ITanalyze

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با بررسی خانواده بدافزارهای ایرانی «پوشفا»، اعلام کرد: چندین میلیون دستگاه متعلق به کاربران ایرانی به این بدافزار آلوده شدند.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با بررسی بدافزارهای «پوشفا» به عنوان باسابقه‌ترین خانواده‌ بدافزار اندرویدی ایرانی، اعلام کرد: چندین میلیون دستگاه کاربران ایرانی به این بدافزار آلوده شده اند.

این مرکز توضیح داد: بدافزارهای دسته «پوشفا» را شاید بتوان از جمله قدیمی ترین و پرانتشارترین ‫بدافزارهای اندرویدی ایرانی تا به امروز دانست. براساس مشاهدات انجام شده، نخستین بدافزارهای این دسته از مردادماه ۹۶ در پیام رسان تلگرام منتشر شده است. این درحالی است که در همان زمان، تلگرام در بین ایرانیان محبوبیت بیشتری پیدا کرده بود.

متاسفانه آمار دقیقی از میزان آلودگی به این بدافزارها در دسترس نیست؛ اما با توجه به فعالیت مستمر این بدافزار و انتشار روزانه حداقل ۱ نسخه از بدافزار در صدها کانال تلگرامی طی ۱۷ ماه گذشته، انتظار می رود چندین میلیون از دستگاه‌های اندرویدی ایرانی به بدافزارهای «پوشفا» آلوده شده باشند.

تاکنون بیش از ۲۰۰ نمونه از این بدافزار توسط مرکز ماهر شناسایی شده است.

از آنجا که بسیاری از بدافزارهای «پوشفا»، پس از نصب مخفی شده و یا آیکون خود را با آیکون برنامه‌ای مجاز و شناخته شده (مانند گوگل پلی، جی‌میل، گوگل کروم و گوگل مپ) جایگزین می کنند، درصد زیادی از کاربران قادر به شناسایی و حذف بدافزارها نخواهند بود و بدافزار روی دستگاه باقی خواهد ماند.

همچنین برخی از بدافزارهای «پوشفا» از کاربر درخواست مجوز مدیریتی می‌کنند، که در صورت موافقت کاربر، حذف بدافزار برای کاربران عادی به سادگی امکان پذیر نخواهد بود و احتمال آلوده ماندن دستگاه بیش از پیش خواهد شد.

این بدافزار با نامهای مختلفی، از جمله نام برنامه های محبوب، موضوعات روز و یا عناوین مستهجن منتشر شده است. در بین صدها بدافزار منتشر شده، بخش اعظمی از بدافزارها «موبوگرام»  نام دارند. همچنین اغلب بدافزارهای این دسته پس از نصب، بدافزار دیگری به نام «بازار» را دانلود و نصب می‌کنند که آیکونی مشابه با فروشگاه اندرویدی ایرانی «کافه بازار» دارد و پس از نصب مخفی می‌شود.

هدف اصلی بدافزارهای «پوشفا»، کسب درآمد از راه تبلیغات است. در ابتدای فعالیت این بدافزار، فروش عضو به کانالهای تلگرامی و تبلیغات از این دست رواج زیادی داشت. به همین دلیل در نسل‌های اولیه این بدافزار، محور اصلی تبلیغات، تبلیغات تلگرامی بود. اما درحال حاضر، با رشد روزافزون سرویس های ارزش‌افزوده و تزریق بودجه تبلیغاتی از طرف این‌ شرکتها، هدف اصلی بدافزارهای «پوشفا» نیز نمایش تبلیغات سرویس‌های‌ ارزش افزوده، دانلود خودکار و بدون اطلاع برنامه های دارای سرویس ارزش افزوده و در مواردی نیز دانلود بدافزارهای سرویس ارزش افزوده (عضویت در سرویس ارزش افزوده از طریق برنامه ای بدون محتوا) است.

جزئیات بیشتر درباره این بدافزار در سایت مرکز ماهر در دسترس است.

جنجال بر سرافشای اطلاعات خصوصی کاربران فضای مجازی و شیوع حملات سایبری کشورها علیه یکدیگر از جمله مهم ترین رخدادهای سایبری سال ۲۰۱۸ میلادی بود؛ در این فضا باج افزارها نیز رونق گرفتند.

به گزارش خبرنگار مهر، با پیشرفت فناوری و دیجیتالی شدن سیستم های ذخیره اطلاعات و گسترش استفاده از اینترنت در گجت ها و ابزارهای مختلف فناورانه، هر روز اخبار بیشتری از روش های نوین اختلال یا دسترسی به سیستم اطلاعاتی، ارتباطی، صنعتی ، امنیتی، دفاعی و تسلیحاتی کشورها با استفاده از آلودگی های بدافزاری، حملات هک و آسیب پذیری های نرم افزاری به گوش می رسد.

درسال ۲۰۱۸ میلادی امنیت سایبری کاربران در بسیاری از کشورها با حملات هدفمندی در مقیاس ملی، حملات هک و دیفیس و آلودگی بدافزار، حملات و آلودگی ها در حوزه تلفن همراه، آسیب پذیری نرم افزارها و تجهیزات پرکاربر و صفحات جعلی، به خطر افتاد.

تحقیقات دانشگاه آکسفورد نشان می دهد که درسال میلادی که گذشت اکانت های تقلبی به سرعت در سراسر جهان نفوذ و گسترش یافتند و بسیاری از کاربران با فریب نرم افزارهای مخرب و باج گیر، قربانی این روش نفوذ سایبری شدند.

اگرچه تعداد بدافزارهایی که بسیاری از کاربران فضای مجازی در سراسر دنیا را درگیر خود کرده بسیار زیاد است اما در این گزارش نگاهی به نرم افزارهای مخرب، بدافزار و باج افزارهایی داریم که بیشترین دربرگیری را در میان کاربران فضای سایبر داشت.

جولان بدافزارهای مخرب در سیستم های کامپیوتری

- درسالی که گذشت محققان امنیت سایبری بدافزاری کشف کردند که از طریق واتس اپ، تلگرام و اپلیکیشن های دیگر، کاربران ایران، لبنان، مصر ، مراکش و اردن را هدف گرفت. این بدافزار که «زوپارک» نام داشت، هرگونه اطلاعات ذخیره شده از جمله پسوردهای موجود در دستگاه کاربر را سرقت می کرد.

- شناسایی بدافزار میرای (Mirai) که یک کرم رایانه ای غیرتخریب کننده بود و به کامپیوترهای حاوی سیستم عامل لینوکس (به روز نشده) متصل به شبکه، حمله کرده و آن را آلوده می‌کرد، از دیگر تهدیدات سایبری این بخش بود. این بدافزار سعی در تکثیر خود در هارد و شبکه کاربران داشت و اکثر حملات صورت گرفته آن از آدرس های مبدا ایران گزارش شد؛ به گونه ای که در حملات رخ داده حدود ۶۸ درصد حملات از آدرس های کشور ایران و تنها ۳۲ درصد حملات از سایر نقاط جهان ایجاد شد.

- گسترش حملات باج افزاری نسخه چهارم باج افزار خطرناک ‫GandCrab به کاربران در سراسر کشور از دیگر رویدادهای مهم این بخش بود. این باج افزار روش های گوناگونی از نفوذ به سیستم از جمله ضعف در پیکربندی سرویس پروتکل از راه دور (ریموت دسکتاپ -‫RDP) و پیوست هرزنامه ها و اکسپلویت کیت ها را در حملات خود استفاده می‌کرد.

- پژوهشگران Trend Micro نیز چندین برنامه در قالب پلتفرم‌های پیام‌رسان صوتی قانونی را در فروشگاه گوگل پلی (Google Play) مشاهده کردند که دارای قابلیت‌های مخرب بود و در هر نسخه نیز تکامل یافته تر از قبل می شد. محققان اعلام کردند که مجرمان به دنبال فعالیت‌های مخرب از جمله حملات بات‌نت هستند.

- درسال ۲۰۱۸ میلادی ۶۰۰ هزار حمله به یکی از برنامه های کاربردی مدیریت پایگاه داده روی سرویس‌دهنده‌های وب، صورت گرفت که منشا این حملات از کشور سوئد بود. این حمله به پورتهای مربوط به شبکه ها و دوربین های مداربسته صورت گرفت.

- در این سال دو بدافزار از گروه APT کشور کره شمالی شناسایی شدند که فعالیت‌های مخربی از جمله استخراج اطلاعات، نصب بدافزارهای دیگر و ایجاد پراکسی روی سیستم‌های ویندوزی انجام می‌دهند.

- کشف جاسوس سایبری در خاورمیانه که حمله «بیگ بنگ» را با ایمیل جعلی ترتیب داد از دیگر اخبار مهم سال ۲۰۱۸ میلادی بود. این گروه جاسوسی سایبری پیشرفته با نام «بیگ بنگ» منطقه خاورمیانه را هدف قرار داده و با ارسال این حملات با ارسال ایمیل‌های فیشینگ حاوی فایل پیوست مخرب، حملات سایبری علیه نهادهایی در سراسر خاورمیانه، رقم زدند.

- موسسه امنیتی سایمنتک نسبت به افزایش حملات باج افزاری به سیستم های مراقبتهای بهداشتی با تکامل باج افزار SamSam هشدار داد. این باج افزار حملات هدفمندی علیه۶۷ هدف مختلف و چندین سازمان داشت که بیشتر آنها در ایالات متحده آمریکا قرار داشتند. باج‌افزار SamSam که یک تهدید قدیمی بوده و حملات آن در سال ۲۰۱۵ نیز مشاهده شده، سیستم های مراقبت‌های بهداشتی را هدف قرار داده است.

- موسسه امنیتی کاسپراسکای نیز از شناسایی بدافزار پیچیده و خطرناکی خبر داد که با حمایت یکی از دولت های جهان طراحی شد و برای نفوذ به رایانه ها از روترهای اینترنتی استفاده می کرد. این بدافزار که Slingshot نام داشت، حملات خود را به صورت کاملا مخفیانه و لایه لایه انجام داده و ابتدا روترهای MikroTik را هدف قرارداد و سپس حمله به رایانه شخصی را در دو مرحله در سیستم عامل و مدیریت فایل های سیستمی اجرایی کرد. گمانه زنی ها با توجه به انگلیسی بودن بخش عمده کدنویسی ها و روان بودن زبان به کار گرفته شده در این بدافزار حاکی از آن بود که احتمالا یک یا تعدادی از کشورهای عضو گروه پنج چشم (آمریکا، انگلیس، استرالیا، نیوزلند و کانادا) در نگارش این بدافزار مخرب دخالت داشتند.

بدافزارهای کاوشگر ارز دیجیتال به میدان آمدند

سوءاستفاده بدافزاری از سیستم های اطلاعاتی درسال ۲۰۱۸ نگاه پررنگی نیز به بخش های اقتصادی داشت و خبرهای بسیاری از قربانیان بدافزارهای ارز دیجیتال و سرقت اطلاعات کارتهای اعتباری منتشر شد.

بدافزارهای کاوش ارز دیجیتال به دلیل افزایش قیمت ارزهای دیجیتال، از قدرت پردازشگر سیستم کامپیوتری قربانیان استفاده کرده و اقدام به استخراج ارز می کردند. هنگامی که یک دستگاه در معرض این‌گونه بدافزارها قرار می‌گیرد، یک برنامه مخرب در پس زمینه اجرا می‌شود و مصرف انرژی را افزایش می‌دهد که در نتیجه سرعت و عملکرد دستگاه کاهش می یابد.

- برای مثال آزمایشگاه مک آفی ( McAfee ) بدافزاری با نام WebCobra کشف کرد که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده می‌کرد. دامنه آلودگی این بدافزار در سراسر جهان در ماه سپتامبر ۲۰۱۸ بود و بیشترین آلودگی‌ها مربوط به کشورهای برزیل، آفریقای جنوبی و ایالات متحده گزارش شد.

- سرقت اطلاعات میلیون ها کارت اعتباری از طریق نفوذ به شبکه های بانکی و ATM در سراسر جهان توسط یک گروه سایبری از دیگر اخبار مهم این بخش بود. این گروه سایبری، اطلاعات بیش از ۱۵ میلیون کارت اعتباری را از بیش از ۶۵۰۰ ایستگاه پایانه در ۳۶۰۰ کسب وکار با استفاده از بدافزارهایی که از طریق ایمیل‌های فیشینگ ارسال می کردند، به سرقت برده و از این طریق بیش از یک میلیارد یورو از بانک‌های سراسر جهان سرقت کردند.

- باج افزار سایبری «پول زور» که با استفاده از صفحات جعلی درگاه بانکی شاپرک، از کاربران ایرانی یک میلیون تومان باج می گرفت نیز در ایران شناسایی شد.

- از طرف دیگر، انتشار باج افزار «Cybersccp» در کانال های تلگرامی فارسی زبان از دیگر رخدادهای سایبری درسال ۲۰۱۸ بود. این باج‌افزار از خانواده خطرناک شناخته شده HiddenTear با نام Cyber.exe بود که در پوشش برنامه‌ای کاربردی با ادعای ساخت تصویر جعلی کارت ملی، کارت بانکی، شناسنامه و پاسپورت انتشار یافت.

- درسال ۲۰۱۸ یافته های موسسه امنیتی چک پوینت حاکی از آن بود که طراحی و تولید بدافزارهای سرقت ارز دیجیتال که به طور ویژه برای آیفون عرضه می شوند نسبت به مدت مشابه سال قبل ۴۰۰ درصد افزایش یافت. بخش عمده این حملات از طریق مرورگر سافاری و با تلاش برای آلوده کردن این مرورگر صورت گرفت. یکی از مشهورترین بدافزارهایی که بدین منظور طراحی شد Coinhive نام داشت که در میان بدافزارهای سرقت ارزهای دیجیتال با ایجاد ۱۹ درصد آلودگی در رتبه اول است. ایران در بین ۵ کشور اول آلوده به نرم افزار مخرب کوین هایو قرار داشت.

-  کارشناسان بدافزاری کشف کردند که وارد دستگاه های اندروید آمازون شده و به استخراج ارز دیجیتال می پرداخت. این بدافزار که ADB.miner نام گرفت به عنوان اپلیکیشنی به نام Test در «فایر تی وی Fire TV» و «فایر استیکس Fire Stick» های آمازون مشاهده شد و پس از نصب با استفاده از دستگاه، ارز دیجیتال استخراج می کرد.

-  پژوهشگران امنیتی IBM یک بدافزار قدرت گرفته از هوش‌مصنوعی را با نام DeepLocker توسعه دادند که برای هدف قرار دادن قربانی بسیار قدرتمند بوده و قابلیت زیادی در جلوگیری از شناسایی داشت. این کلاس از بدافزارهای مجهز به هوش‌مصنوعی می‌توانند تا رسیدن به قربانی هدف، فعالیت خود را ادامه دهند و پس از رسیدن به مقاصد مدنظر، فعالیت‌های مخرب را متوقف کنند. این‌گونه بدافزارها قربانی هدف را از طریق شناسایی چهره، موقعیت جغرافیایی و تشخیص صدا شناسایی می‌کنند.

اپلیکیشن های جعلی به بازار آمدند

-  محققان امنیتی ۲۹ اپلیکیشن اندرویدی حاوی بدافزار را کشف کرده اند که اطلاعات بانکی کاربران را سرقت می کرد. این اپلیکیشن های جعلی، شامل ۲۹ اپلیکیشن مختلف از برنامه های مدیریت مصرف باتری گرفته تا طالع بینی بود که به بدافزار تروژان مبتلا هستند و پس از نصب روی موبایل کاربر، حتی می توانند آن را از راه دور کنترل کنند. البته پس از آنکه ESET این موضوع را به گوگل اعلام کرد، اپلیکیشن های مذکور از فروشگاه اپلیکیشن های گوگل پاک شد. اما تخمین زده می شود حدود ۳۰ هزار کاربر آنها را دانلود کردند.

- از سوی دیگر ۱۳ اپلیکیشن بازی در پلی استور گوگل کشف شد که حاوی بدافزار بودند. این اپلیکیشن ها قبل از حذف بیش از ۵۸۰ هزار بار دانلود شدند. اپلیکیشن های مذکور به عنوان بازی های شبیه سازی مسابقات رانندگی با خودرو و وانت دسته بندی شده بودند.

- گوگل همچنین ۱۴۵ اپلیکیشن حاوی بدافزار را از فروشگاه گوگل پلی پاک کرد. این بدافزارها پس از اتصال دستگاه اندروید به رایانه، اطلاعات کارت اعتباری و پسوردهای کاربر را سرقت می کردند. برخی از این اپلیکیشن ها چند صد بار دانلوده شدند و این بدافزار، در صورتی که دستگاه اندروید به پی سی ویندوز متصل می شد، اطلاعات شخصی کاربر را جمع آوری می کرد و پس از ورود به رایانه، شماره کارت اعتباری کاربر، پسورد حساب های کاربری او و حتی شماره تامین اجتماعی را مورد سرقت قرار می داد.

- گوگل ۲۲ اپلیکیشن اندرویدی را نیز از فروشگاه پلی استور پاک کرد که علت آن سوءاستفاده این برنامه ها از گوشی های اندرویدی به منظور نمایش تبلیغات ناخواسته بود. این بدافزارهای تبلیغاتی مختلف مواجه شده که تلاش می کنند با ترغیب کاربران به کلیک کردن بر روی خود درآمدی به جیب بزنند.

بدافزارهایی در لباس vpn کاربران را فریب دادند

- درسال ۲۰۱۸ میلادی VPN های مشهور هم آسیب پذیر اعلام شدند. به نحوی که این آسیب پذیری ها اجرای کدهای مخرب را توسط مهاجمان ممکن کرد و باعث شد تا هکرها بتوانند به رایانه های مجهز به سیستم عامل ویندوز حمله کرده و فعالیت های تخریبی متنوعی انجام دهند. از جمله این وی پی ان ها می توان به ProtonVPN و NordVPN اشاره کرد.

- درهمین حال خبر نفوذ جهانی بدافزار «وی‌پی‌ان فیلتر» به دستگاههای متصل به شبکه سبب شد تا حداقل ۵۰۰ هزار دستگاه در ۱۰۰ کشور مختلف مورد آلودگی این نرم افزار مخرب قرار بگیرند.

- از سوی دیگر ۱۱۳ کشور نیز مورد سوءاستفاده بدافزار تجهیزات اندروید قرار گرفتند. این بدافزار از آسیب‌پذیری برخی تجهیزات سیستم عامل اندروید (Android Debug Bridge) در سطح شبکه استفاده می کرد و کشورهایی که میزبان بیشترین IP آلوده بودند تایوان، روسیه و چین اعلام شدند.

- ادامه فعالیت باج‌افزار مخرب «واناکرای» پس از ۱۸ ماه فعالیت مخرب و آلوده کردن هزاران سیستم در سراسر جهان، درسال ۲۰۱۸ نیز باردیگر اعلام شد و بررسی ها نشان داد که نرخ آلودگی این بدافزار از زمان مشابه سال گذشته بیشتر بوده است. این بدافزار در ماه‌های جولای تا سپتامبر ۲۰۱۸ حدود ۷۴ هزار و ۶۲۱ حمله علیه کاربران در سطح جهان انجام داد.

- محققان امنیتی ویروسی به نام «تلگراب» کشف کردند که نسخه دسکتاپ پیام‌رسان تلگرام را هدف گرفته و اطلاعات کاربر را از روی نسخه دسکتاپ تلگرام سرقت می کرد. این ویروس که «تلگراب» نام گرفت طوری طراحی شده تا اطلاعات cache و فایل های کلیدی تلگرام را جمع آوری کند. نسخه اول تلگراب فقط فایل های متنی، اطلاعات مرورگر و کوکی ها را ذخیره می کرد و در نسخه دوم قابلیت جدیدی افزوده شد که به بدافزار اجازه می داد اطلاعات cache دسک تاپ را همراه اطلاعات لاگین (ورود) نیز، جمع آوری کند.

-  مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) نیز بدافزار پیشرفته جاسوسی «Norxa» که سیستم عامل های ویندوز را هدف قرار می داد، کشف کرد. این نرم افزار مخرب پیچیده با هدف جاسوسی و جمع آوری اطلاعات طراحی شد و دارای قابلیت دریافت دستور از سرور C&C و اجرای عملیات های خراب کارانه در سیستم قربانی بود.

- از سوی دیگر یک گروه بدافزاری به نام OilRig حملات مداوم سایبری با استفاده از ابزارها و تکنیک های شناخته شده علیه نهادهای دولتی در منطقه خاورمیانه انجام دادند. در این حملات از ایمیل‌های فیشینگ استفاده شده و قربانی با روش‌های مهندسی اجتماعی، وادار به اجرای یک پیوست مخرب می‌شد.

- سازمان عفو بین الملل نیز اعلام کرد که یک نرم افزار جاسوسی متعلق به رژیم صهیونیستی فعالان حقوق بشر و برخی مقامات خاورمیانه را هدف گرفته است. رژیم صهیونیستی هر روز برای جاسوسی از فعالان حقوق بشر و مقامات دولتی در خاورمیانه و سراسر دنیا از فناوریهای بیشتری استفاده می کند.

- درهمین حال براساس تحقیقاتی که آزمایشگاه Citizen منتشر کرد، نرم‌افزار جاسوسی موبایل پگاسوس (Pegasus) طی دو سال گذشته در ۴۵ کشور جهان مورد استفاده قرار گرفت. این نرم افزار مخرب، یک بدافزار نظارتی است که توسط گروه NSO وابسته به رژیم صهیونیستی توسعه داده شد و قابلیت آلوده سازی دستگاه‌های اندروید و آیفون (ios) را داشت. این نرم‌افزار جاسوسی به صورت اختصاصی به دولت‌ها و آژانس‌های امنیتی فروخته می‌شود.

- پژوهشگران موسسه آکامای، با اعلام خبر نفوذ هکرها به هزاران مسیریاب از طریق UPnProxy ، بدافزار پیشرفته‌ای شناسایی کردند که می‌توانست پیکربندی‌های مسیریاب‌های خانگی را ویرایش واتصالات رایانه ها را آلوده کند.این مرکز شمار سیستم های درخطر را ۱.۷ میلیون سیستم اعلام و تاکید کرد که به حداقل ۴۵ هزار مسیریاب نفوذ شده است. این ویروس باج گیر سایبری که در صورت نداشتن نرم‌افزارهای ضدبدافزار مناسب، اقدام به رمزگذاری فایل و درخواست باج می کرد، در منطقه خاورمیانه نیز فراگیر شد.

کشور سنگاپور نیز درسالی که گذشت شاهد بدترین و بزرگترین حمله سایبری در تاریخ خود بود که در قالب آن حدود ۱.۵میلیون شهروند این کشور و از جمله نخست وزیر مورد حمله قرار گرفتند. در جریان حملات یادشده اطلاعات شخصی مربوط به سوابق پزشکی و دارویی شهروندان این کشور به سرقت رفت.

برخی حملات اینترنتی در فضای سایبری ایران

رخدادهایی که امنیت سایبری کشورها را هدف قرار داد، در سالی که گذشت در ایران نیز نمود بسیاری داشت. به نحوی که طبق اعلام مسئولان، روزانه ۵۰۰ هزار تهدید علیه امنیت سایبری کشور به ثبت رسید.

- یکی از این رخدادها، مربوط به حملات پراکنده از مبدا رژیم صهیونیستی به برخی زیرساخت های ارتباطی ایران بود. عامل حمله شرکت اینترنتی «گلدن لاین» متعلق به رژیم غاصب و مقصد آن به سمت شبکه ارتباطات موبایل بود که این حملات به موقع دفع شد؛ در این زمینه وزیر ارتباطات کشورمان از پیگیری حقوقی آن در مجامع بین المللی از طریق وزارت امورخارجه خبر داد.

- ۳ شرکت فیس بوک، توئیتر و گوگل در یوتیوب، بلاگر و گوگل پلاس، حساب برخی کاربران ایرانی را به بهانه فعالیتهای رسانه ای و ارتباط با شبکه رادیو و تلویزیون رسمی جمهوری اسلامی ایران مسدود کردند.

- درسالی که گذشت آسیب پذیری بحرانی تجهیزات مسیریاب سیسکو، باعث تهدید سایبری در بسیاری از کشورهای جهان از جمله ایران شد. آسیب پذیری سیستم های سخت افزاری تحت شبکه شرکت سیسکو، اختلال در دیتاسنترهای بیش از ۱۵۰ کشور را به همراه داشت و بیش از ۱۶۸ هزار رایانه در نقاط مختلف جهان به همین علت مورد حمله قرار گرفته اند.

- ازسوی دیگر آلودگی تجهیزات مسیریابی (روتر) میکروتیک از جمله رخدادهای سایبری در سطح کشور بود. حمله سایبری درقالب انتشار باج افزار که سرورهای HP را هدف قرارداد نیز قربانیانی در فضای مجازی ایران داشت.

فرجی‌پور جانشین قرارگاه پدافند سایبری کشور با تاکید بر اینکه « امنیت را نمی‌توان از بیگانگان خرید» از موفقیت اسکادای بومی ایرانی و سامانه‌های (SOC) تولید بومی در شرایط عملیاتی خبر داد.

 محمدرضا فرجی‌پور جانشین قرارگاه پدافند سایبری کشور در برنامه گفتگوی فناوری اطلاعات با موضوع ماهیت دفاع سایبری که از شبکه خبر سیما پخش شد با اشاره به برگزاری پنجمین دوره از نمایشگاه صنعت بومی پدافند سایبری با بیان اینکه در این نمایشگاه عمدتا سامانه‌هایی به نمایش گذاشته می‌شوند که در جهت تحکیم و ارتقای امنیت و قابلیت‌های پدافندی در فضای سایبری کشور تولید می‌شوند، افزود: این سامانه‌ها به وسیله شرکت‌های دانش‌بنیان و فناور در این نمایشگاه عرضه می‌شوند برای اینکه توجه مدیران و مسئولان کشور و متخصصین را جلب کنند به اینکه چنین ظرفیت‌ها و توانمندی‌هایی وجود دارد.

وی با بیان اینکه محصولاتی که ارائه می‌شوند عمدتا محصولاتی است که درجهت امن‌سازی فضای سایبری به کار برده می‌شوند یعنی مجموعه‌ای از امن‌افزارها هستند که شامل دیواره‌های آتش، سیستم‌های یکپارچه تهدید، مراکز عملیات امنیتی و... می‌شوند، گفت: این قبیل محصولات درجهت امن‌سازی و تحکیم امنیت در سامانه‌هایی که مبتنی بر فضای سایبری هستند بکار می‌روند.

 فرجی‌پور افزود: دسته دیگر محصولات، محصولاتی هستند که در واقع فضای سایبری ما را به محصولات خارجی وابسته می‌کنند، ما در فضای سایبری کشورمان مخصوصا در بحث ارتباطات از تعداد زیادی سوییچ‌های مسیریابی اطلاعاتی استفاده می‌کنیم که تعدادشان بسیار زیاد است؛ لذا ما باید سعی کنیم این سوییچ‌ها و مسیر‌یابی‌ها که عمدتا غیر‌ایرانی هستند نمونه ایرانی و بومی را تولید کنیم و در کشور بکار بگیریم.

جانشین قرارگاه پدافند سایبری کشور با اشاره به اینکه اغلب محصولاتی که در این نمایشگاه معرفی شدند محصولاتی پرکاربرد درکشور هستند و علاوه بر فرصت‌هایی که ایجاد می‌کنند نمونه‌های غیربومی آنها می‌تواند برای ما تهدید‌آمیز باشد، ادامه داد: چه بهتر که اینها درون کشور به وسیله متخصصین داخلی طراحی و تولید شوند و ما بتوانیم از محصول بومی با اطمینان بیشتر استفاده کنیم.

وی با بیان اینکه دسته دیگر از محصولاتی که در این نمایشگاه ارائه شد برای ارزیابی امنیتی به کار می‌روند، گفت: به هرحال ما اکنون بسیاری از سامانه‌هایمان از مدت‌های قبل برپاشدند، اینها را باید معماری امنیتی‌اش را بازنگری کنیم و درخصوص وجود معماری امنیتی یک ارزیابی انجام دهیم، محصولات جدیدی که وارد بازار می‌شوند چه محصولات غیرایرانی چه محصولات ایرانی را باید از مسیر تحلیل و ارزیابی عبور بدهیم و مطمئن باشیم که این محصولات از نظر امنیتی، از نظر کارایی و از نظر عملکرد آنی هستند که مورد نظر مدیران کشور و متخصصین کشور هستند.

جانشین قرارگاه پدافند سایبری کشور با تاکید بر اینکه دسته دیگر از این محصولات که در این نمایشگاه ارائه شد مربوط  به حفاظت الکترونیکی و الکترومغناطیسی است، در این خصوص توضیح داد: ما علاوه بر تهدیدات سایبری در معرض تهدیدات الکترومغناطیسی هم هستیم و ما باید به نوعی سامانه‌های خودمان را در برابر این دسته از تهدیدها حفاظت کنیم تا انشاءالله اینها دربرابر امواج مخربی که به آنها تابیده می‌شود بتوانند سالم بمانند و به عملکرد خودشان ادامه دهند.

فرجی‌پور ادامه داد: اگر مسئولین کشور خوب به این مورد دقت می‌کردند الان باید کسانی که این محصولات را در کشور طراحی و تولید می‌کردند و به بازار رساندند مورد تشویق بسیار جدی قرار دهند، ما تا حدود ۶ سال پیش شاید یک نمونه از اینها را هم نداشتیم اما در سال‌های اخیر در این شرایط متخصصین جوان ما با تکیه و با تسلط بر دانش و فناوری توانستند این محصولات را ارائه بدهند به نحوی که همین الان ما ۵ نوع اسکادای بومی داریم، اسکادا یک نرم‌افزار کنترل صنعتی است که در سطح وسیعی فرایندهای صنعتی را در کشور کنترل می‌کند و سال‌ها این محصول در انحصار چند شرکت خارجی مشخص بود.

جانشین قرارگاه پدافند سایبری افزود: الان ما ۵ نوع محصول بومی داریم و یک و دو نوع از اینها درسیستم‌های کشور نصب شده است و خوشبختانه بعد از چندماه کارکرد خیلی خوب عملکرد داشته است، درمورد (اس او سی) Security Operation Center  هم به همین ترتیب، سامانه‌های مراکز عملیاتی امنیت سامانه‌های پیچیده‌ای هستند، فناوری بسیار پیچیده‌ای دارند اما باید نوید بدهم که خوشبختانه دانشمندان کشور ما این سامانه‌ها را در کشور طراحی کردند و الان برخی از (اس او سی)‌ های بومی در دستگاه‌های حساس کشور نصب شده است و دارد به خوبی عمل می‌کند و حتی بهتر از نمونه‌های خارجی از خودش کارایی نشان می‌دهد.

 فرجی‌پور با بیان اینکه من فکر می‌کنم ما عادت کرده‌ایم به استفاده از محصول خارجی که دم‌دست بوده و خریداری و استفاده کرده‌ایم، گفت: اما کمتر اعتماد به محصول بومی وجود داشته است، ما یک مقدار نسبت به ظرفیت‌های درون کشور خودمان دیرباور هستیم و  تا این نگاهمان عوض نشود این باورمان نسبت به توان و ظرفیت دانشمندان و متخصصان کشورمان تغییر نکند هیچ‌گاه اعتماد نمی‌کنیم.

وی ادامه داد: ما موارد متعددی داشته‌ایم که محصولاتی را ارائه کردیم جلسات متعددی برگذارشده برای آنکه به جای استفاده از محصول خارجی از محصول بومی استفاده بشود اما به صراحت برخی از مدیران و کارشناسان در جلسات می‌گویند نمی‌شود اعتماد کرد به محصول بومی! چرا؟ چون تابحال جایی استفاده نشده که ما بتوانیم ببینیم عملکردش چه بوده است! خب بالاخره این از کجا باید شروع کند؟ یا در مناقصات می‌نویسند دراین مناقصه شرط این است که محصول در ۵ کشور بین‌المللی نصب شده باشد! خب وقتی یک تولیدکننده داخلی هنوز سابقه کار ندارد در این مناقصه نمی‌تواند بااین شرایط شرکت کند، متاسفانه مناقصات جوری تنظیم می‌شوند که محصولات خارجی بتوانند ارائه شوند و محصولات بومی نتوانند درصحنه ارائه شوند.

فرجی‌پور با تاکید بر اینکه  انتظار از محصولات داخلی فوق‌العاده بالا است، گفت: حتی مواردی مشاهده کرده‌ام آنقدر که از محصول داخلی انتظار دارند از محصولات خارجی انتظار ندارند، حتی مواردی بوده است که محصولات خارجی اشکالاتی در کشور ما به وجود آورده‌اند، مواردی بوده از مسیر محصولات خارجی که سال‌ها در کشور ما مورد استفاده قرار می‌گرفته حملات سایبری انجام شده ولی کسی اعتراضی نمی‌کند اما اگر یک محصول داخلی در جایی به کارگیری شود یک اشکال از خود نشان دهد خواهیم دید که نامه‌های متعددی منتشر می‌کنند که این محصول مشکل دارد. من حرفم این است هر ایرانی باید محصول بومی و ایرانی را از خودش بداند و اگر اشکالی در آن می‌بیند تذکر دهد مثل پدری که به فرزندش تذکر می‌دهد که این اشکال را شما داری باید رفع کنی؛ هر ایرانی باید در رفع اشکالات نقش داشته باشد.

وی در بخش پایانی این مصاحبه با اشاره به اینکه امنیت مقوله‌ای نیست که ما بتوانیم مثل تجهیزات سخت‌افزاری و نرم‌افزاری که خریداری می‌کنیم از خارج خریداری کنیم؛ گفت: امنیت قابل خریداری نیست و اساسا برخی از مارک‌های مشهوری که سال‌های سال در کشورمان خریداری می‌شوند اینها هیچ‌وقت هیچ تعهدی درخصوص امنیت سامانه‌هایشان در برابر تهدیدات سایبری نداشته‌اند، الان یک چندسالی است که بخاطر ملاحظات و الزاماتی که سازمان پدافند غیرعامل کشور با جدیت آنها را وضع کرده و از طریق کمیته داخلی پدافند غیرعامل ابلاغ شده برخی از این شرکت‌های خارجی بخاطر اینکه بازار کشورمان را از دست ندهند به فکر این افتاده‌اند که یک فکری به حال امنیت بکنند و تحت فشار این کار را کرده‌اند و گرنه در سال‌های گذشته هیچ تعهدی در خصوص امنیت نداشته‌اند و من به شما می‌گویم که حتی یک سری محصولاتی که در سطح ارتباطی کشور هم به ما فروخته‌اند نه تنها امنیت ندارد بلکه قابلیت‌هایش را محدود کرده‌اند تا کشور ما نتواند در استفاده از آنها صرفه و صلاح اقتصادی داشته باشد.

مرکز مدیریت راهبردی افتای ریاست جمهوری از ادامه فعالیت باج‌افزار مخرب واناکرای خبر داد و اعلام کرد: نرخ آلودگی این بدافزار از زمان مشابه سال گذشته بیشتر است.

به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، باج‌افزار واناکرای (WannaCry) ، پس از ۱۸ ماه فعالیت مخرب و آلوده کردن هزاران سیستم در سراسر جهان، همچنان فعال و نرخ آلودگی آن از زمان مشابه در سال گذشته بیشتر است.

گزارش‌های سه ماهه سوم آزمایشگاه کسپرسکی نشان می‌دهند که باج‌افزار WannaCry دارای بالاترین رتبه در بین بدافزارهایی است که فایل‌های کاربران را رمزگذاری می‌کنند. این بدافزار در ماه‌های جولای تا سپتامبر حدود ۷۴ هزار و ۶۲۱ حمله علیه کاربران در سطح جهان انجام داده، با این حال تعداد کل حملات همه باج‌افزارها در سال جاری کمتر از ۲۰۱۷ بوده است.

باج‌افزار WannaCry با استفاده از اکسپلویت EternalBlue گسترش یافته است. مایکروسافت برای جلوگیری از این بدافزار، وصله‌ای برای آن ارائه کرد، اما بسیاری از سازمان‌ها همچنان به روزرسانی را اعمال نکرده‌اند.

دیگر باج‌افزار گسترش یافته که در این گزارش آمده، GandCrab است که ۱۲ درصد از کل بررسی‌های باج‌افزاری را به خود اختصاص داده است. Cryakl، PolyRansom، Shade وCrysis نیز سایر بدافزارهای رمزکننده فایل‌ها هستند که بیشترین تعداد آلودگی را داشتند.

در مجموع آزمایشگاه کسپرسکی ۲۵۹ هزار و ۸۶۷ تلاش برای حملات باج‌افزاری علیه قربانیان را شناسایی کرد که ۱۳۲ هزار و ۸۱۰ مورد آن‌ها تنها در ماه سپتامبر اتفاق افتاده است.

مرکز افتا اعلام کرد: با اینکه تعداد حملات باج‌افزاری در حال کاهش است، اما همچنان خطری جدی به شمار می‌رود و توصیه می‌شود تا با اعمال به روزرسانی‌ها، استفاده از ابزارهای امنیتی و پشتیبان‌گیری دوره‌ای از فایل‌ها، جهت کاهش خطرات این گونه حملات اقدام شود.

به گزارش مهر، سال گذشته باج افزار واناکرای توانست طی یک حمله جهانی، بیش از ۲۳۰ هزار رایانه در ۱۵۰ کشور جهان را آلوده و اقدام به باج‌گیری کند.

مهراد کریم‌نیایی - دو سال قبل بود که دادستانی کل کشور پیگیر موضوع ضرر و زیانی شد که استاکس‌نت به ایران وارد آورد و خواستار محکومیت این اقدام در مجامع بین‌المللی شد. موضوعی که همان زمان مقام معظم رهبری نیز بر آن تاکید و در دیدار با کارگزاران نظام در بیست و پنجم خرداد‌  95 با اشاره به حمله سایبری آمریکا به تاسیسات هسته‌ای ایران گفته بودند: «این استاکس‌نت که سه سال قبل از این فرستادند داخل تشکیلات سایبری جمهوری اسلامی، می‌توانست تمام تشکیلات [هسته‌ای] ما را از بین ببرد؛ این کار، جنایت است؛ یعنی یک جنایت شناخته‌ شده بین‌المللی است و می‌توان گریبان صاحبان این جنایت را در دادگاه‌های بین‌المللی گرفت؛ متاسفانه ما نگرفتیم.»

کمی بعد از سخنان رهبر انقلاب، عبدالصمد خرم‌آبادی، معاون وقت دادستانی کل کشور از سازمان انرژی اتمی خواست که دلایل و مستندات وقوع حمله توسط استاکس‌نت را اعلام کند تا نسبت به شکایت در مجامع بین‌المللی اقدامات لازم به عمل آید.

در واقع مدتی توپ در زمین سازمان انرژی اتمی بود تا آنکه پس از مدتی این سازمان اعلام کرد که پاسخ دادستانی را در این مورد داده است؛ اما با وجود گذشت بیش از دو سال از این ماجرا همچنان روشن و مشخص نیست که دادستانی چه کاری انجام داده و چه اقداماتی در مجامع بین‌المللی برای محکومیت استاکس‌نت صورت گرفته است.

اهمیت این موضوع وقتی بیشتر می‌شود که همین هفته قبل، سردار جلالی، رییس سازمان پدافند غیرعامل کشور اعلام کرد، اخیرا نسل جدیدی از ویروس استاکس‌نت را که به‌صورت چندتکه بود و به‌صورت غیرفعال قصد ورود به سامانه‌های ما را داشت، کشف کردیم.

از سوی دیگر کشور ما همواره یکی از قربانیان اصلی جنگ‌ها و تبعیض‌ها و تحریم‌های سایبری محسوب می‌شود و با وجود ناکارآمدی مراجع و نهادهای بین‌المللی، اما موضع منفعلانه ایران می‌تواند باعث تشدید بروز حملات سایبری علیه کشور شود و از سوی دیگر این جنایات نیز پنهان مانده و به فراموشی سپرده شود.

تاکید بر جرم بودن حمله استاکس‌نت

"حمله سایبری به تاسیسات اتمی کشور بر اساس مواد 737 و 739 قانون مجازات اسلامی، (مواد 9 و 11 قانون جرایم رایانه‌ای)، ماده 17 قانون سازمان انرژی اتمی ایران، قانون مجازات اخلالگران در صنایع و معاهدات بین‌المللی مربوط به استفاده صلح‌آمیز از انرژی هسته‌ای جرم محسوب می‌شود."

این بخشی از اظهارات عبدالصمد خرم‌آبادی معاون سابق دادستان کل کشور در سال 95 بود.

تمام کشورهای پیشرفته دنیا تخریب و اخلال در سامانه‌های کامپیوتری از طریق ویروس و نرم‌افزارهای مخرب را جرم‌انگاری کرده‌اند، بنابراین از دیدگاه حقوقی زمینه پذیرش چنین دعاوی در مراجع قضایی خارجی و بین‌المللی وجود دارد و مسوولان ذی‌ربط باید این موضوع را با سرعت و اهتمام بیشتری به سرانجام برسانند. با این وجود تا لحظه سازمان انرژی اتمی، دادستانی و دولت هیچ‌یک اقدامی مشخص برای محکومیت حمله استاکس‌نت به تاسیسات اتمی کشور در مجامع بین‌المللی به انجام نرسانده‌اند.

وظیفه پیگیری حمله با دادستانی یا انرژی‌اتمی؟

ششم دی ماه 95 بود که عبدالصمد خرم‌آبادی، در رابطه با مطالبه رهبر معظم انقلاب مبنی بر پیگیری حمله سایبری استاکس‌نت به تاسیسات و تشکیلات هسته‌ای جمهوری اسلامی به اظهار نظر پرداخته و اعلام داشت: از نظر حقوقی در مواردی که حقوق عمومی مورد تعرض قرار می‌گیرد، در وهله اول وظیفه طرح دعوا برعهده نهادی است که اموال عمومی مورد تعرض را در اختیار دارد و دادستانی کل کشور در اجرای ماده 290 قانون آیین دادرسی کیفری به عنوان مدعی‌العموم و مدافع حقوق عمومی مکلف به پیگیری و نظارت بر روند احقاق حق از طریق مراجع ذی‌صلاح داخلی، خارجی یا بین‌المللی است.

بر همین اساس دادستانی کل کشور از سازمان انرژی اتمی خواست که به وظیفه خود درخصوص طرح دعوا اقدام کند و دادستانی موضوع حمله سایبری به تاسیسات اتمی کشور را با جدیت پیگیری خواهد کرد.

پاسخ سازمان انرژی اتمی به دادستانی

در این مقطع اعلام شد که سازمان انرژی اتمی پاسخ نامه دادستانی کل کشور را داده و اعلام کرده است که در رابطه با این موضوع جلسات متعددی در معاونت حقوقی و امور بین‌الملل آن سازمان تشکیل شده و مذاکراتی نیز با نهادهای ذی‌ربط به‌عمل آمده است. بر همین اساس مقرر شده سازوکارهای لازم برای تعیین نحوه اقامه دعوی درمراجع قضایی بین‌المللی و داخلی در کمیته‌ای با محوریت وزارت امورخارجه و مشارکت سازمان انرژی اتمی، مرکز امور حقوقی ریاست‌جمهوری و دبیرخانه شورای‌عالی امنیت ملی مشخص شود و نتیجه را به دادستانی کل کشور اعلام ‌کند.

براساس اعلام دادستانی، سازمان انرژی اتمی در این نامه پاسخ داده که قرار شده یک سری اقدامات با کمک معاون حقوقی ریاست‌جمهوری و وزارت امور خارجه انجام و نتیجه نهایی به دادستانی کل کشور اعلام شود.

با این وجود هرچند دو سال از این اظهار نظرها می‌گذرد اما همچنان خبری از محکومیت حمله استاکس‌نت در مجامع بین‌المللی و طرح دعوی حقوقی از سوی مسوولان کشور نشده است.

شناسایی نسل جدید استاکس‌نت در ایران

در نهایت همان‌طور که ذکر شد در حالی که طرح شکایت از حمله استاکس‌نت به تاسیسات هسته‌ای کشور همچنان به جایی نرسیده اما هفته گذشته رییس سازمان پدافند غیرعامل کشور با بیان اینکه تهدید نظامی در انتهای لیست دشمن است، اعلام کرد نسل جدیدی از ویروس‌ استاکس‌نت را کشف کرده‌اند.

آن‌طور که سازمان پدافند غیرعامل اعلام کرده ویروس استاکس‌نت جدید به‌صورت چندتکه بود و به‌صورت غیرفعال قصد ورود به سامانه‌های کشور را داشته که سازمان پدافند غیرعامل موفق به کشف آن شده است.

بر اساس این گزارش در حالی که بیش از هفت سال از پیدا شدن ویروس استاکس‌نت می‌گذرد و بدافزارهایی نظیر فلیم (شعله) نیز با هدف آسیب به زیرساخت‌های کشور وارد فضای مجازی شده‌اند همچنان اقدامی حقوقی و بین‌المللی برای محکومیت این دست اقدامات صورت نگرفته است. (منبع:عصرارتباط)

مرکز ماهر بار دیگر نسبت به مشاهده گسترده آسیب‌پذیری در پروتکل SMB که امکان اشتراک گذاشتن دسترسی به فایل ها را ممکن می کند و افزایش حملات به سمت این سرویس، در سطح کشور هشدار داد.

به گزارش خبرنگار مهر، پروتکل SMB (Server Message Block Protocol ) یا بلاک پیام سرور، یک پروتکل ارتباطی سرویس گیرنده سرور است که برای به اشتراک گذاشتن دسترسی به فایل ها، چاپگرها، پورت های سریال و سایر منابع در شبکه استفاده می شود. همچنین می تواند پروتکل های مبادله ای را برای ارتباطات بین پردازش حمل کند.

پروتکل SMB به عنوان یک پروتکل درخواست پاسخ هم شناخته می شود. به این معنی که چندین پیام را بین سرویس گیرنده و سرور، برای ایجاد یک ارتباط، برقرار می کند.

از این رو چند روز گذشته، مرکز ماهر نسبت به مشاهده گسترده آسیب‌پذیری قدیمی در پروتکل SMB در سطح کشور که امکان اشتراک گذاری دسترسی به فایل ها را ممکن می کند، هشدار داد. 

این مرکز اعلام کرد: در اواخر سال ۱۳۹۵ یک آسیب‌پذیری جدی با سطح خطر بحرانی با نام EternalBlue در پروتکل ‫SMB افشاء شد که نسخه‌های مختلف سیستم عامل ویندوز را تحت تاثیر قرار می‌داد. از آن زمان تا به حال انواع کدهای سوء‌استفاده و ‫باج‌افزار و جاسوس‌افزار و غیره از این آسیب‌پذیری سوء‌استفاده کرده اند.

بررسی‌های مجدد مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) نشان‌دهنده وجود تعداد زیاد آدرس های دارای آسیب پذیری مذکور است.

امروز نیز این مرکز اعلام کرد: پیرو اطلاعیه قبلی درخصوص وجود آسیب‌پذیری سرویس ‫SMB (درگاه ۴۴۵) در سطح کشور، بررسی‌های انجام شده نشان­ دهنده افزایش سطح حملات روی این درگاه است.

این درگاه به صورت پیش‌فرض در پروتکل SMB مورد استفاده قرار می‌گیرد که در گذشته مورد هجوم حملات بسیاری بوده است. آنچه در این ارتباط مورد توجه است، افزایش حملات در سطح کشور از مبدا داخل ایران است که می‌تواند گویای افزایش آلودگی در کشور باشد؛ از این رو لازم است تا پاکسازی سیستم‌های آلوده داخلی مورد توجه قرار گیرد.

وضعیت حملات ثبت شده از ابتدای مهرماه، نشان می دهد که ۱۰۳ هزار و ۴۴۲ حمله به این سرویس در ایران صورت گرفته و سهم ایران از کل حملات ثبت شده بیش از ۱۴ درصد است.

بر اساس گزارش منتشر شده از ‫کسپرسکی اخیرا گروه shadow broker ابزاری با نام DarkPulsar را ارائه کرده‌اند که با بهره‌گیری از این آسیب‌پذیری، اجازه کنترل راه‌دور را برای مهاجم فراهم می‌کند.

علاوه بر آن دو چارچوب پیچیده دیگر با نام‌های DanderSpritz و FuzzBunch نیز توسط این گروه در سال ۲۰۱۷ ارائه شده که دارای قابلیت تحلیل میزبان قربانی، آسیب‌پذیری‌های قابل اکسپلویت و سایر مولفه‌های مانیتور میزبان قربانی هستند.

مرکز ماهر از افزایش چشمگیر پیام‌های فریبنده‌ در فضای مجازی با موضوع ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه خبر داد.

به گزارش خبرگزاری فارس، مرکز ماهر هشدار داد: مشاهدات اخیر حاکی از افزایش چشمگیر پیام‌های فریبنده‌ای است که در فضای مجازی برای ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه (عموما #‫بیت‌کوین) منتشر می‌شوند. این مجموعه‌ها نوعا از ساختار بازاریابی هرمی نیز استفاده می‌کنند تا از ارتباطات افراد برای افزایش گستره نفوذ خود بهره ببرند. مطالعات نشان می‌دهند که ادعاها و وعده های مطرح شده در اغلب موارد کذب بوده و این ابزارها علاوه بر احتمال آسیب زدن به سخت افزار رایانه‌ها می‌توانند سرمنشا مخاطرات جدی امنیتی باشند. به این ترتیب به کاربران و مدیران به طور جدی توصیه می‌شود که از عضویت در این شبکه ها پرهیز و ممانعت نمایند. 

بررسی‌های انجام شده نشان می‌دهد که برخلاف ادعاهای مطرح شده، از منظر اقتصادی و با توجه به انرژی الکتریکی صرف شده، انجام این کار با استفاده ازرایانه‌های معمول، حتی در صورتی که گرداننده شبکه هرمی و افراد بالادست چیزی از عایدات طلب نکنند، اقتصادی نخواهد بود. به همین دلیل در سطح جهان، انجام این امور به صورت قانونی (و نه با سرقت منابع دیگران) با تکیه بر سخت‌افزارهای خاص منظوره و با اتکا به پردازنده های گرافیکی پیشرفته انجام می‌گیرد.
ذکر این نکته حایز اهمیت است که با بیشتر شدن بار محاسباتی پردازنده‌ها برای استخراج ارزهای رمزپایه در رایانه‌های معمول و افزایش مصرف توان، دمای سیستم افزایش خواهد یافت و این خود سبب کاهش دوام دستگاه و احیانا آسیب به آن می‌شود. بنابراین حتی برای آزمایش نیز تصمیم به ورود به این شبکه‌های هرمی منطقی نیست.
همچنین اگرچه به دلیل تعدد این ابزارها فرصت تحلیل رفتاری همه آنها موجود نبوده است، اما نکته نگران‌کننده اصلی در این خصوص این است که با تکیه بر هر یک از روش های معمول برای انجام این امور به صورت هرمی ( اجرای برنامه‌های اجرایی ارایه شده یا نصب افزونه‌های معرفی شده در مرورگرهای وب) کاربر و شبکه میزبان او در معرض دسترسی فراهم آورنده این ابزارها یا سایر مهاجمین قرار می‌گیرند و این خود می‌تواند سرآغاز حملات جدی‌تر باشد. 
در خصوص کاربرانی که مالک رایانه یا بستر شبکه متصل به آن نیستند، عضویت در این شبکه‌های هرمی می‌تواند توام با جرایمی چون سوء استفاده از منابع عمومی یا خیانت در امانت نیز باشد.
به این ترتیب به کاربران و مدیران، مجددا توصیه اکید می‌شود که از ورود به این شبکه‌ها و نصب ابزارهای مرتبط با آنها پرهیز و ممانعت جدی به عمل آورند.

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شیوع باج افزار «پول زور» که با استفاده از صفحات جعلی درگاه بانکی شاپرک، از کاربران یک میلیون تومان باج می گیرد، هشدار داد.

به گزارش خبرگزاری مهر، مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری اعلام کرد: باج‌افزار PooleZoor با پشتیبانی از زبان فارسی و فیشینگ کردن شاپرک از کاربران باج‌های یک میلیون تومانی می‌گیرد.

باج‌افزار پول زور فایل‌های قربانی را با استاندارد AES رمزگذاری می‌کند و برای بازیابی فایل‌های از دست‌رفته، مبلغ ۱۰ میلیون ریال درخواست می‌کند؛ این باج افزار ، پسوند .poolezoor را به فایل‌های قربانی اضافه و آن‌ها رمزگذاری می‌کند.

نکته قابل توجه در این باج‌افزار، نحوه پرداخت است. روش کار این باج افزار به این‌گونه است که مهاجم آدرسی فیشینگ را که به درگاه پرداخت شاپرک شبیه است، ارائه می‌کند در این درگاه دروغین، هیچ پرداختی انجام نمی‌شود اما  مهاجم به اطلاعات کارت و حساب بانکی قربانی دست می‌یابد.

این باج‌افزار ممکن است از طریق پیکربندی محافظت‌نشده RDP، ایمیل‌های اسپم و پیوست‌های مشکوک، فایل‌های دانلودی، بات‌نت‌ها، اکسپلویت‌های موجود، تزریق وب، بروزرسانی‌های جعلی و فایل‌های نصبی آلوده منتشر شده باشد.

باج‌افزار PooleZoor ، فایل‌های اسناد آفیس، OpenOffice، PDF، فایل‌های متنی، پایگاه‌های داده، فایل‌های رسان‌های تصویر، موسیقی و ویدئو، فایل‌های فشرده و غیره را رمزگذاری می‌کند.

در آدرس اصلی درگاه پرداخت شاپرک ( https://shaparak.ir ) از پروتکل HTTPS  بعنوان ارتباطی امن و محافظت شده، استفاده شده است و در نوشتن لاتین کلمه شاپرک با شاپرک قلابی تفاوت وجود دارد.

کارشناسان مرکز مدیریت راهبردی افتای ریاست جمهوری توصیه می‌کنند به هیچ عنوان به آدرس پرداخت این باج افزار مراجعه نکنید و از آنتی‌ویروس‌های معتبر برای جلوگیری از نفوذ و یا پاکسازی آن استفاده کنید.

رژیم صهیونیستی فقط به حمله های نظامی معمول بسنده نمی کند. این رژیم در سال های اخیر با انتشار ویروس ها و ابزارهای جاسوسی متعددی، فضای سایبری را نیز نا امن کرده است.

به گزارش خبرنگار مهر، هنگامیکه سخن از حمله های سایبری به میان می آید، بیشتر افراد به این نکته اشاره می کنند که هکرها اصولا در روسیه یا چین هستند و هدف آنها دزدیدن اطلاعات شخصی برای سود مالی یا دریافت باج است. اما هدف مهم تر از اینها، حمله های جاسوسی و خرابکاری است. در همین زمینه رژیم صهیونیستی بارها اعلام کرده از اسلحه های سایبری استفاده می کند. این رژیم غاصب هرچند نوع دقیق اسلحه ها را اعلام نکرده اما تا به حال حملات سایبری و بدافزارهای متعددی را منتشر کرده است.

رژیم صهیونیستی واحد اطلاعاتی به نام «واحد ۸۲۰۰»  تشکیل داده که مسئول ساخت برخی از بدافزارهای مشهور قرن بیست و یکم هستند. این واحد از جوانان ۱۸ تا ۲۱ ساله تشکیل شده است. درهمین راستا برنامه ای خارج از مدرسه برای نوجوانان ۱۶ تا ۱۸ سال برگزار می شود که به آنها برنامه نویسی و هک کردن را می آموزد. نیروهای واحد نیز از بین شرکت کنندگان همین کلاس ها انتخاب می شوند.

این درحالی است که به نوشته روزنامه فرانسوی لوموند این واحد در یک مقر در Negev فعالیت می کند و قادر به رصد تماس های صوتی، ایمیل و وسایل ارتباطی دیگر در سراسر خاورمیانه، اروپا، آسیا و آفریقا و همچنین ردیابی کشتی ها است.

 رژیم صهیونیستی همچنین در تمام سفارت های خود در سراسر جهان مقرهای شنود دارد و از طریق  کابل های زیر دریایی نیز شنود می کند.

 همچنین به نوشته روزنامه نیویورک تایمز رژیم صهیونیستی مقرهای شنودی در فلسطین دارد. به طوریکه در ۲۰۱۴ میلادی ۴۳ نفر از نیروهای این واحد با امضای نامه ای اعلام کردند تجهیزات نظارت الکترونیک این واحد، اطلاعات خصوصی مردم فلسطین را جمع آوری می کند.

همکاری با آمریکا برای ساخت استاکس نت

فعالیت های مجرمانه رژیم صهیونیستی فقط به فلسطین منتهی نمی شود. گزارش های مختلفی که در رسانه های متعدد منتشر شد، نشان می دهد ویروس استاکس نت نیز توسط رژیم صهیونیستی ساخته شد. به نوشته رونامه گاردین این ویروس در ۲۰۱۰ میلادی  بسیاری از رایانه های صنعتی از جمله رایانه های تجهیزات هسته ای ایران را هدف قرار داد. کارشناسان معتقدند آمریکا و رژیم صهیونیستی این بدافزار را به وجود آوردند. سرگی اولاسن نخستین بار ویروس استاکس نت را کشف کرد این ویروس که از طریق  ویندوز منتشر می شود، سیستم های کنترل صنعتی شرکت زیمنس را هدف گرفته بود.

ویروس مشابه استاکس نت با هدف جمع آوری اطلاعات

یکی دیگر از ویروس ها، «دوکو» مجموعه ای از بدافزارهای رایانه ای است که در سپتامبر ۲۰۱۱ کشف شد. این ویروس به استاکس نت مرتبط بود. دانشگاه اقتصاد و فناوری بوداپست در بلغارستان این تهدید را کشف کرد. این تهدید  شباهت زیادی به استاکس نت داشت اما هدف آن متفاوت بود. شرکت Symantech درباره این ویروس تحقیقاتی انجام داد و معتقد بود این ویروس توسط سازندگان استاکس نت به وجودآمده و اطلاعات را برای حملات آتی جمع آوری می کند. این ویروس نیز مانند استاکس نت، به سیستم عامل ویندوز حمله می کند.  از اطلاعات جمع آوری شده با این ویروس برای حمله به سیستم های کنترل صنعتی استفاده می شود.

جاسوسی در مذاکرات هسته ای ایران با Duqu2.0

به نوشته نشری اشپیگل،این ویروس یکی از پیچیده ترین ویروس هایی است که ساخته شده و در سال ۲۰۱۴ حتی به سیستم های شرکت کسپراسکای نیز نفوذ کرد. این ویروس مدت ها در سیستم کسپراسکای بود و شناسایی نشد. علاوه بر آن از این ویروس برای جاسوسی درباره مذاکرات هسته ای ایرانی نیز استفاده شد. 

ساخت ویروس جاسوسی از موبایل برای دولت ها

 در سال ۲۰۱۶ نیز محققان ویروسی به نام پگاسوس را ردیابی کردند که سیستم های عامل اپل را هدف گرفته بود.ویروس مذکور آیفون های ۶ را از راه دور رصد می کرد. این حمله سایبری کاربران را تشویق می کرد یک URL را با از کنند که با پیامک ارسال شده است. پس از دنبال کردن لینک با استفاده از شکاف های امنیتی در موتور جستجوی Safari دسترسی به هسته سیستم عامل را فعال می کرد و بدافزار روی موبایل نصب می شد. پس از آن  بدافزار از تمام وجوه موبایل کاربر از تماس های صوتی و پیامک گرفته تا اطلاعات تقویم و عکس و ویدئوها را جاسوسی می کرد. به نوشته رویترز محققان دانشگاه تورنتو در Citizen Labاین حمله را نخستین بار ردیابی کردند. این گروه ادعا می کنند شرکت NSO که به رژیم صهیونیستی تعلق دارد این بدافزار را برای دولت ها ساخته است.

ساخت ویروسی مخصوص دستگاه های اندروید

سال گذشته گوگل نیز نسخه ای از ویروس پگاسوس را در موبایل های اندروید ردیابی کرد. به نوشته فوربس، گوگل این ویروس ر ا Lipizzan نام گذاری کرد. در زمان کشف ویروس مذکور روی کمتر از ۱۰۰ موبایل نصب شده بود. همه این موبایل ها قبلا به بدافزار پگاسوس آلوده شده بودند.  به گفته تیم امنیتی اندروید، Lipizzan یک ابزار جاسوسی پیچیده و دومرحله ای است. جالب آنکه گوگل متوجه شد این بدافزار به ۲۰ فرم مختلف ارائه شده و تعدادی از اشکال آن نیز در پلی استور موجود بود. به طور معمول Lipizzan شبیه یک ابزار عادی مانند اپلیکیشن ضبط صوت یا بک آپ نمایان می شود. اما پس از نصب در موبایل ایمیل، پیامک، مکان و تماس های صوتی کاربر را رصد می کند. همچنین این بدافزار اطلاعات برخی از اپلیکیشن ها مانند واتس اپ، وایبر، تلگرام، جی میل، لیندکین و اسکایپ را نیز جمع آوری می کند.

 شرکتی به نام Equus این ویروس را ساخته که اطلاعات زیادی از آن در دسترس نیست فقط به نظر می رسد مقر آن در منطقه Herzliya در تل آویو باشد. همچنین یکی از مهندسان آن قبلا در NSO فعالیت می کرده است.

جاسوسی از رایانه ها با پهپاد

روش های جاسوسی رژیم صهیونیستی فقط به این موارد محدود نمی شود. خبرگزاری راشاتودی نیز در خبری اعلام کرده است که محققان رژیم صهیونیستی روشی برای حمله به رایانه های جداگانه ایجاد کرده اند. برای این منظور آنها کنترل نشانگرهای ال ای دی رایانه را به دست می گیرند. در مرحله بعد این هکرها نشانگرها را وادار می کنند تا ۶ هزار بار در یک ثانیه چشمک بزنند و سیگنالی حاوی اطلاعات را به دوربینی بفرستد که روی یک پهپاد در نزدیکی رایانه هدف گرفته شده، ارسال کند.

 این روش رایانه هایی را هدف می گیرد که به اینترنت و شبکه های شرکتی متصل نیستند و به همین دلیل دسترسی به اطلاعات آنها برای هکرها چالش برانگیز است. در نتیجه  اطلاعات حساسی را در خود حفظ می کنند.

 به گفته هکرها با این روش اطلاعات با سرعت ۴ هزار بیت در ثانیه منتقل می شود. البته قبل از این فرایند رایانه باید به وسیله یو اس بی یا کارت اس دی به ویروس آلوده شود. با این روش هک را به سختی می توان ردیابی کرد.

افزایش مهارت  ایران در حوزه سایبری

 به هرحال به نظر می رسد رژیم صهیونیستی همچنان به ساخت بدافزارها و انتشار آن ادامه می دهد. هدف این رژیم از انتشار بدافزارها جاسوسی کردن از افراد و دولت ها و خرابکاری در مسیر موفقیت دشمنان خود است. اما به نظر نمی رسد این روند تا همیشه ادامه یابد. این در حالی است که به نوشته گاردین در سال های اخیر قدرت سایبری ایران افزایش یافته است. این رسانه در سال ۲۰۱۴ در گزارشی نوشته است: در سال های اخیر ایرانیان در حوزه سایبری ماهر تر شده اند. آنها قبلا سومین حلقه قدرت سایبری  بودند اما خیلی زود وارد دومین حلقه قدرت های برتر سایبری  شده اند.

مرکز ماهر از رشد حملات فیشینگ درگاه‌های پرداخت بانکی طی دو ماه گذشته، با انتشار‫ برنامکهای اندرویدی مخرب یا جعلی خبر داد.

به گزارش مرکز روابط عمومی و اطلاع رسانی وزارت ارتباطات و فناوری اطلاعات، این مرکز اعلام کرد بر اساس رصد صورت گرفته حملات ‫فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامکهای اندرویدی مخرب یا جعلی صورت گرفته است.

بر این اساس مرکز ماهر توصیه هایی را جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد کرده است:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها و همچنین حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر (لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد) از جمله پیشنهادهای مطرح شده است.

توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.

درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌  (بدون هرگونه تغییر در حروف) معتبر هستند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert@certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.

توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارایه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است

 معاون امور سایبری وزیر خارجه انگلیس روز جمعه با تکرار ادعای آمریکا، ایران را به انجام فعالیت‌های مخرب سایبری و هدف قرار دادن صدها دانشگاه متهم کرد.

مای وزارت خارجه انگلیس، لرد طارق احمد گفت: تشخیص دولت انگلیس این است که موسسه مبنا مستقر در ایران مسئول شبکه هکری است که دانشگاه‌های سراسر دنیا را هدف قرار داده است. 

به گزارش ایرنا وی افزود: هکرها تلاش کردند تا از طرق سرقت مالکیت معنوی دانشگاه‌ها، درآمدزایی کرده و با هزینه ما به دستاوردهای فنی دست پیدا کنند.

لرد احمد بابیان اینکه انگلیس از اقدام آمریکا در محکومیت موسسه مبنا استقبال می‌کند، افزود: این اقدام نشان‌دهنده تمایل و توانایی ما برای استفاده از تمامی اهرم‌های موجود جهت پاسخ‌دهی جمعی به حملات سایبری است.

وی افزود: تمرکز این حمله بر دانشگاه‌های ما مؤید این است که تمام ارگان‌ها اهداف بالقوه به شمار می‌روند و بایستی دائماً در جهت تقویت امنیت سایبری خود گام بردارند.

این سیاستمدار انگلیسی بابیان اینکه فعالیت‌های مخرب سایبری بدون مجازات باقی نمی‌ماند، افزود که کارکنان موسسه مبنا دیگر قادر نیستند تا آزادانه سفر و مجبور هستند تا آینده شغلی خود را در ایران محدود کنند.

وزارت خزانه‌داری آمریکا پیشتر موسسه مبنا و ۱۰ شخص ایرانی را به ادعای فعالیت‌های مخرب سایبری تحریم کرد.

در اطلاعیه روز جمعه وزارت خزانه‌داری آمریکا آمده است: در اقدام هماهنگ با وزارت دادگستری ایالات‌متحده، دفتر نظارت بر دارایی‌های خارجی (OFAC) وزارت خزانه‌داری ایالات‌متحده، یک‌نهاد ایرانی و ۱۰ نفر از افراد ایران را تحت فرمان اجرایی E.O) ۱۳۶۹۴) &#۳۹;مسدودسازی اموال برخی افراد مشارکت‌کننده در فعالیت‌های قابل‌ملاحظه تخریب سایبری، مورد تحریم قرارداد.

بر پایه این اطلاعیه، مؤسسۀ مبنا یک شرکت ایرانی دانسته شده است که در سرقت شناسه‌های شخصی و منابع اقتصادی برای افزایش منافع مالی خصوصی فعالیت می‌کند. 

دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا همچنین غلامرضا رفعت نژاد، احسان محمدی، سید علی میرکریمی، مصطفی صادقی، سجاد طهماسبی، عبدالله کریما، ابوذر گوهری مقدم، روزبه صباحی، محمد رضا صباحی و بهزاد مصری را هم در لیست این تحریم ها قرار داده است

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به شناسایی تهدید جدی سرویس دهنده‌های RDP (ریموت دسکتاپ) بر بستر شبکه اینترنت سازمانها، هشدار داد.

به گزارش خبرنگار مهر، سرویس RDP یا Remote Desktop Protocol قابلیت اتصال از راه دور یک کامپیوتر به کامپیوتر دیگر و کنترل دسکتاپ را برای سازمان ها فراهم می کند.

مرکز ماهر با انتشار گزارشی از شناسایی حملاتی بر بستر این سرویس در کشور و سوء استفاده از آدرسهای IP مرتبط با این پروتکل به سازمانها و شرکتها خبر و هشدار داده است.

این مرکز اعلام کرد: با توجه به تهدیدات گسترده ‌اخیر درباره سوءاستفاده و نفوذ از طریق پروتکل‌ RDP از جمله شناسایی آسیب‌پذیری CredSSP و انتشار باج‌افزارهای مختلف از طریق این پروتکل،‌ تمرکز بیشتری در رصد فعالیت‌ها و حملات بر این بستر از طریق شبکه «هانی‌نت مرکز ماهر» صورت گرفته است.

در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرس‌های IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و درحال تلاش برای آسیب‌رسانی و ورود به سامانه ها از طریق این پروتکل هستند.

اطلاع‌رسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IP ها از طریق مالکان آدرس‌های داخلی توسط مرکز ماهر درحال انجام است.

همچنین مکاتبه با مراکز ماهر کشورهای خارجی (CERT های ملی کشورهای خارجی) جهت مقابله در جریان است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای به کاربران تاکید کرده است که برای رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکل‌های دسترسی راه‌دور نظیر telnet و SSH روی شبکه اینترنت اکیدا خودداری کرده و درصورت نیاز، دسترسی به این سرویس‌ها را تنها بر بستر VPN و یا برای آدرس‌های مبداء مشخص و محدود برقرار کنند.

مرکز ماهر با اعلام ۱۱ اقدام پیشگیرانه برای حوادث احتمالی فضای مجازی در تعطیلات نوروزی، نسبت به نفوذ، سرقت اطلاعات و تخریب در زیرساختهای فناوری اطلاعات و ارتباطات در این ایام هشدار داد.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با انتشار توصیه های امنیتی خطاب به مدیران فناوری اطلاعات سازمانها و شرکتها، نسبت به احتمال بروز حوادث در فضای مجازی در ایام نوروز هشدار داد.

مرکز ماهر تاکید کرد که ایام تعطیل مخصوصا تعطیلات طولانی، فرصتی مناسب برای مهاجمان جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت های فناوری اطلاعات و ارتباطات است. از این رو پیشنهاد می شود تا اقداماتی به شرح زیر برای کسب آمادگی بیشتر و پیشگیری ازحوادث در دستور کار سازمانها و شرکتها قرار گیرد.

۱. تعیین نفرات مسئول جهت پیگیری تهدیدات و مشکلات احتمالی و هماهنگی با مرکز ماهر

۲. سرکشی به سامانه ها، بررسی عملکرد سرورها و گزارش های امنیتی در تعداد نوبت های متوالی در ایام تعطیلات نوروز 

۳. بررسی کامل رخدادنماها (فایل های ثبت وقایع) در سامانه ها و تجهیزات فناوری سازمانها، از جمله سرویس دهنده ها، آنتی ویروس ها، دیواره های آتش و بررسی موارد مشکوک مخصوصا تلاش های ناموفق جهت ورود به سامانه ها، انواع حملات تشخیص و پیگیری شده و دسترسی های موفق در ساعات غیر متعارف

۴. غیرفعال سازی و یا خاموش کردن سامانه ها و خدمات دهنده هایی که در این ایام تعطیلات نیاز به ارائه خدمات آنها وجود ندارد. این موضوع بخصوص در مورد سامانه های مرتبط با اینترنت از اولویت بیشتری برخوردار است.

۵. غیرفعال سازی ارتباطات شبکه غیرضروری به ویژه شبکه های wifi 

۶. محدودسازی و یا قطع پروتکل های دسترسی از راه دور (rdp و ssh ) و در صورت نیاز حفاظت از این قبیل دسترسی ها با بهره گیری از ارتباطات vpn امن

۷. بررسی کیفیت و در صورت نیاز به تغییر دادن کلمات ورود به سامانه ها قبل از آغاز تعطیلات و رعایت نکات امنیتی در تعیین کلمه عبور، تعیین و تنظیم تعداد دفعات برای تلاش ناموفق ورود و مخصوصا دقت کافی در زمان مجاز استفاده از رمز عبور برای دسترسی از راه دور 

۸. به روزرسانی سیستم های عامل، نرم افزارها و سخت افزارهای امنیتی 

۹. تهیه نسخه پشتیبان از سامانه ها و اطلاعات به ویژه پایگاه های داده و تست عملکرد صحیح پشتیبان های تهیه شده قبل از آغاز تعطیلات 

۱۰. هوشیاری و پیگیری اخبار حوزه امنیت اطلاعات به منظور آگاه شدن از تهدیدهای بالقوه و در صورت نیاز انجام اقدامات تامینی در طی مدت تعطیلات  

۱۱.  گزارش کردن هرگونه مورد مشکوک برای دریافت خدمات تخصصی امدادی ویژه از مرکز ماهر با پست الکترونیکی cert@certcc.ir و یا شماره تماس های مندرج در وبسایت این مرکز به آدرس www.certcc.ir و نیز مراکز تخصصی آپا (آگاهی رسانی و پشتیبانی) که در این ایام آماده به کشیک هستند.

درصد حملات کشف شده از کشورهای مختلف در یک honeypot ایرانی.

منبع:کانال تخصصی مدیران شبکه و امنیت

هفته گذشته سایت مشهور گیت هاب به علت حملات سایبری موسوم به دی او اس با ظرفیت ۱.۳ ترابایت در ثانیه از کار افتاد. اما بعد از ۵ روز این رکورد حمله سایبری هم شکسته شد.

به گزارش خبرگزاری مهر به نقل از رجیستر، موسسه امنیتی آربور نتورکس می گوید گیت هاب روز گذشته حمله ای با ظرفیت بی سابقه ۱.۷ ترابیت در ثانیه را پشت سر گذارده و البته این بار بر خلاف دفعه گذشته از کار نیفتاده، زیرا برای مقابله با حمله دی او اس یادشده تمهیدات کافی را در نظر گرفته بود.

کارشناسان امنیتی بارها در مورد تشدید و گسترش حملات سایبری و به خصوص حملات موسوم به DOS هشدار داده اند. در قالب این حملات درخواست های زیادی برای بازدید از یک سایت به طور ناگهانی و گسترده ارسال شده و تلاش می شود با ایجاد ترافیک مصنوعی دسترسی به سایت مورد حمله مختل شود.

در حالی که تا سال ۲۰۱۲ ظرفیت ترافیک ایجاد شده در حملات دی او اس به ندرت از ۱۰۰ گیگابیت در ثانیه فراتر رفته بود، از سال ۲۰۱۳ شاهد اوج گیری و تشدید حملات دی او اس بوده ایم؛ به گونه ای که ترافیک کاذب ایجاد شده بر روی سایت های هدف در سال ۲۰۱۴ به رکورد بی سابقه ۳۰۹ گیگابیت در ثانیه و در سال ۲۰۱۶ به رقم ۶۵۰ گیگابیت در ثانیه افزایش یافت.

در حال حاضر و در شرایطی که تنها دو ماه از سال ۲۰۱۸ گذشته این رقم به ۱.۷ ترابیت در ثانیه رسیده است. مدیران سایت ها برای مقابله با این حملات باید از سرورهای قدرتمند و امکانات سخت افزاری متعددی استفاده کنند که در توان همه آنها نیست و تداوم این وضعیت می تواند آینده اینترنت را به طور جدی به چالش بکشد.

مجرمان اینترنتی با قرار دادن ویروسی در ۷۴۰۰ وب سایت در سراسر جهان، کنترل رایانه های کاربران مبتلا را به دست گرفتند و پول مجازی استخراج کردند.

به گزارش خبرگزاری مهر به نقل از میل آنلاین، هکرها هزاران وب سایت دولتی انگلیس را هک کرده اند تا بتوانند پول های مجازی مانند بیت کوین را ذخیره کنند.  وب سایت های متعلق به کمیسیون اطلاعات، شرکت وام های دانشجویی و وب سایت NHS اسکاتلند در انگلیس همه به نوعی ویروس مبتلا شدند. طبق آمار حدود ۷۴۰۰ وب سایت در سراسر جهان با این ویروس ها آلوده شده اند.

در نتیجه این حمله، مجرمان با استفاده از رایانه و موبایل های بازدیدکنندگان این سایت ها درآمدزایی کردند.

مجرمان سایبری ویروسی به نام Coinhive را در نرم افزار مورد استفاده در این وب سایت ها قرار دادند. وب سایت ها با استفاده از نرم افزار مذکور برای کاربران نابینا اجازه دسترسی فراهم می کردند. هنگامیکه کاربران روی سایت کلیک می کردند، این ویروس به رایانه های خودشان منتقل می شد.

در مرحله بعد هکرها با استفاده از قدرت پردازش اضافی که دستگاه های کاربران فراهم کرده بود، پول های مجازی مانند بیت کوین را استخراج کردند. در فرایند استخراج (Mining) با حل مسئله های پیچیده ریاضی سکه های دیجیتالی جدیدی به وجود می آیند. هنگامیکه سکه های مجازی به وجود بیایند، می توان آنها را به طور آنلاین ذخیره کرد.

اسکات هلم محقق امنیت سایبری می گوید: این نوع حمله چندان جدید نیست اما بزرگترین نمونه ای است که من تابه حال دیده ام.

از زمان به وجود آمدن پول مجازی، ارزش بیت کوین با ۷۲ درصد رشد به ۱۲۳۰۰ پوند رسیده است.

سرویس‌های امنیتی در آمریکا به موسسات مالی خود نسبت به توسعه روش جدید هکرها برای پول پارو کردن از دستگاه عابربانک / Jackpotting هشدار دادند.

به گزارش خبرآنلاین، کارشناسان سایت کربس{لینک} تایید کردند اولین پاروکردن پولِ عابربانک در آمریکا را رصد کرده‌اند که هکرهای نخبه، با ترکیبی از بدافزار و نصب «سخت‌افزار خود ساخته» اقدام به پاروکردن مقدار زیادی پول اسکناس از دستگاه عابربانک در یک بار حمله کرده‌اند.{لینک}

این سایت تایید کرد هفته گذشته از یکی از عابربانک‌های مکزیک مقادیر متنابهی اسکناس به شیوه جکپات پارو شده است.

یکی از معروف‌ترین سازندگان عابربانک، کمپانی Diebold Nixdorf نیز ضمن هشدار به سازمان‌هایی که از این نوع دستگاه استفاده می‌کنند، اعلام کرد مدل خاصی از عابربانک به نام Opteva در معرض جکپات قرار گرفته است.

کمپانی NCR Corp، دیگر سازنده دستگاه عابربانک نیز هشداری مشابه به مشتریان خود داده است. پس از ارسال اخطار چند روز پیش سازمان‌های امنیتی و اطلاعاتی آمریکا به نهادهای مالی، گفته می‌شود این هشدارها جدی تلقی شده و ممکن است هکرها از دستگاه‌های عابربانک(خودپرداز) در مکان‌های عمومی سوء استفاده کرده و همه پولهای آن را به ناگهان خالی کنند.{لینک}

اخیرا کمپانی امنیتی روسی به نام Group IB نیز اعلام کرد هکرها در سال 2016 از راه دور و با ارسال بدافزار دست به پاروکردن پول عابربانک‌های اروپایی زدند. حمله مشابه در همان سال در تایلند و تایوان گزارش شد اما اکنون این داستان وارد عابربانک‌های منطقه آمریکا شده و موج این حملات می‌تواند ضررهای جبران ناپذیری به اقتصاد کشورها وارد کند.

کسپرسکی سال گذشته اعلام کرد هکرهای عابربانک به 4 شیوه زیر تاکنون پول پارو کرده‌اند:

1- قطع کردن عابربانک از شبکه و اتصال کامپیوتر خود و جا زدن آن به عنوان مرکز تبادل مالی و شبکه.

2- کارمند داخلی بانک با استفاده از کلید(کد مخصوص) اجازه دسترسی به کابل شبکه را می‌دهد. هکر با یک کلید می‌تواند به چند دستگاه عابربانک در آنِ واحد وصل شده و به عنوان ادمین شبکه پول‌ها را خالی کند.

3- قرار دادن دستگاه عابربانک در حالت تعمیر و دسترسی به جعبه سیاه برای تخلیه پول.

4- یو اس بی آلوده به بدافزار و زدن آن به پورت دستگاه خودپرداز که از طریق یک فرد نفوذی در بانک انجام می‌شود.

گزارش ها نشان می دهد در هنگام استفاده از برخی برنامه ها و سایت های ایرانی، کاربران قربانی بیت کوین ماینر (سواستفاده از توان پردازشی رایانه قربانی برای استحصال بیت کوین) می شوند.
فناوران – در حال حاضر برخی کانال های تلگرامی مدعی هستند که برنامه های کامپیوتری موجود در بازار را یافته اند که هم زمان با نصب برنامه، نرم افزار بیت کوین ماینر روی رایانه قربانی نصب می کند.
در همین حال مرکز ماهر نیز با انتشار اطلاعیه ای این موضوع را رسما تایید و اعلام کرد برخی سایت ها از توان پردازشی رایانه بازدیدکنندگان برای استحصال بیت کوین سواستفاده می کنند.
به نظر می رسد با بالا رفتن شدید قیمت بیت کوین، جرایم در این حوزه رو به افزایش است.

 بیت کوین ماینر روی آنتی ویروس
یک کانال تلگرامی اخیرا با انتشار مدارکی مدعی شده است که برخی فروشندگان آنتی ویروس ESET این محصول را با قیمت بسیار پایین در بازار عرضه می کنند. همین موضوع کنجکاوی صاحب کانال را برانگیخته و او با بررسی فایل های موجود در سی دی این آنتی ویروس، به این نتیجه رسیده است که همراه با ESET، یک نرم افزار دیتاماینر نیز روی کامپیوتر قربانی نصب می شود.
براساس این گزارش آنتی ویروس های ESET در برخی موارد با قیمت تنها 1000 تا 1500 تومان در بازار به فروش می رسند در حالی که قیمت این محصول در سایتی مانند آمازون حدود 32 دلار است. مدیر این کانال تلگرامی گفته است که مدارک لازم را به مرکز ماهر و مرکز توسعه رسانه های دیجیتال نیز ارایه داده اما به دلیل آن که اقدامی روی این موضوع صورت نگرفته است، به ناچار این مدارک را در تلگرام منتشر کرده است.
مسوول بخش صیانت و بازرسی مرکز رسانه های دیجیتال وزارت ارشاد در پاسخ به فناوران در این باره گفت: این ادعاها به ما نیز اعلام شده است و ما نیز برای بررسی بیشتر موضوع را به پلیس فتا گزارش کردیم. اما از آنجا که پلیس فتا پاسخی به ما نداد، ما نیز اجازه ادامه فعالیت به فروشندگان این محصول را دادیم.
وی درباره دلیل ارزانی این محصول گفت: به هر حال این ها لایسنس هایی است که برای چندین کامپیوتر کپی می شوند و شرکت ها در رقابت با هم قیمت را بیش از اندازه پایین می آورند.
در تماس خبرنگار فناوران با مرکز ماهر، مدیران این مرکز حاضر به گفت وگو در این باره نشدند اما یک مقام آگاه در این مرکز به ما اعلام کرد که اصل ماجرا صحیح است و در حال بررسی های بیشتر همراه با پلیس فتا هستند.

 بیت کوین ماینر روی سایت ها
در عین حال مرکز ماهر در اطلاعیه ای با عنوان «هشدار مهم»‫ درخصوص سوءاستفاده برخی سایت ها از توان پردازشی رایانه بازدیدکنندگان استحصال بیت کوین هشدار داد.
در اطلاعیه مرکز ماهر آمده است: مشاهدات اخیر نشان داده است که شماری از سایت های داخلی وخارجی با سوءاستفاده از توان پردازشی رایانه بازدیدکنندگان خود اقدام به استحصال bitcoin یا سایر ارزهای مجازی می نمایند. این رفتار از دید کاربر به صورت افزایش درصد فعالیت پردازنده و کند شدن سرعت رایانه در هنگام مراجعه به صفحات یک سایت مشخص نمایان می شود. البته در این موارد، با بسته شدن صفحه سایت در مرورگر، اضافه بار پردازنده نیز متوقف شده و درواقع آلودگی پایداری روی سیستم عامل صورت نمی پذیرد.
این اطلاعیه افزوده است: این اقدام با قرارگیری اسکریپت های جاوااسکریپت استحصال بیت کوین در صفحات سایت توسط ادمین یا مهاجمین نفوذ کرده به سایت صورت می پذیرد. نمونه هایی از نحوه قرارگیری این اسکریپت ها نیز در تصاویر ارایه شده است.
در پایان این  اطلاعیه آمده است: «لازم است مدیران سایت های داخلی توجه داشته باشند مسوولیت قانونی این اقدامات بر عهده آنها است. همچنین کاربران می توانند در صورت مشاهده چنین سایت هایی موارد را جهت پیگیری به اطلاع مرکز ماهر برسانند».
این در حالی است که مرکز ماهر تاکنون هیچ کدام از سایت های خاطی را معرفی نکرده و حتی درباره برخورد با سایت هایی که جرم شان اثبات شده، توضیحی ارایه نکرده است. 

مسئله «ردپای روسیه» در حملات سایبری در آمریکا و اروپا دیگر به یک موضوع سیاسی تبدیل شده، هرچند اکنون از شدت آن کاسته شده، ولی تاثیر آن بر روابط غرب با مسکو دائمی است.

به گزارش تسنیم، در آغاز سال 2018 «هکرهای روسی» نزد افکارعمومی جامعه جهانی جزو اصلی ترین تهدیدات جهانی، در کنار جنگ هسته‌ای یا تروریسم بین المللی قرار گرفته اند. چنین برداشتی بعد از یک سری جنجالهای سیاسی در آمریکا و اروپا در رابطه با حملات سایبری و ارتباط آنها با نیروهای ویژه اطلاعاتی روسیه بوجود آمده است. روزنامه اینترنتی «گازیتا.رو» در تحلیلی، این مسئله را بررسی کرده که آیا مقامات مسکو که تمامی اتهامات در این باره را تکذیب کرده اند، می توانند در سال 2018 از شر این جنجال سیاسی خلاص شوند؟   

سناتور آمریکایی "ادگاردو کورتس" نماینده ایالت ویرجینیا در اواخر ماه نوامبر گفت که کنگره باید از رای دهندگان آمریکایی در برابر حملات هکرهای روسی دفاع کند، برای اینکه این حادثه روی نتایج انتخابات در ایالات متحده تاثیر خواهد گذاشت.  

نظریه این سناتور  یک ضعف داشت و آن اینکه تمامی صندوقهای رای گیری در آمریکا به اینترنت وصل نیستند تا حملات سایبری بر آنها موثر باشند و تاثیرگذاری بر آنها نیاز به حضور فیزیکی در حوزه های رای دهی دارد که بعید است هر نوع سازمان مخفی فعال در زمینه حملات سایبری، چنین توانایی و منابعی را در اختیار داشته باشد.

هکرها تنها می توانند به پایگاههای اطلاعاتی انتخاباتی حمله کنند که از سوی کمیته های انتخاباتی حزبی، بطور جدی و قابل اطمینانی محافظت می شوند. این در حالی است که نقش «هکرهای روسی» که در جریان انتخابات ریاست جمهوری سال 2016 در آمریکا آغاز و بعد از آن در سطح بالایی مطرح شد که به وضوح ماهیت اصلی این مشکل را نشان می دهد. مباحثات پیرامون این مسئله دیگر جنبه واقع بینانه خود را از دست داده اند. رسانه های گروهی بزرگ آمریکایی در طول سال 2017 هزاران مقاله در باره نفوذ (احتمالی) هکرهای روسی بر جریانات سیاسی آمریکا منتشر کردند. در حالیکه تاکنون حتی یک حمله سایری در ایالات متحده رخ نداده که سرویسهای اطلاعاتی و امنیتی آمریکایی تایید کنند که توسط همتایان روسی آنها انجام گرفته باشد. تنها ادعای مطرح شده در مورد «ردپای روسیه» این است که در زمان حمله به سرورهای حزب دموکرات آمریکا، در مسکو ساعت کاری بوده است.

تاثیر درازمدت «هکرهای روسی» بر روابط واشنگتن و مسکو

کارشناسانی که این روزنامه با آنها به گفت‌وگو پرداخته، یادآور شده اند که مسائل سیاسی با جهت گیری به سمت روسیه در آمریکا دیگر روندی غیرطبیعی پیدا کرده است.

"ایوان تیموفییف" مدیر برنامه ای شورای امور بین الملل روسیه یادآور شده است، همه چیز با شکست "هیلاری کلینتون" نامزد حزب دموکرات و پیروزی "دونالد ترامپ" نامزد حزب جمهوری خواه در انتخابات ریاست جمهوری آمریکا آغاز شد که البته ستاد انتخاباتی ترامپ تلاش کرد تا از این قضیه به نفع خود استفاده کند و این مسئله جدی تر شد. البته نتیجه منفی چنین اقدامی تا به امروز گریبان دونالد ترامپ را گرفته و جنجالهای زیادی بر سر ارتباط تیم وی با کرملین براه افتاده که در نهایت هم به کاهش اختیارات وی در زمینه لغو تحریمها، از سوی کنگره آمریکا منجر گردید.   

به گفته این کارشناس، در جریان تحقیقات در آمریکا پیرامون «ردپای روسیه در انتخابات ریاست جمهوری» تاکنون هیچ دلیل و شواهدی در این رابطه که سرویسهای امنیتی روسی سفارش دهنده یا مجری حملات سایبری در جریان انتخابات سال 2016 بوده اند، بدست نیامده. البته ظاهرا این مسئله دیگر اهمیتی ندارد. برای آمریکایی‌ها یک مسئله مهم است و آن اینکه دخالت روسیه یک واقعیت بوده و باید با آن مقابله کرد.  

تیموفییف افزود، موضوع «هکرهای روسی» چندین مرتبه در قانون مربوط به تحریمها علیه روسیه که دونالد ترامپ در تاریخ دوم آگوست آن را امضاء کرد، آمده است. و مسئله مهمتر آن است که این تحریمها دیگر یک قانون مصوبه کنگره بوده و برای مدت زمان طولانی بر روابط روسیه و آمریکا تاثیر خواهد گذاشت. در این قانون، ارگانهای دولتی و شهروندان روسی در فهرست سیاه تحریمها قرار گرفته اند که به عقیده مقامات آمریکایی در حملات سایبری به آمریکا دست داشته اند. نام بسیاری از مقامات نظامی و امنیتی روسیه در این فهرست دیده می شود. ضمن اینکه این فهرست در ماه دسامبر گسترش نیز پیدا کرد.  

توجه افکارعمومی آمریکا بر سیاست داخلی ترامپ معطوف شده است

این کارشناس روس معتقد است که در آخر سال 2017 علاقه مندی افکارعمومی آمریکایی به «ردپای روسیه در انتخابات» کاهش یافت، ولی مسلما بطور کامل فراموش نشده و ممکن است هر زمان دوباره مطرح شود. به گفته وی، در حال حاضر توجه رسانه های گروهی آمنریکایی بیشتر روی ابتکارعملهای داخلی دونالد ترامپ معطوف شده که برای جامعه آمریکا اهمیت بیشتری دارد. البته این به منزله آن نیست که تحریمهای ضدروسی به این زودیها لغو یا کاهش پیدا کنند.

به گفته تیموفییف، اگر در سال 2018 ترامپ تلاش کند تا توجه افکارعمومی آمریکا را از مسئله روسیه، یعنی «هکرهای روسی» منحرف سازد، رسانه های گروهی دوباره وی را به «داشتن ارتباط با کرملین» متهم خواهند کرد، برای اینکه رئیس جمهوری آمریکا در این عرصه بیشتر از اینکه متحدی داشته باشد، دارای دشمن است.  

ردپای هکرهای روسی در آلمان و فرانسه نیز دیده شده است

در اواخر سال 2016 خطر امکان حملات سایبری توسط سرویسهای اطلاعاتی روسی در دو کشور مهم در اتحادیه اروپا، یعنی آلمان و فرانسه نیز مطرح شد و هدف از آن نیز تلاش برای بی ثبات  کردن اوضاع سیاسی در این کشورها اعلام شد. البته دقیقا مانند وضعیت آمریکا، هیچ مدرکی در خصوص تایید این مسئله ارائه نشده است.

"الکساندر رار" مدیرعلمی انجمن آلمان-روسیه در برلین معتقد است که عامل «هکرهای روسی» در سال 2018 نقش بسیار کمتری در دستور کار اتحادیه اروپا خواهد داشت. به گفته وی، جنجالها پیرامون این موضوع در اتحایده اروپا بیشتر منعکس کننده واکنش سیاستمداران اروپایی به جریانات سیاسی داخلی در ایالات متحده بودند و بطور کلی در اروپا با آرامش بیشتری نسبت به حملات سایبری برخورد می شود.  

الکساندر رار یادآور شده است، با وجود تشدید اختلافات بین بروکسل و مسکو و اتهامات وارده از سوی مقامات ناتو به روسیه، بعید است مبارزه با «هکرهای روسی» به اولویتی برای این سازمان تبدیل شود.

این کارشناس گفت: «در هر صورت ناتو اقدامات خود در نزدیکی مرزهای غربی روسیه را تشدید کرده است. البته دلیل اصلی آن اوضاع داخلی در اوکراین است که همچنان برای مقامات بروکسل دارای اهمیت زیادی است. در سال 2018 هم بعید است این وضعیت تفاوتی یابد و موضوع اوکراین در دستور کار ناتو قرار خواهد داشت و بعید است مسئله هکرهای روسی آگاهانه بار دیگر مطرح شود، مگر اینکه دلیل تازه ای برای پرداختن به این موضوع پیدا شود.»