آیین دادرسی کیفری به عنوان مدعی‌العموم و مدافع حقوق عمومی مکلف به پیگیری و نظارت بر روند احقاق حق از طریق مراجع ذی‌صلاح داخلی، خارجی یا بین‌المللی است.

بر همین اساس دادستانی کل کشور از سازمان انرژی اتمی خواست که به وظیفه خود درخصوص طرح دعوا اقدام کند و دادستانی موضوع حمله سایبری به تاسیسات اتمی کشور را با جدیت پیگیری خواهد کرد.

 

پاسخ سازمان انرژی اتمی به دادستانی

در این مقطع اعلام شد که سازمان انرژی اتمی پاسخ نامه دادستانی کل کشور را داده و اعلام کرده است که در رابطه با این موضوع جلسات متعددی در معاونت حقوقی و امور بین‌الملل آن سازمان تشکیل شده و مذاکراتی نیز با نهادهای ذی‌ربط به‌عمل آمده است. بر همین اساس مقرر شده سازوکارهای لازم برای تعیین نحوه اقامه دعوی درمراجع قضایی بین‌المللی و داخلی در کمیته‌ای با محوریت وزارت امورخارجه و مشارکت سازمان انرژی اتمی، مرکز امور حقوقی ریاست‌جمهوری و دبیرخانه شورای‌عالی امنیت ملی مشخص شود و نتیجه را به دادستانی کل کشور اعلام ‌کند.

براساس اعلام دادستانی، سازمان انرژی اتمی در این نامه پاسخ داده که قرار شده یک سری اقدامات با کمک معاون حقوقی ریاست‌جمهوری و وزارت امور خارجه انجام و نتیجه نهایی به دادستانی کل کشور اعلام شود.

با این وجود هرچند دو سال از این اظهار نظرها می‌گذرد اما همچنان خبری از محکومیت حمله استاکس‌نت در مجامع بین‌المللی و طرح دعوی حقوقی از سوی مسوولان کشور نشده است.

 

شناسایی نسل جدید استاکس‌نت در ایران

در نهایت همان‌طور که ذکر شد در حالی که طرح شکایت از حمله استاکس‌نت به تاسیسات هسته‌ای کشور همچنان به جایی نرسیده اما هفته گذشته رییس سازمان پدافند غیرعامل کشور با بیان اینکه تهدید نظامی در انتهای لیست دشمن است، اعلام کرد نسل جدیدی از ویروس‌ استاکس‌نت را کشف کرده‌اند.

آن‌طور که سازمان پدافند غیرعامل اعلام کرده ویروس استاکس‌نت جدید به‌صورت چندتکه بود و به‌صورت غیرفعال قصد ورود به سامانه‌های کشور را داشته که سازمان پدافند غیرعامل موفق به کشف آن شده است.

بر اساس این گزارش در حالی که بیش از هفت سال از پیدا شدن ویروس استاکس‌نت می‌گذرد و بدافزارهایی نظیر فلیم (شعله) نیز با هدف آسیب به زیرساخت‌های کشور وارد فضای مجازی شده‌اند همچنان اقدامی حقوقی و بین‌المللی برای محکومیت این دست اقدامات صورت نگرفته است. (منبع:عصرارتباط)

نفوذ سایبری از مبدا داخل ایران

جمعه, ۱۱ آبان ۱۳۹۷، ۰۴:۰۱ ب.ظ | ۰ نظر

مرکز ماهر بار دیگر نسبت به مشاهده گسترده آسیب‌پذیری در پروتکل SMB که امکان اشتراک گذاشتن دسترسی به فایل ها را ممکن می کند و افزایش حملات به سمت این سرویس، در سطح کشور هشدار داد.

به گزارش خبرنگار مهر، پروتکل SMB (Server Message Block Protocol ) یا بلاک پیام سرور، یک پروتکل ارتباطی سرویس گیرنده سرور است که برای به اشتراک گذاشتن دسترسی به فایل ها، چاپگرها، پورت های سریال و سایر منابع در شبکه استفاده می شود. همچنین می تواند پروتکل های مبادله ای را برای ارتباطات بین پردازش حمل کند.

پروتکل SMB به عنوان یک پروتکل درخواست پاسخ هم شناخته می شود. به این معنی که چندین پیام را بین سرویس گیرنده و سرور، برای ایجاد یک ارتباط، برقرار می کند.

از این رو چند روز گذشته، مرکز ماهر نسبت به مشاهده گسترده آسیب‌پذیری قدیمی در پروتکل SMB در سطح کشور که امکان اشتراک گذاری دسترسی به فایل ها را ممکن می کند، هشدار داد. 

این مرکز اعلام کرد: در اواخر سال ۱۳۹۵ یک آسیب‌پذیری جدی با سطح خطر بحرانی با نام EternalBlue در پروتکل ‫SMB افشاء شد که نسخه‌های مختلف سیستم عامل ویندوز را تحت تاثیر قرار می‌داد. از آن زمان تا به حال انواع کدهای سوء‌استفاده و ‫باج‌افزار و جاسوس‌افزار و غیره از این آسیب‌پذیری سوء‌استفاده کرده اند.

بررسی‌های مجدد مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) نشان‌دهنده وجود تعداد زیاد آدرس های دارای آسیب پذیری مذکور است.

امروز نیز این مرکز اعلام کرد: پیرو اطلاعیه قبلی درخصوص وجود آسیب‌پذیری سرویس ‫SMB (درگاه ۴۴۵) در سطح کشور، بررسی‌های انجام شده نشان­ دهنده افزایش سطح حملات روی این درگاه است.

این درگاه به صورت پیش‌فرض در پروتکل SMB مورد استفاده قرار می‌گیرد که در گذشته مورد هجوم حملات بسیاری بوده است. آنچه در این ارتباط مورد توجه است، افزایش حملات در سطح کشور از مبدا داخل ایران است که می‌تواند گویای افزایش آلودگی در کشور باشد؛ از این رو لازم است تا پاکسازی سیستم‌های آلوده داخلی مورد توجه قرار گیرد.

وضعیت حملات ثبت شده از ابتدای مهرماه، نشان می دهد که ۱۰۳ هزار و ۴۴۲ حمله به این سرویس در ایران صورت گرفته و سهم ایران از کل حملات ثبت شده بیش از ۱۴ درصد است.

بر اساس گزارش منتشر شده از ‫کسپرسکی اخیرا گروه shadow broker ابزاری با نام DarkPulsar را ارائه کرده‌اند که با بهره‌گیری از این آسیب‌پذیری، اجازه کنترل راه‌دور را برای مهاجم فراهم می‌کند.

علاوه بر آن دو چارچوب پیچیده دیگر با نام‌های DanderSpritz و FuzzBunch نیز توسط این گروه در سال ۲۰۱۷ ارائه شده که دارای قابلیت تحلیل میزبان قربانی، آسیب‌پذیری‌های قابل اکسپلویت و سایر مولفه‌های مانیتور میزبان قربانی هستند.

سواستفاده جدید در پوشش استخراج ارزرمز

دوشنبه, ۳۰ مهر ۱۳۹۷، ۰۶:۱۵ ب.ظ | ۰ نظر

مرکز ماهر از افزایش چشمگیر پیام‌های فریبنده‌ در فضای مجازی با موضوع ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه خبر داد.

به گزارش خبرگزاری فارس، مرکز ماهر هشدار داد: مشاهدات اخیر حاکی از افزایش چشمگیر پیام‌های فریبنده‌ای است که در فضای مجازی برای ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه (عموما #‫بیت‌کوین) منتشر می‌شوند. این مجموعه‌ها نوعا از ساختار بازاریابی هرمی نیز استفاده می‌کنند تا از ارتباطات افراد برای افزایش گستره نفوذ خود بهره ببرند. مطالعات نشان می‌دهند که ادعاها و وعده های مطرح شده در اغلب موارد کذب بوده و این ابزارها علاوه بر احتمال آسیب زدن به سخت افزار رایانه‌ها می‌توانند سرمنشا مخاطرات جدی امنیتی باشند. به این ترتیب به کاربران و مدیران به طور جدی توصیه می‌شود که از عضویت در این شبکه ها پرهیز و ممانعت نمایند. 

بررسی‌های انجام شده نشان می‌دهد که برخلاف ادعاهای مطرح شده، از منظر اقتصادی و با توجه به انرژی الکتریکی صرف شده، انجام این کار با استفاده ازرایانه‌های معمول، حتی در صورتی که گرداننده شبکه هرمی و افراد بالادست چیزی از عایدات طلب نکنند، اقتصادی نخواهد بود. به همین دلیل در سطح جهان، انجام این امور به صورت قانونی (و نه با سرقت منابع دیگران) با تکیه بر سخت‌افزارهای خاص منظوره و با اتکا به پردازنده های گرافیکی پیشرفته انجام می‌گیرد.
ذکر این نکته حایز اهمیت است که با بیشتر شدن بار محاسباتی پردازنده‌ها برای استخراج ارزهای رمزپایه در رایانه‌های معمول و افزایش مصرف توان، دمای سیستم افزایش خواهد یافت و این خود سبب کاهش دوام دستگاه و احیانا آسیب به آن می‌شود. بنابراین حتی برای آزمایش نیز تصمیم به ورود به این شبکه‌های هرمی منطقی نیست.
همچنین اگرچه به دلیل تعدد این ابزارها فرصت تحلیل رفتاری همه آنها موجود نبوده است، اما نکته نگران‌کننده اصلی در این خصوص این است که با تکیه بر هر یک از روش های معمول برای انجام این امور به صورت هرمی ( اجرای برنامه‌های اجرایی ارایه شده یا نصب افزونه‌های معرفی شده در مرورگرهای وب) کاربر و شبکه میزبان او در معرض دسترسی فراهم آورنده این ابزارها یا سایر مهاجمین قرار می‌گیرند و این خود می‌تواند سرآغاز حملات جدی‌تر باشد. 
در خصوص کاربرانی که مالک رایانه یا بستر شبکه متصل به آن نیستند، عضویت در این شبکه‌های هرمی می‌تواند توام با جرایمی چون سوء استفاده از منابع عمومی یا خیانت در امانت نیز باشد.
به این ترتیب به کاربران و مدیران، مجددا توصیه اکید می‌شود که از ورود به این شبکه‌ها و نصب ابزارهای مرتبط با آنها پرهیز و ممانعت جدی به عمل آورند.

گسترش صفحات جعلی شاپرک

دوشنبه, ۲۲ مرداد ۱۳۹۷، ۰۲:۰۱ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شیوع باج افزار «پول زور» که با استفاده از صفحات جعلی درگاه بانکی شاپرک، از کاربران یک میلیون تومان باج می گیرد، هشدار داد.

به گزارش خبرگزاری مهر، مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری اعلام کرد: باج‌افزار PooleZoor با پشتیبانی از زبان فارسی و فیشینگ کردن شاپرک از کاربران باج‌های یک میلیون تومانی می‌گیرد.

باج‌افزار پول زور فایل‌های قربانی را با استاندارد AES رمزگذاری می‌کند و برای بازیابی فایل‌های از دست‌رفته، مبلغ ۱۰ میلیون ریال درخواست می‌کند؛ این باج افزار ، پسوند .poolezoor را به فایل‌های قربانی اضافه و آن‌ها رمزگذاری می‌کند.

نکته قابل توجه در این باج‌افزار، نحوه پرداخت است. روش کار این باج افزار به این‌گونه است که مهاجم آدرسی فیشینگ را که به درگاه پرداخت شاپرک شبیه است، ارائه می‌کند در این درگاه دروغین، هیچ پرداختی انجام نمی‌شود اما  مهاجم به اطلاعات کارت و حساب بانکی قربانی دست می‌یابد.

این باج‌افزار ممکن است از طریق پیکربندی محافظت‌نشده RDP، ایمیل‌های اسپم و پیوست‌های مشکوک، فایل‌های دانلودی، بات‌نت‌ها، اکسپلویت‌های موجود، تزریق وب، بروزرسانی‌های جعلی و فایل‌های نصبی آلوده منتشر شده باشد.

باج‌افزار PooleZoor ، فایل‌های اسناد آفیس، OpenOffice، PDF، فایل‌های متنی، پایگاه‌های داده، فایل‌های رسان‌های تصویر، موسیقی و ویدئو، فایل‌های فشرده و غیره را رمزگذاری می‌کند.

در آدرس اصلی درگاه پرداخت شاپرک ( https://shaparak.ir ) از پروتکل HTTPS  بعنوان ارتباطی امن و محافظت شده، استفاده شده است و در نوشتن لاتین کلمه شاپرک با شاپرک قلابی تفاوت وجود دارد.

کارشناسان مرکز مدیریت راهبردی افتای ریاست جمهوری توصیه می‌کنند به هیچ عنوان به آدرس پرداخت این باج افزار مراجعه نکنید و از آنتی‌ویروس‌های معتبر برای جلوگیری از نفوذ و یا پاکسازی آن استفاده کنید.

رژیم صهیونیستی فقط به حمله های نظامی معمول بسنده نمی کند. این رژیم در سال های اخیر با انتشار ویروس ها و ابزارهای جاسوسی متعددی، فضای سایبری را نیز نا امن کرده است.

به گزارش خبرنگار مهر، هنگامیکه سخن از حمله های سایبری به میان می آید، بیشتر افراد به این نکته اشاره می کنند که هکرها اصولا در روسیه یا چین هستند و هدف آنها دزدیدن اطلاعات شخصی برای سود مالی یا دریافت باج است. اما هدف مهم تر از اینها، حمله های جاسوسی و خرابکاری است. در همین زمینه رژیم صهیونیستی بارها اعلام کرده از اسلحه های سایبری استفاده می کند. این رژیم غاصب هرچند نوع دقیق اسلحه ها را اعلام نکرده اما تا به حال حملات سایبری و بدافزارهای متعددی را منتشر کرده است.

رژیم صهیونیستی واحد اطلاعاتی به نام «واحد ۸۲۰۰»  تشکیل داده که مسئول ساخت برخی از بدافزارهای مشهور قرن بیست و یکم هستند. این واحد از جوانان ۱۸ تا ۲۱ ساله تشکیل شده است. درهمین راستا برنامه ای خارج از مدرسه برای نوجوانان ۱۶ تا ۱۸ سال برگزار می شود که به آنها برنامه نویسی و هک کردن را می آموزد. نیروهای واحد نیز از بین شرکت کنندگان همین کلاس ها انتخاب می شوند.

این درحالی است که به نوشته روزنامه فرانسوی لوموند این واحد در یک مقر در Negev فعالیت می کند و قادر به رصد تماس های صوتی، ایمیل و وسایل ارتباطی دیگر در سراسر خاورمیانه، اروپا، آسیا و آفریقا و همچنین ردیابی کشتی ها است.

 رژیم صهیونیستی همچنین در تمام سفارت های خود در سراسر جهان مقرهای شنود دارد و از طریق  کابل های زیر دریایی نیز شنود می کند.

 همچنین به نوشته روزنامه نیویورک تایمز رژیم صهیونیستی مقرهای شنودی در فلسطین دارد. به طوریکه در ۲۰۱۴ میلادی ۴۳ نفر از نیروهای این واحد با امضای نامه ای اعلام کردند تجهیزات نظارت الکترونیک این واحد، اطلاعات خصوصی مردم فلسطین را جمع آوری می کند.

 

همکاری با آمریکا برای ساخت استاکس نت

فعالیت های مجرمانه رژیم صهیونیستی فقط به فلسطین منتهی نمی شود. گزارش های مختلفی که در رسانه های متعدد منتشر شد، نشان می دهد ویروس استاکس نت نیز توسط رژیم صهیونیستی ساخته شد. به نوشته رونامه گاردین این ویروس در ۲۰۱۰ میلادی  بسیاری از رایانه های صنعتی از جمله رایانه های تجهیزات هسته ای ایران را هدف قرار داد. کارشناسان معتقدند آمریکا و رژیم صهیونیستی این بدافزار را به وجود آوردند. سرگی اولاسن نخستین بار ویروس استاکس نت را کشف کرد این ویروس که از طریق  ویندوز منتشر می شود، سیستم های کنترل صنعتی شرکت زیمنس را هدف گرفته بود.

 

ویروس مشابه استاکس نت با هدف جمع آوری اطلاعات

یکی دیگر از ویروس ها، «دوکو» مجموعه ای از بدافزارهای رایانه ای است که در سپتامبر ۲۰۱۱ کشف شد. این ویروس به استاکس نت مرتبط بود. دانشگاه اقتصاد و فناوری بوداپست در بلغارستان این تهدید را کشف کرد. این تهدید  شباهت زیادی به استاکس نت داشت اما هدف آن متفاوت بود. شرکت Symantech درباره این ویروس تحقیقاتی انجام داد و معتقد بود این ویروس توسط سازندگان استاکس نت به وجودآمده و اطلاعات را برای حملات آتی جمع آوری می کند. این ویروس نیز مانند استاکس نت، به سیستم عامل ویندوز حمله می کند.  از اطلاعات جمع آوری شده با این ویروس برای حمله به سیستم های کنترل صنعتی استفاده می شود.

 

جاسوسی در مذاکرات هسته ای ایران با Duqu2.0

به نوشته نشری اشپیگل،این ویروس یکی از پیچیده ترین ویروس هایی است که ساخته شده و در سال ۲۰۱۴ حتی به سیستم های شرکت کسپراسکای نیز نفوذ کرد. این ویروس مدت ها در سیستم کسپراسکای بود و شناسایی نشد. علاوه بر آن از این ویروس برای جاسوسی درباره مذاکرات هسته ای ایرانی نیز استفاده شد. 

 

ساخت ویروس جاسوسی از موبایل برای دولت ها

 در سال ۲۰۱۶ نیز محققان ویروسی به نام پگاسوس را ردیابی کردند که سیستم های عامل اپل را هدف گرفته بود.ویروس مذکور آیفون های ۶ را از راه دور رصد می کرد. این حمله سایبری کاربران را تشویق می کرد یک URL را با از کنند که با پیامک ارسال شده است. پس از دنبال کردن لینک با استفاده از شکاف های امنیتی در موتور جستجوی Safari دسترسی به هسته سیستم عامل را فعال می کرد و بدافزار روی موبایل نصب می شد. پس از آن  بدافزار از تمام وجوه موبایل کاربر از تماس های صوتی و پیامک گرفته تا اطلاعات تقویم و عکس و ویدئوها را جاسوسی می کرد. به نوشته رویترز محققان دانشگاه تورنتو در Citizen Labاین حمله را نخستین بار ردیابی کردند. این گروه ادعا می کنند شرکت NSO که به رژیم صهیونیستی تعلق دارد این بدافزار را برای دولت ها ساخته است.

 

ساخت ویروسی مخصوص دستگاه های اندروید

سال گذشته گوگل نیز نسخه ای از ویروس پگاسوس را در موبایل های اندروید ردیابی کرد. به نوشته فوربس، گوگل این ویروس ر ا Lipizzan نام گذاری کرد. در زمان کشف ویروس مذکور روی کمتر از ۱۰۰ موبایل نصب شده بود. همه این موبایل ها قبلا به بدافزار پگاسوس آلوده شده بودند.  به گفته تیم امنیتی اندروید، Lipizzan یک ابزار جاسوسی پیچیده و دومرحله ای است. جالب آنکه گوگل متوجه شد این بدافزار به ۲۰ فرم مختلف ارائه شده و تعدادی از اشکال آن نیز در پلی استور موجود بود. به طور معمول Lipizzan شبیه یک ابزار عادی مانند اپلیکیشن ضبط صوت یا بک آپ نمایان می شود. اما پس از نصب در موبایل ایمیل، پیامک، مکان و تماس های صوتی کاربر را رصد می کند. همچنین این بدافزار اطلاعات برخی از اپلیکیشن ها مانند واتس اپ، وایبر، تلگرام، جی میل، لیندکین و اسکایپ را نیز جمع آوری می کند.

 شرکتی به نام Equus این ویروس را ساخته که اطلاعات زیادی از آن در دسترس نیست فقط به نظر می رسد مقر آن در منطقه Herzliya در تل آویو باشد. همچنین یکی از مهندسان آن قبلا در NSO فعالیت می کرده است.

 

جاسوسی از رایانه ها با پهپاد

روش های جاسوسی رژیم صهیونیستی فقط به این موارد محدود نمی شود. خبرگزاری راشاتودی نیز در خبری اعلام کرده است که محققان رژیم صهیونیستی روشی برای حمله به رایانه های جداگانه ایجاد کرده اند. برای این منظور آنها کنترل نشانگرهای ال ای دی رایانه را به دست می گیرند. در مرحله بعد این هکرها نشانگرها را وادار می کنند تا ۶ هزار بار در یک ثانیه چشمک بزنند و سیگنالی حاوی اطلاعات را به دوربینی بفرستد که روی یک پهپاد در نزدیکی رایانه هدف گرفته شده، ارسال کند.

 این روش رایانه هایی را هدف می گیرد که به اینترنت و شبکه های شرکتی متصل نیستند و به همین دلیل دسترسی به اطلاعات آنها برای هکرها چالش برانگیز است. در نتیجه  اطلاعات حساسی را در خود حفظ می کنند.

 به گفته هکرها با این روش اطلاعات با سرعت ۴ هزار بیت در ثانیه منتقل می شود. البته قبل از این فرایند رایانه باید به وسیله یو اس بی یا کارت اس دی به ویروس آلوده شود. با این روش هک را به سختی می توان ردیابی کرد.

 

افزایش مهارت  ایران در حوزه سایبری

 به هرحال به نظر می رسد رژیم صهیونیستی همچنان به ساخت بدافزارها و انتشار آن ادامه می دهد. هدف این رژیم از انتشار بدافزارها جاسوسی کردن از افراد و دولت ها و خرابکاری در مسیر موفقیت دشمنان خود است. اما به نظر نمی رسد این روند تا همیشه ادامه یابد. این در حالی است که به نوشته گاردین در سال های اخیر قدرت سایبری ایران افزایش یافته است. این رسانه در سال ۲۰۱۴ در گزارشی نوشته است: در سال های اخیر ایرانیان در حوزه سایبری ماهر تر شده اند. آنها قبلا سومین حلقه قدرت سایبری  بودند اما خیلی زود وارد دومین حلقه قدرت های برتر سایبری  شده اند.

افزایش حملات فیشینگ به درگاه‌های بانکی کشور

سه شنبه, ۴ ارديبهشت ۱۳۹۷، ۰۲:۵۴ ب.ظ | ۰ نظر

مرکز ماهر از رشد حملات فیشینگ درگاه‌های پرداخت بانکی طی دو ماه گذشته، با انتشار‫ برنامکهای اندرویدی مخرب یا جعلی خبر داد.

به گزارش مرکز روابط عمومی و اطلاع رسانی وزارت ارتباطات و فناوری اطلاعات، این مرکز اعلام کرد بر اساس رصد صورت گرفته حملات ‫فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامکهای اندرویدی مخرب یا جعلی صورت گرفته است.

بر این اساس مرکز ماهر توصیه هایی را جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد کرده است:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها و همچنین حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر (لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد) از جمله پیشنهادهای مطرح شده است.

توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.

درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌  (بدون هرگونه تغییر در حروف) معتبر هستند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert@certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.

توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارایه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است

انگلیس هم ایران را به حملات سایبری متهم کرد

شنبه, ۴ فروردين ۱۳۹۷، ۱۲:۰۵ ق.ظ | ۰ نظر

 معاون امور سایبری وزیر خارجه انگلیس روز جمعه با تکرار ادعای آمریکا، ایران را به انجام فعالیت‌های مخرب سایبری و هدف قرار دادن صدها دانشگاه متهم کرد.

مای وزارت خارجه انگلیس، لرد طارق احمد گفت: تشخیص دولت انگلیس این است که موسسه مبنا مستقر در ایران مسئول شبکه هکری است که دانشگاه‌های سراسر دنیا را هدف قرار داده است. 

به گزارش ایرنا وی افزود: هکرها تلاش کردند تا از طرق سرقت مالکیت معنوی دانشگاه‌ها، درآمدزایی کرده و با هزینه ما به دستاوردهای فنی دست پیدا کنند.

لرد احمد بابیان اینکه انگلیس از اقدام آمریکا در محکومیت موسسه مبنا استقبال می‌کند، افزود: این اقدام نشان‌دهنده تمایل و توانایی ما برای استفاده از تمامی اهرم‌های موجود جهت پاسخ‌دهی جمعی به حملات سایبری است.

وی افزود: تمرکز این حمله بر دانشگاه‌های ما مؤید این است که تمام ارگان‌ها اهداف بالقوه به شمار می‌روند و بایستی دائماً در جهت تقویت امنیت سایبری خود گام بردارند.

این سیاستمدار انگلیسی بابیان اینکه فعالیت‌های مخرب سایبری بدون مجازات باقی نمی‌ماند، افزود که کارکنان موسسه مبنا دیگر قادر نیستند تا آزادانه سفر و مجبور هستند تا آینده شغلی خود را در ایران محدود کنند.

وزارت خزانه‌داری آمریکا پیشتر موسسه مبنا و ۱۰ شخص ایرانی را به ادعای فعالیت‌های مخرب سایبری تحریم کرد.

در اطلاعیه روز جمعه وزارت خزانه‌داری آمریکا آمده است: در اقدام هماهنگ با وزارت دادگستری ایالات‌متحده، دفتر نظارت بر دارایی‌های خارجی (OFAC) وزارت خزانه‌داری ایالات‌متحده، یک‌نهاد ایرانی و ۱۰ نفر از افراد ایران را تحت فرمان اجرایی E.O) ۱۳۶۹۴) &#۳۹;مسدودسازی اموال برخی افراد مشارکت‌کننده در فعالیت‌های قابل‌ملاحظه تخریب سایبری، مورد تحریم قرارداد.

بر پایه این اطلاعیه، مؤسسۀ مبنا یک شرکت ایرانی دانسته شده است که در سرقت شناسه‌های شخصی و منابع اقتصادی برای افزایش منافع مالی خصوصی فعالیت می‌کند. 

دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا همچنین غلامرضا رفعت نژاد، احسان محمدی، سید علی میرکریمی، مصطفی صادقی، سجاد طهماسبی، عبدالله کریما، ابوذر گوهری مقدم، روزبه صباحی، محمد رضا صباحی و بهزاد مصری را هم در لیست این تحریم ها قرار داده است

تهدید سامانه‌های کنترل از دور سازمان‌های کشور

چهارشنبه, ۱ فروردين ۱۳۹۷، ۱۱:۵۳ ق.ظ | ۰ نظر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به شناسایی تهدید جدی سرویس دهنده‌های RDP (ریموت دسکتاپ) بر بستر شبکه اینترنت سازمانها، هشدار داد.

به گزارش خبرنگار مهر، سرویس RDP یا Remote Desktop Protocol قابلیت اتصال از راه دور یک کامپیوتر به کامپیوتر دیگر و کنترل دسکتاپ را برای سازمان ها فراهم می کند.

مرکز ماهر با انتشار گزارشی از شناسایی حملاتی بر بستر این سرویس در کشور و سوء استفاده از آدرسهای IP مرتبط با این پروتکل به سازمانها و شرکتها خبر و هشدار داده است.

این مرکز اعلام کرد: با توجه به تهدیدات گسترده ‌اخیر درباره سوءاستفاده و نفوذ از طریق پروتکل‌ RDP از جمله شناسایی آسیب‌پذیری CredSSP و انتشار باج‌افزارهای مختلف از طریق این پروتکل،‌ تمرکز بیشتری در رصد فعالیت‌ها و حملات بر این بستر از طریق شبکه «هانی‌نت مرکز ماهر» صورت گرفته است.

در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرس‌های IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و درحال تلاش برای آسیب‌رسانی و ورود به سامانه ها از طریق این پروتکل هستند.

اطلاع‌رسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IP ها از طریق مالکان آدرس‌های داخلی توسط مرکز ماهر درحال انجام است.

همچنین مکاتبه با مراکز ماهر کشورهای خارجی (CERT های ملی کشورهای خارجی) جهت مقابله در جریان است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای به کاربران تاکید کرده است که برای رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکل‌های دسترسی راه‌دور نظیر telnet و SSH روی شبکه اینترنت اکیدا خودداری کرده و درصورت نیاز، دسترسی به این سرویس‌ها را تنها بر بستر VPN و یا برای آدرس‌های مبداء مشخص و محدود برقرار کنند.

11 توصیه سایبری برای ایام نوروز

سه شنبه, ۲۹ اسفند ۱۳۹۶، ۰۲:۲۹ ب.ظ | ۰ نظر

مرکز ماهر با اعلام ۱۱ اقدام پیشگیرانه برای حوادث احتمالی فضای مجازی در تعطیلات نوروزی، نسبت به نفوذ، سرقت اطلاعات و تخریب در زیرساختهای فناوری اطلاعات و ارتباطات در این ایام هشدار داد.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با انتشار توصیه های امنیتی خطاب به مدیران فناوری اطلاعات سازمانها و شرکتها، نسبت به احتمال بروز حوادث در فضای مجازی در ایام نوروز هشدار داد.

مرکز ماهر تاکید کرد که ایام تعطیل مخصوصا تعطیلات طولانی، فرصتی مناسب برای مهاجمان جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت های فناوری اطلاعات و ارتباطات است. از این رو پیشنهاد می شود تا اقداماتی به شرح زیر برای کسب آمادگی بیشتر و پیشگیری ازحوادث در دستور کار سازمانها و شرکتها قرار گیرد.

۱. تعیین نفرات مسئول جهت پیگیری تهدیدات و مشکلات احتمالی و هماهنگی با مرکز ماهر

۲. سرکشی به سامانه ها، بررسی عملکرد سرورها و گزارش های امنیتی در تعداد نوبت های متوالی در ایام تعطیلات نوروز 

۳. بررسی کامل رخدادنماها (فایل های ثبت وقایع) در سامانه ها و تجهیزات فناوری سازمانها، از جمله سرویس دهنده ها، آنتی ویروس ها، دیواره های آتش و بررسی موارد مشکوک مخصوصا تلاش های ناموفق جهت ورود به سامانه ها، انواع حملات تشخیص و پیگیری شده و دسترسی های موفق در ساعات غیر متعارف

۴. غیرفعال سازی و یا خاموش کردن سامانه ها و خدمات دهنده هایی که در این ایام تعطیلات نیاز به ارائه خدمات آنها وجود ندارد. این موضوع بخصوص در مورد سامانه های مرتبط با اینترنت از اولویت بیشتری برخوردار است.

۵. غیرفعال سازی ارتباطات شبکه غیرضروری به ویژه شبکه های wifi 

۶. محدودسازی و یا قطع پروتکل های دسترسی از راه دور (rdp و ssh ) و در صورت نیاز حفاظت از این قبیل دسترسی ها با بهره گیری از ارتباطات vpn امن

۷. بررسی کیفیت و در صورت نیاز به تغییر دادن کلمات ورود به سامانه ها قبل از آغاز تعطیلات و رعایت نکات امنیتی در تعیین کلمه عبور، تعیین و تنظیم تعداد دفعات برای تلاش ناموفق ورود و مخصوصا دقت کافی در زمان مجاز استفاده از رمز عبور برای دسترسی از راه دور 

۸. به روزرسانی سیستم های عامل، نرم افزارها و سخت افزارهای امنیتی 

۹. تهیه نسخه پشتیبان از سامانه ها و اطلاعات به ویژه پایگاه های داده و تست عملکرد صحیح پشتیبان های تهیه شده قبل از آغاز تعطیلات 

۱۰. هوشیاری و پیگیری اخبار حوزه امنیت اطلاعات به منظور آگاه شدن از تهدیدهای بالقوه و در صورت نیاز انجام اقدامات تامینی در طی مدت تعطیلات  

۱۱.  گزارش کردن هرگونه مورد مشکوک برای دریافت خدمات تخصصی امدادی ویژه از مرکز ماهر با پست الکترونیکی cert@certcc.ir و یا شماره تماس های مندرج در وبسایت این مرکز به آدرس www.certcc.ir و نیز مراکز تخصصی آپا (آگاهی رسانی و پشتیبانی) که در این ایام آماده به کشیک هستند.

میزان حمله کشورهای مختلف به honeypot ایرانی

شنبه, ۲۶ اسفند ۱۳۹۶، ۰۳:۴۳ ب.ظ | ۰ نظر

درصد حملات کشف شده از کشورهای مختلف در یک honeypot ایرانی.

منبع:کانال تخصصی مدیران شبکه و امنیت

رکورد حملات سایبری شکست

سه شنبه, ۱۵ اسفند ۱۳۹۶، ۰۲:۲۹ ب.ظ | ۰ نظر

هفته گذشته سایت مشهور گیت هاب به علت حملات سایبری موسوم به دی او اس با ظرفیت ۱.۳ ترابایت در ثانیه از کار افتاد. اما بعد از ۵ روز این رکورد حمله سایبری هم شکسته شد.

به گزارش خبرگزاری مهر به نقل از رجیستر، موسسه امنیتی آربور نتورکس می گوید گیت هاب روز گذشته حمله ای با ظرفیت بی سابقه ۱.۷ ترابیت در ثانیه را پشت سر گذارده و البته این بار بر خلاف دفعه گذشته از کار نیفتاده، زیرا برای مقابله با حمله دی او اس یادشده تمهیدات کافی را در نظر گرفته بود.

کارشناسان امنیتی بارها در مورد تشدید و گسترش حملات سایبری و به خصوص حملات موسوم به DOS هشدار داده اند. در قالب این حملات درخواست های زیادی برای بازدید از یک سایت به طور ناگهانی و گسترده ارسال شده و تلاش می شود با ایجاد ترافیک مصنوعی دسترسی به سایت مورد حمله مختل شود.

در حالی که تا سال ۲۰۱۲ ظرفیت ترافیک ایجاد شده در حملات دی او اس به ندرت از ۱۰۰ گیگابیت در ثانیه فراتر رفته بود، از سال ۲۰۱۳ شاهد اوج گیری و تشدید حملات دی او اس بوده ایم؛ به گونه ای که ترافیک کاذب ایجاد شده بر روی سایت های هدف در سال ۲۰۱۴ به رکورد بی سابقه ۳۰۹ گیگابیت در ثانیه و در سال ۲۰۱۶ به رقم ۶۵۰ گیگابیت در ثانیه افزایش یافت.

در حال حاضر و در شرایطی که تنها دو ماه از سال ۲۰۱۸ گذشته این رقم به ۱.۷ ترابیت در ثانیه رسیده است. مدیران سایت ها برای مقابله با این حملات باید از سرورهای قدرتمند و امکانات سخت افزاری متعددی استفاده کنند که در توان همه آنها نیست و تداوم این وضعیت می تواند آینده اینترنت را به طور جدی به چالش بکشد.

مجرمان اینترنتی با قرار دادن ویروسی در ۷۴۰۰ وب سایت در سراسر جهان، کنترل رایانه های کاربران مبتلا را به دست گرفتند و پول مجازی استخراج کردند.

به گزارش خبرگزاری مهر به نقل از میل آنلاین، هکرها هزاران وب سایت دولتی انگلیس را هک کرده اند تا بتوانند پول های مجازی مانند بیت کوین را ذخیره کنند.  وب سایت های متعلق به کمیسیون اطلاعات، شرکت وام های دانشجویی و وب سایت NHS اسکاتلند در انگلیس همه به نوعی ویروس مبتلا شدند. طبق آمار حدود ۷۴۰۰ وب سایت در سراسر جهان با این ویروس ها آلوده شده اند.

در نتیجه این حمله، مجرمان با استفاده از رایانه و موبایل های بازدیدکنندگان این سایت ها درآمدزایی کردند.

مجرمان سایبری ویروسی به نام Coinhive را در نرم افزار مورد استفاده در این وب سایت ها قرار دادند. وب سایت ها با استفاده از نرم افزار مذکور برای کاربران نابینا اجازه دسترسی فراهم می کردند. هنگامیکه کاربران روی سایت کلیک می کردند، این ویروس به رایانه های خودشان منتقل می شد.

در مرحله بعد هکرها با استفاده از قدرت پردازش اضافی که دستگاه های کاربران فراهم کرده بود، پول های مجازی مانند بیت کوین را استخراج کردند. در فرایند استخراج (Mining) با حل مسئله های پیچیده ریاضی سکه های دیجیتالی جدیدی به وجود می آیند. هنگامیکه سکه های مجازی به وجود بیایند، می توان آنها را به طور آنلاین ذخیره کرد.

اسکات هلم محقق امنیت سایبری می گوید: این نوع حمله چندان جدید نیست اما بزرگترین نمونه ای است که من تابه حال دیده ام.

از زمان به وجود آمدن پول مجازی، ارزش بیت کوین با ۷۲ درصد رشد به ۱۲۳۰۰ پوند رسیده است.

روش جدید هکرها برای خالی‌کردن عابربانک

دوشنبه, ۹ بهمن ۱۳۹۶، ۰۳:۱۲ ب.ظ | ۰ نظر

سرویس‌های امنیتی در آمریکا به موسسات مالی خود نسبت به توسعه روش جدید هکرها برای پول پارو کردن از دستگاه عابربانک / Jackpotting هشدار دادند.

به گزارش خبرآنلاین، کارشناسان سایت کربس{لینک} تایید کردند اولین پاروکردن پولِ عابربانک در آمریکا را رصد کرده‌اند که هکرهای نخبه، با ترکیبی از بدافزار و نصب «سخت‌افزار خود ساخته» اقدام به پاروکردن مقدار زیادی پول اسکناس از دستگاه عابربانک در یک بار حمله کرده‌اند.{لینک}

این سایت تایید کرد هفته گذشته از یکی از عابربانک‌های مکزیک مقادیر متنابهی اسکناس به شیوه جکپات پارو شده است.

یکی از معروف‌ترین سازندگان عابربانک، کمپانی Diebold Nixdorf نیز ضمن هشدار به سازمان‌هایی که از این نوع دستگاه استفاده می‌کنند، اعلام کرد مدل خاصی از عابربانک به نام Opteva در معرض جکپات قرار گرفته است.

کمپانی NCR Corp، دیگر سازنده دستگاه عابربانک نیز هشداری مشابه به مشتریان خود داده است. پس از ارسال اخطار چند روز پیش سازمان‌های امنیتی و اطلاعاتی آمریکا به نهادهای مالی، گفته می‌شود این هشدارها جدی تلقی شده و ممکن است هکرها از دستگاه‌های عابربانک(خودپرداز) در مکان‌های عمومی سوء استفاده کرده و همه پولهای آن را به ناگهان خالی کنند.{لینک}

اخیرا کمپانی امنیتی روسی به نام Group IB نیز اعلام کرد هکرها در سال 2016 از راه دور و با ارسال بدافزار دست به پاروکردن پول عابربانک‌های اروپایی زدند. حمله مشابه در همان سال در تایلند و تایوان گزارش شد اما اکنون این داستان وارد عابربانک‌های منطقه آمریکا شده و موج این حملات می‌تواند ضررهای جبران ناپذیری به اقتصاد کشورها وارد کند.

کسپرسکی سال گذشته اعلام کرد هکرهای عابربانک به 4 شیوه زیر تاکنون پول پارو کرده‌اند:

1- قطع کردن عابربانک از شبکه و اتصال کامپیوتر خود و جا زدن آن به عنوان مرکز تبادل مالی و شبکه.

2- کارمند داخلی بانک با استفاده از کلید(کد مخصوص) اجازه دسترسی به کابل شبکه را می‌دهد. هکر با یک کلید می‌تواند به چند دستگاه عابربانک در آنِ واحد وصل شده و به عنوان ادمین شبکه پول‌ها را خالی کند.

3- قرار دادن دستگاه عابربانک در حالت تعمیر و دسترسی به جعبه سیاه برای تخلیه پول.

4- یو اس بی آلوده به بدافزار و زدن آن به پورت دستگاه خودپرداز که از طریق یک فرد نفوذی در بانک انجام می‌شود.

گزارش ها نشان می دهد در هنگام استفاده از برخی برنامه ها و سایت های ایرانی، کاربران قربانی بیت کوین ماینر (سواستفاده از توان پردازشی رایانه قربانی برای استحصال بیت کوین) می شوند.
فناوران – در حال حاضر برخی کانال های تلگرامی مدعی هستند که برنامه های کامپیوتری موجود در بازار را یافته اند که هم زمان با نصب برنامه، نرم افزار بیت کوین ماینر روی رایانه قربانی نصب می کند.
در همین حال مرکز ماهر نیز با انتشار اطلاعیه ای این موضوع را رسما تایید و اعلام کرد برخی سایت ها از توان پردازشی رایانه بازدیدکنندگان برای استحصال بیت کوین سواستفاده می کنند.
به نظر می رسد با بالا رفتن شدید قیمت بیت کوین، جرایم در این حوزه رو به افزایش است.


 بیت کوین ماینر روی آنتی ویروس
یک کانال تلگرامی اخیرا با انتشار مدارکی مدعی شده است که برخی فروشندگان آنتی ویروس ESET این محصول را با قیمت بسیار پایین در بازار عرضه می کنند. همین موضوع کنجکاوی صاحب کانال را برانگیخته و او با بررسی فایل های موجود در سی دی این آنتی ویروس، به این نتیجه رسیده است که همراه با ESET، یک نرم افزار دیتاماینر نیز روی کامپیوتر قربانی نصب می شود.
براساس این گزارش آنتی ویروس های ESET در برخی موارد با قیمت تنها 1000 تا 1500 تومان در بازار به فروش می رسند در حالی که قیمت این محصول در سایتی مانند آمازون حدود 32 دلار است. مدیر این کانال تلگرامی گفته است که مدارک لازم را به مرکز ماهر و مرکز توسعه رسانه های دیجیتال نیز ارایه داده اما به دلیل آن که اقدامی روی این موضوع صورت نگرفته است، به ناچار این مدارک را در تلگرام منتشر کرده است.
مسوول بخش صیانت و بازرسی مرکز رسانه های دیجیتال وزارت ارشاد در پاسخ به فناوران در این باره گفت: این ادعاها به ما نیز اعلام شده است و ما نیز برای بررسی بیشتر موضوع را به پلیس فتا گزارش کردیم. اما از آنجا که پلیس فتا پاسخی به ما نداد، ما نیز اجازه ادامه فعالیت به فروشندگان این محصول را دادیم.
وی درباره دلیل ارزانی این محصول گفت: به هر حال این ها لایسنس هایی است که برای چندین کامپیوتر کپی می شوند و شرکت ها در رقابت با هم قیمت را بیش از اندازه پایین می آورند.
در تماس خبرنگار فناوران با مرکز ماهر، مدیران این مرکز حاضر به گفت وگو در این باره نشدند اما یک مقام آگاه در این مرکز به ما اعلام کرد که اصل ماجرا صحیح است و در حال بررسی های بیشتر همراه با پلیس فتا هستند.


 بیت کوین ماینر روی سایت ها
در عین حال مرکز ماهر در اطلاعیه ای با عنوان «هشدار مهم»‫ درخصوص سوءاستفاده برخی سایت ها از توان پردازشی رایانه بازدیدکنندگان استحصال بیت کوین هشدار داد.
در اطلاعیه مرکز ماهر آمده است: مشاهدات اخیر نشان داده است که شماری از سایت های داخلی وخارجی با سوءاستفاده از توان پردازشی رایانه بازدیدکنندگان خود اقدام به استحصال bitcoin یا سایر ارزهای مجازی می نمایند. این رفتار از دید کاربر به صورت افزایش درصد فعالیت پردازنده و کند شدن سرعت رایانه در هنگام مراجعه به صفحات یک سایت مشخص نمایان می شود. البته در این موارد، با بسته شدن صفحه سایت در مرورگر، اضافه بار پردازنده نیز متوقف شده و درواقع آلودگی پایداری روی سیستم عامل صورت نمی پذیرد.
این اطلاعیه افزوده است: این اقدام با قرارگیری اسکریپت های جاوااسکریپت استحصال بیت کوین در صفحات سایت توسط ادمین یا مهاجمین نفوذ کرده به سایت صورت می پذیرد. نمونه هایی از نحوه قرارگیری این اسکریپت ها نیز در تصاویر ارایه شده است.
در پایان این  اطلاعیه آمده است: «لازم است مدیران سایت های داخلی توجه داشته باشند مسوولیت قانونی این اقدامات بر عهده آنها است. همچنین کاربران می توانند در صورت مشاهده چنین سایت هایی موارد را جهت پیگیری به اطلاع مرکز ماهر برسانند».
این در حالی است که مرکز ماهر تاکنون هیچ کدام از سایت های خاطی را معرفی نکرده و حتی درباره برخورد با سایت هایی که جرم شان اثبات شده، توضیحی ارایه نکرده است. 

مسئله «ردپای روسیه» در حملات سایبری در آمریکا و اروپا دیگر به یک موضوع سیاسی تبدیل شده، هرچند اکنون از شدت آن کاسته شده، ولی تاثیر آن بر روابط غرب با مسکو دائمی است.

به گزارش تسنیم، در آغاز سال 2018 «هکرهای روسی» نزد افکارعمومی جامعه جهانی جزو اصلی ترین تهدیدات جهانی، در کنار جنگ هسته‌ای یا تروریسم بین المللی قرار گرفته اند. چنین برداشتی بعد از یک سری جنجالهای سیاسی در آمریکا و اروپا در رابطه با حملات سایبری و ارتباط آنها با نیروهای ویژه اطلاعاتی روسیه بوجود آمده است. روزنامه اینترنتی «گازیتا.رو» در تحلیلی، این مسئله را بررسی کرده که آیا مقامات مسکو که تمامی اتهامات در این باره را تکذیب کرده اند، می توانند در سال 2018 از شر این جنجال سیاسی خلاص شوند؟   

سناتور آمریکایی "ادگاردو کورتس" نماینده ایالت ویرجینیا در اواخر ماه نوامبر گفت که کنگره باید از رای دهندگان آمریکایی در برابر حملات هکرهای روسی دفاع کند، برای اینکه این حادثه روی نتایج انتخابات در ایالات متحده تاثیر خواهد گذاشت.  

نظریه این سناتور  یک ضعف داشت و آن اینکه تمامی صندوقهای رای گیری در آمریکا به اینترنت وصل نیستند تا حملات سایبری بر آنها موثر باشند و تاثیرگذاری بر آنها نیاز به حضور فیزیکی در حوزه های رای دهی دارد که بعید است هر نوع سازمان مخفی فعال در زمینه حملات سایبری، چنین توانایی و منابعی را در اختیار داشته باشد.

هکرها تنها می توانند به پایگاههای اطلاعاتی انتخاباتی حمله کنند که از سوی کمیته های انتخاباتی حزبی، بطور جدی و قابل اطمینانی محافظت می شوند. این در حالی است که نقش «هکرهای روسی» که در جریان انتخابات ریاست جمهوری سال 2016 در آمریکا آغاز و بعد از آن در سطح بالایی مطرح شد که به وضوح ماهیت اصلی این مشکل را نشان می دهد. مباحثات پیرامون این مسئله دیگر جنبه واقع بینانه خود را از دست داده اند. رسانه های گروهی بزرگ آمریکایی در طول سال 2017 هزاران مقاله در باره نفوذ (احتمالی) هکرهای روسی بر جریانات سیاسی آمریکا منتشر کردند. در حالیکه تاکنون حتی یک حمله سایری در ایالات متحده رخ نداده که سرویسهای اطلاعاتی و امنیتی آمریکایی تایید کنند که توسط همتایان روسی آنها انجام گرفته باشد. تنها ادعای مطرح شده در مورد «ردپای روسیه» این است که در زمان حمله به سرورهای حزب دموکرات آمریکا، در مسکو ساعت کاری بوده است.

 

تاثیر درازمدت «هکرهای روسی» بر روابط واشنگتن و مسکو

کارشناسانی که این روزنامه با آنها به گفت‌وگو پرداخته، یادآور شده اند که مسائل سیاسی با جهت گیری به سمت روسیه در آمریکا دیگر روندی غیرطبیعی پیدا کرده است.

"ایوان تیموفییف" مدیر برنامه ای شورای امور بین الملل روسیه یادآور شده است، همه چیز با شکست "هیلاری کلینتون" نامزد حزب دموکرات و پیروزی "دونالد ترامپ" نامزد حزب جمهوری خواه در انتخابات ریاست جمهوری آمریکا آغاز شد که البته ستاد انتخاباتی ترامپ تلاش کرد تا از این قضیه به نفع خود استفاده کند و این مسئله جدی تر شد. البته نتیجه منفی چنین اقدامی تا به امروز گریبان دونالد ترامپ را گرفته و جنجالهای زیادی بر سر ارتباط تیم وی با کرملین براه افتاده که در نهایت هم به کاهش اختیارات وی در زمینه لغو تحریمها، از سوی کنگره آمریکا منجر گردید.   

به گفته این کارشناس، در جریان تحقیقات در آمریکا پیرامون «ردپای روسیه در انتخابات ریاست جمهوری» تاکنون هیچ دلیل و شواهدی در این رابطه که سرویسهای امنیتی روسی سفارش دهنده یا مجری حملات سایبری در جریان انتخابات سال 2016 بوده اند، بدست نیامده. البته ظاهرا این مسئله دیگر اهمیتی ندارد. برای آمریکایی‌ها یک مسئله مهم است و آن اینکه دخالت روسیه یک واقعیت بوده و باید با آن مقابله کرد.  

تیموفییف افزود، موضوع «هکرهای روسی» چندین مرتبه در قانون مربوط به تحریمها علیه روسیه که دونالد ترامپ در تاریخ دوم آگوست آن را امضاء کرد، آمده است. و مسئله مهمتر آن است که این تحریمها دیگر یک قانون مصوبه کنگره بوده و برای مدت زمان طولانی بر روابط روسیه و آمریکا تاثیر خواهد گذاشت. در این قانون، ارگانهای دولتی و شهروندان روسی در فهرست سیاه تحریمها قرار گرفته اند که به عقیده مقامات آمریکایی در حملات سایبری به آمریکا دست داشته اند. نام بسیاری از مقامات نظامی و امنیتی روسیه در این فهرست دیده می شود. ضمن اینکه این فهرست در ماه دسامبر گسترش نیز پیدا کرد.  

 

توجه افکارعمومی آمریکا بر سیاست داخلی ترامپ معطوف شده است

این کارشناس روس معتقد است که در آخر سال 2017 علاقه مندی افکارعمومی آمریکایی به «ردپای روسیه در انتخابات» کاهش یافت، ولی مسلما بطور کامل فراموش نشده و ممکن است هر زمان دوباره مطرح شود. به گفته وی، در حال حاضر توجه رسانه های گروهی آمنریکایی بیشتر روی ابتکارعملهای داخلی دونالد ترامپ معطوف شده که برای جامعه آمریکا اهمیت بیشتری دارد. البته این به منزله آن نیست که تحریمهای ضدروسی به این زودیها لغو یا کاهش پیدا کنند.

به گفته تیموفییف، اگر در سال 2018 ترامپ تلاش کند تا توجه افکارعمومی آمریکا را از مسئله روسیه، یعنی «هکرهای روسی» منحرف سازد، رسانه های گروهی دوباره وی را به «داشتن ارتباط با کرملین» متهم خواهند کرد، برای اینکه رئیس جمهوری آمریکا در این عرصه بیشتر از اینکه متحدی داشته باشد، دارای دشمن است.  

 

ردپای هکرهای روسی در آلمان و فرانسه نیز دیده شده است

در اواخر سال 2016 خطر امکان حملات سایبری توسط سرویسهای اطلاعاتی روسی در دو کشور مهم در اتحادیه اروپا، یعنی آلمان و فرانسه نیز مطرح شد و هدف از آن نیز تلاش برای بی ثبات  کردن اوضاع سیاسی در این کشورها اعلام شد. البته دقیقا مانند وضعیت آمریکا، هیچ مدرکی در خصوص تایید این مسئله ارائه نشده است.

"الکساندر رار" مدیرعلمی انجمن آلمان-روسیه در برلین معتقد است که عامل «هکرهای روسی» در سال 2018 نقش بسیار کمتری در دستور کار اتحادیه اروپا خواهد داشت. به گفته وی، جنجالها پیرامون این موضوع در اتحایده اروپا بیشتر منعکس کننده واکنش سیاستمداران اروپایی به جریانات سیاسی داخلی در ایالات متحده بودند و بطور کلی در اروپا با آرامش بیشتری نسبت به حملات سایبری برخورد می شود.  

الکساندر رار یادآور شده است، با وجود تشدید اختلافات بین بروکسل و مسکو و اتهامات وارده از سوی مقامات ناتو به روسیه، بعید است مبارزه با «هکرهای روسی» به اولویتی برای این سازمان تبدیل شود.

این کارشناس گفت: «در هر صورت ناتو اقدامات خود در نزدیکی مرزهای غربی روسیه را تشدید کرده است. البته دلیل اصلی آن اوضاع داخلی در اوکراین است که همچنان برای مقامات بروکسل دارای اهمیت زیادی است. در سال 2018 هم بعید است این وضعیت تفاوتی یابد و موضوع اوکراین در دستور کار ناتو قرار خواهد داشت و بعید است مسئله هکرهای روسی آگاهانه بار دیگر مطرح شود، مگر اینکه دلیل تازه ای برای پرداختن به این موضوع پیدا شود.»

چه کنیم گرفتار بدافزارها نشویم

جمعه, ۸ دی ۱۳۹۶، ۰۵:۱۵ ب.ظ | ۰ نظر

گشت و گذار در دنیای مجازی همان‌قدر که لذت بخش است گاهی برای ما دردسرهایی هم به بار می‌آورد حال چه کنیم که از بدافزارها کمتر آسیب ببینیم؟

به گزارش فارس، با گسترش استفاده از فضای مجازی و شبه های اجتماعی یکی از تهدیداتی که کاربران را نگران میکند گسترش ویروس ها یا همان بدافزارهاست.

بدافزارها انواع و اقسام مختلفی دارد برخی فایل های شما را نابود میکند برخی اطلاعاتتان را می دزدند و برخی حتی از شما در ازای بازگرداندن اطلاعاتتان باجگیری میکنند.

اما با توجه به اینکه نمی توان از فضای مجازی استفاده کرد و بالاخره بخشی از زندگی ما در این روزگار به این دنیای مجازی تعلق دارد مهم است که بدانیم برای مقابله با بدافزارها چه اقداماتی باید انجام دهیم.

تمام سیستم‌های موجود در شبکه را اسکن کنید تا از عدم وجود هر نوع ویروس، تروجان یا جاسوس‌افزار مطمئن شوید.

مطمئن شوید نرم‌افزار امنیتی شما کلیه راه‌های ورود و خروج شبکه را حفاظت می‌کند. همچنین همیشه مطمئن باشید که نرم‌افزار امنیتی شما از آخرین فایل‌های شناسایی کدهای مخرب، بهره‌مند است.

با استفاده از یک زمانبندی مناسب، همواره از اطلاعات سیستم‌ خود (هفتگی، روزانه و ...) پشتیبان‌گیری کنید.

در سایت‌های مربوط به فروشندگان نرم‌افزارهای امنیتی عضو شوید تا بولتن‌های مربوط به آخرین پچ‌ها و سایر امور و موارد لا‌زم برای شما ارسال شود.

فهرستی از شماره تلفن‌ افرادی که در مواقع بروز مشکل به آنان نیاز دارید، جمع‌آوری نمایید.

از تمام اطلاعات و سیستم‌های مهم خود کپی‌برداری کنید تا در مواقع ضروری و مورد نیاز بتوانید به عنوان پشتیبان از آن‌ها استفاده کنید و آن‌ها را در محیط اصلی بازیابی نمایید.

برای این کار باید مطمئن ‌شوید که به اندازه کافی فضای مورد نیاز برای نگهداری اطلاعات کامپیوترهای آلوده را در دسترس دارید. در این صورت باید کل هارددیسک‌ را به صورت Image کپی بگیرید.

ویکی‌لیکس: کسپرسکی جاسوس است

يكشنبه, ۲۱ آبان ۱۳۹۶، ۰۹:۴۴ ب.ظ | ۰ نظر

سایبربان - امیرحسین شمس: ویکی لیس اسنادی منتشر کرد که در آن نشان می‌دهد آزمایشگاه کسپرسکی برای برخی اهداف مخرب خود از بدافزارها استفاده می‌نماید.
ویکی‌لیکس در والت هشتم (VAULT 8) از افشاگری‌های خود اظهار نمود که اطلاعات و کدهای منبع ای که چندی پیش از سازمان سیا سرقت شد، تبدیل به ابزاری مخرب برای بسیاری از هکرها شده است.
چندی پیش اسنادی از سازمان سیا منتشر شد که در میان آن‌ها اطلاعات مهمی وجود داشت و این اسناد در گزارش ویکی‌لیکس «Hive» نامیده شده‌اند.
اسناد هایو (Hive) خبر استفاده از گواهینامه‌های دیجیتالی جعلی توسط آزمایشگاه کسپرسکی دارد. در این گزارش آمده که برخی گروه‌های هکری و جاسوسی برای پنهانی کاری و اینکه هیچ رد پایی از خود باقی نگذارند از این دامنه‌های جعلی استفاده می‌نمایند؛ که طبق این گزارش کسپرسکی نیز ازاین‌روش برای جاسوسی‌های خود استفاده کرده است.
در بخش دیگری از گزارش ویکی‌لیکس آمده است، که برخی گروه‌های هکری و جاسوسی برای مخفی‌کاری و پنهان ماندن هویتشان از گواهینامه‌های دیجیتالی جعلی استفاده می‌نماید که ازقضا مشخص گردیده که آزمایشگاه کسپرسکی نیز از این قاعده مستثنا نبوده است.
در خبرهای گذشته آمده بود که مقامات آمریکا شدیداً به کسپرسکی بدبین شده بودند و به رفتارهای کسپرسکی و جاسوسی از کاربران اعتراض داشتند که ازاین‌رو استفاده از کلیه محصولات کسپرسکی به‌ویژه محصولات امنیت سایبری این شرکت را برای کلیه کاربران به‌ویژه کاربرانی که در موقعیت‌های حساس مشغول هستند ممنوع کرده بودند.
باوجود تمامی این اعتراض‌ها از مقامات آمریکایی، مسئولان کسپرسکی این ادعاها را بی‌پایه و اساس دانسته و این اعتراضات را قبول نمی‌کردند تا این گزارش که از ویکی‌لیکس منتشر گردیده و پاسخ همه شبهات را داده است.
 
مدیرعامل آزمایشگاه کسپرسکی «Eugene» به این گزارش ویکی‌لیکس در توییتر پاسخی دو پلو داد، به‌عبارتی‌دیگر هم استفاده از گواهینامه‌های دیجیتالی جعلی را تأیید نمود و هم اظهار کرد که اطلاعات کاربران ما ایمن هستند.

ویکی‌لیکس گزارش داد، که سازمان سیا تمامی دامنه‌هایی که در زمینه تجاری فعالیت می‌کند را ذخیره می‌کند حتی سرورهای مجازی «VPS» را طبق کدهایشان شناسایی می‌نماید. همچنین سرورهای سازمان سیا تمامی اطلاعات در و بدل شده در ترافیک « HTTP(S) » و همچنین «VPN» که مخفی می‌باشند.

این سرور قدرتمند سازمان سیا «CIA» را بولت «Blot» به معنای آذرخش یا صاعقه می‌نامند.

طبق ادعای سازمان سیا و گزارش‌های رسیده به ویکی‌لیکس مشخص گردید که برخی گواهی‌نامه‌های دیجیتالی جعلی که از طریق آن‌ها به سیستم‌های کاربران نفوذ شده است متعلق به روسیه بوده و از سمت آن کشور تغذیه می‌شده است.
در این روش سازمان سیا با بررسی ترافیک خروجی از سازمان هدف و بررسی ریزبه‌ریز ترافیک‌های یک سازمان متوجه خروج برخی اطلاعات از طریق گواهینامه‌های دیجیتالی جعلی منتصب به روسیه می‌شود و با بررسی‌های بیشتر مشخص گردیده که از سازمان هدف نیز از تجهیزات کسپرسکی استفاده می‌کرده است.

ظاهراً ادعاهای برخی متخصصان و کارشناسان در مورد سرک کشیدن ضدویروس کاسپرسکی به رایانه‌های کاربران بیراه نبوده و این برنامه امنیتی فایل‌هایی را بدون اجازه جابه‌جا کرده است.

به گزارش  فارس به نقل از انگجت، مدیران ارشد کاسپرسکی حالا در تلاش هستند تا ترس و وحشت ناشی از انتشار این اخبار را مهار کنند و عملکرد ضدویروس این شرکت را واضح و شفاف نشان دهند.

یوگنی کاسپراسکی موسس و مدیر شرکت کاسپرسکی می گوید نرم افزار ضدویروس تولیدی این شرکت برخی فایل ها را که تهدید مستقیم محسوب نمی شوند از روی رایانه های کاربران کپی کرده است.

به عنوان مثال این نرم افزار ابزاری به نام گری فیش را که برای دستکاری منوی استارت ویندوز به کار می رود را پاک کرده و در مورد دیگری عکسی از فردی مظنون به فعالیت های هکری را از رایانه وی به سرورهای شرکت کاسپرسکی منتقل کرده است.

به هر حال این اقدامات به معنای نقض حریم شخصی کاربران این برنامه ضدویروس است و نشان می دهد که این نرم افزار هم قابلیت سوءاستفاده را دارد.

مدیر کاسپرسکی برخی از این ادعاها و البته نه ادعای آخر را تایید کرده ولی از بیان تعداد موارد انتقال مخفیانه فایل های کاربران یا حذف آنها خودداری کرده است. مقامات آمریکایی حدود یک سال است از شرکت ها و موسسات تجاری خود خواسته اند استفاده از نرم افزارهای امنیتی کاسپرسکی را به علت وابستگی به دولت روسیه متوقف کنند؛ ادعایی که توسط مدیر این شرکت رد شده است.

مرکز ماهر نسبت به انتشار جاسوس افزاری به نام دادسرای الکترونیکی (e_dadsara) که با هدف سرقت اطلاعات حساب بانکی کاربران، فعال شده است، هشدار داد.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به بدافزاری و جاسوس‌افزاری است که اخیرا در ایران مشاهده شده است، هشدار داد.

این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشه‌ای حاوی اطلاعات الکترونیکی دادسرا می‌کند. این درحالی است که جاسوس‌افزار مخفی شده در شکل پوشه است.

هدف اصلی این جاسوس‌افزار، سرقت اطلاعات قربانی به خصوص اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم،  محتوای کلیپ‌بورد و برنامه‌های اجرا شده توسط کاربر است. 

نحوه شناسایی سیستم آلوده از طریق لاگ‌های شبکه

مرکز ماهر اعلام کرد: تمامی سیستم‌هایی از شبکه که با آدرس ftp://files.۰۰۰webhost.com/public_html/Kl۳۶z۰fHjrKlemente۶۰۲KA۱/ در ارتباط باشند تحت آلودگی این جاسوس افزار قرار دارند. با توجه به این که ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستم‌های میزبان نیز در نظر گرفته شود.

بررسی وجود آلودگی

۱. وجود پوشه‌ای در مسیر زیر در سیستم:
%AppData%Roaming\Adobe\Flash player\AFCache که در آن فایلی با نام syslog<date>.dat و پوشه‌ای دیگر با نام err قرار گرفته‌اند. 

۲. وجود فایلی با مشخصات زیر در سیستم:
%AppData%Roaming\Adobe\HostService.exe

۳. وجود زیرکلیدی با نام HostService (که مقدار آن مشخصات فایل معرفی شده در قسمت ۲ است) در مسیر رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run

۴.  وجود کلید رجیستری در مسیرهای زیر: 
HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe

نحوه پاک‌سازی سیستم

۱. پایان دادن به پردازه HostService.exe در صورتی که در حال اجرا در سیستم است. 
۲. حذف فایل‌ها و کلید رجیستری ایجاد شده (در صورت وجود) که در قسمت قبلی به آن اشاره شده است. 

بررسی پاک بودن سیستم

۱. نبود مقدار HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService در کلید رجیستری ویندوز.
۲. نبود فایل‌هایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
۳. نبود ارتباطات FTP که در فرایند احراز هویت، از نام کاربری solmondesigner استفاده شده باشد.

توصیه‌های امنیتی برای پیشگیری

۱. خودداری از باز کردن مستندات الحاق شده به ایمیل‌های ناشناس و ...
۲. به‌روز بودن نرم‌افزار ضدبدافزار نصب شده روی سیستم
۳. فعال کردن ویژگی نمایش پسوند فایل‌ها در ویندوز و احتیاط در اجرای فایل‌های دارای پسوند exe