ITanalyze

مرکز ماهر از افزایش چشمگیر پیام‌های فریبنده‌ در فضای مجازی با موضوع ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه خبر داد.

به گزارش خبرگزاری فارس، مرکز ماهر هشدار داد: مشاهدات اخیر حاکی از افزایش چشمگیر پیام‌های فریبنده‌ای است که در فضای مجازی برای ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه (عموما #‫بیت‌کوین) منتشر می‌شوند. این مجموعه‌ها نوعا از ساختار بازاریابی هرمی نیز استفاده می‌کنند تا از ارتباطات افراد برای افزایش گستره نفوذ خود بهره ببرند. مطالعات نشان می‌دهند که ادعاها و وعده های مطرح شده در اغلب موارد کذب بوده و این ابزارها علاوه بر احتمال آسیب زدن به سخت افزار رایانه‌ها می‌توانند سرمنشا مخاطرات جدی امنیتی باشند. به این ترتیب به کاربران و مدیران به طور جدی توصیه می‌شود که از عضویت در این شبکه ها پرهیز و ممانعت نمایند. 

بررسی‌های انجام شده نشان می‌دهد که برخلاف ادعاهای مطرح شده، از منظر اقتصادی و با توجه به انرژی الکتریکی صرف شده، انجام این کار با استفاده ازرایانه‌های معمول، حتی در صورتی که گرداننده شبکه هرمی و افراد بالادست چیزی از عایدات طلب نکنند، اقتصادی نخواهد بود. به همین دلیل در سطح جهان، انجام این امور به صورت قانونی (و نه با سرقت منابع دیگران) با تکیه بر سخت‌افزارهای خاص منظوره و با اتکا به پردازنده های گرافیکی پیشرفته انجام می‌گیرد.
ذکر این نکته حایز اهمیت است که با بیشتر شدن بار محاسباتی پردازنده‌ها برای استخراج ارزهای رمزپایه در رایانه‌های معمول و افزایش مصرف توان، دمای سیستم افزایش خواهد یافت و این خود سبب کاهش دوام دستگاه و احیانا آسیب به آن می‌شود. بنابراین حتی برای آزمایش نیز تصمیم به ورود به این شبکه‌های هرمی منطقی نیست.
همچنین اگرچه به دلیل تعدد این ابزارها فرصت تحلیل رفتاری همه آنها موجود نبوده است، اما نکته نگران‌کننده اصلی در این خصوص این است که با تکیه بر هر یک از روش های معمول برای انجام این امور به صورت هرمی ( اجرای برنامه‌های اجرایی ارایه شده یا نصب افزونه‌های معرفی شده در مرورگرهای وب) کاربر و شبکه میزبان او در معرض دسترسی فراهم آورنده این ابزارها یا سایر مهاجمین قرار می‌گیرند و این خود می‌تواند سرآغاز حملات جدی‌تر باشد. 
در خصوص کاربرانی که مالک رایانه یا بستر شبکه متصل به آن نیستند، عضویت در این شبکه‌های هرمی می‌تواند توام با جرایمی چون سوء استفاده از منابع عمومی یا خیانت در امانت نیز باشد.
به این ترتیب به کاربران و مدیران، مجددا توصیه اکید می‌شود که از ورود به این شبکه‌ها و نصب ابزارهای مرتبط با آنها پرهیز و ممانعت جدی به عمل آورند.

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شیوع باج افزار «پول زور» که با استفاده از صفحات جعلی درگاه بانکی شاپرک، از کاربران یک میلیون تومان باج می گیرد، هشدار داد.

به گزارش خبرگزاری مهر، مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری اعلام کرد: باج‌افزار PooleZoor با پشتیبانی از زبان فارسی و فیشینگ کردن شاپرک از کاربران باج‌های یک میلیون تومانی می‌گیرد.

باج‌افزار پول زور فایل‌های قربانی را با استاندارد AES رمزگذاری می‌کند و برای بازیابی فایل‌های از دست‌رفته، مبلغ ۱۰ میلیون ریال درخواست می‌کند؛ این باج افزار ، پسوند .poolezoor را به فایل‌های قربانی اضافه و آن‌ها رمزگذاری می‌کند.

نکته قابل توجه در این باج‌افزار، نحوه پرداخت است. روش کار این باج افزار به این‌گونه است که مهاجم آدرسی فیشینگ را که به درگاه پرداخت شاپرک شبیه است، ارائه می‌کند در این درگاه دروغین، هیچ پرداختی انجام نمی‌شود اما  مهاجم به اطلاعات کارت و حساب بانکی قربانی دست می‌یابد.

این باج‌افزار ممکن است از طریق پیکربندی محافظت‌نشده RDP، ایمیل‌های اسپم و پیوست‌های مشکوک، فایل‌های دانلودی، بات‌نت‌ها، اکسپلویت‌های موجود، تزریق وب، بروزرسانی‌های جعلی و فایل‌های نصبی آلوده منتشر شده باشد.

باج‌افزار PooleZoor ، فایل‌های اسناد آفیس، OpenOffice، PDF، فایل‌های متنی، پایگاه‌های داده، فایل‌های رسان‌های تصویر، موسیقی و ویدئو، فایل‌های فشرده و غیره را رمزگذاری می‌کند.

در آدرس اصلی درگاه پرداخت شاپرک ( https://shaparak.ir ) از پروتکل HTTPS  بعنوان ارتباطی امن و محافظت شده، استفاده شده است و در نوشتن لاتین کلمه شاپرک با شاپرک قلابی تفاوت وجود دارد.

کارشناسان مرکز مدیریت راهبردی افتای ریاست جمهوری توصیه می‌کنند به هیچ عنوان به آدرس پرداخت این باج افزار مراجعه نکنید و از آنتی‌ویروس‌های معتبر برای جلوگیری از نفوذ و یا پاکسازی آن استفاده کنید.

رژیم صهیونیستی فقط به حمله های نظامی معمول بسنده نمی کند. این رژیم در سال های اخیر با انتشار ویروس ها و ابزارهای جاسوسی متعددی، فضای سایبری را نیز نا امن کرده است.

به گزارش خبرنگار مهر، هنگامیکه سخن از حمله های سایبری به میان می آید، بیشتر افراد به این نکته اشاره می کنند که هکرها اصولا در روسیه یا چین هستند و هدف آنها دزدیدن اطلاعات شخصی برای سود مالی یا دریافت باج است. اما هدف مهم تر از اینها، حمله های جاسوسی و خرابکاری است. در همین زمینه رژیم صهیونیستی بارها اعلام کرده از اسلحه های سایبری استفاده می کند. این رژیم غاصب هرچند نوع دقیق اسلحه ها را اعلام نکرده اما تا به حال حملات سایبری و بدافزارهای متعددی را منتشر کرده است.

رژیم صهیونیستی واحد اطلاعاتی به نام «واحد ۸۲۰۰»  تشکیل داده که مسئول ساخت برخی از بدافزارهای مشهور قرن بیست و یکم هستند. این واحد از جوانان ۱۸ تا ۲۱ ساله تشکیل شده است. درهمین راستا برنامه ای خارج از مدرسه برای نوجوانان ۱۶ تا ۱۸ سال برگزار می شود که به آنها برنامه نویسی و هک کردن را می آموزد. نیروهای واحد نیز از بین شرکت کنندگان همین کلاس ها انتخاب می شوند.

این درحالی است که به نوشته روزنامه فرانسوی لوموند این واحد در یک مقر در Negev فعالیت می کند و قادر به رصد تماس های صوتی، ایمیل و وسایل ارتباطی دیگر در سراسر خاورمیانه، اروپا، آسیا و آفریقا و همچنین ردیابی کشتی ها است.

 رژیم صهیونیستی همچنین در تمام سفارت های خود در سراسر جهان مقرهای شنود دارد و از طریق  کابل های زیر دریایی نیز شنود می کند.

 همچنین به نوشته روزنامه نیویورک تایمز رژیم صهیونیستی مقرهای شنودی در فلسطین دارد. به طوریکه در ۲۰۱۴ میلادی ۴۳ نفر از نیروهای این واحد با امضای نامه ای اعلام کردند تجهیزات نظارت الکترونیک این واحد، اطلاعات خصوصی مردم فلسطین را جمع آوری می کند.

همکاری با آمریکا برای ساخت استاکس نت

فعالیت های مجرمانه رژیم صهیونیستی فقط به فلسطین منتهی نمی شود. گزارش های مختلفی که در رسانه های متعدد منتشر شد، نشان می دهد ویروس استاکس نت نیز توسط رژیم صهیونیستی ساخته شد. به نوشته رونامه گاردین این ویروس در ۲۰۱۰ میلادی  بسیاری از رایانه های صنعتی از جمله رایانه های تجهیزات هسته ای ایران را هدف قرار داد. کارشناسان معتقدند آمریکا و رژیم صهیونیستی این بدافزار را به وجود آوردند. سرگی اولاسن نخستین بار ویروس استاکس نت را کشف کرد این ویروس که از طریق  ویندوز منتشر می شود، سیستم های کنترل صنعتی شرکت زیمنس را هدف گرفته بود.

ویروس مشابه استاکس نت با هدف جمع آوری اطلاعات

یکی دیگر از ویروس ها، «دوکو» مجموعه ای از بدافزارهای رایانه ای است که در سپتامبر ۲۰۱۱ کشف شد. این ویروس به استاکس نت مرتبط بود. دانشگاه اقتصاد و فناوری بوداپست در بلغارستان این تهدید را کشف کرد. این تهدید  شباهت زیادی به استاکس نت داشت اما هدف آن متفاوت بود. شرکت Symantech درباره این ویروس تحقیقاتی انجام داد و معتقد بود این ویروس توسط سازندگان استاکس نت به وجودآمده و اطلاعات را برای حملات آتی جمع آوری می کند. این ویروس نیز مانند استاکس نت، به سیستم عامل ویندوز حمله می کند.  از اطلاعات جمع آوری شده با این ویروس برای حمله به سیستم های کنترل صنعتی استفاده می شود.

جاسوسی در مذاکرات هسته ای ایران با Duqu2.0

به نوشته نشری اشپیگل،این ویروس یکی از پیچیده ترین ویروس هایی است که ساخته شده و در سال ۲۰۱۴ حتی به سیستم های شرکت کسپراسکای نیز نفوذ کرد. این ویروس مدت ها در سیستم کسپراسکای بود و شناسایی نشد. علاوه بر آن از این ویروس برای جاسوسی درباره مذاکرات هسته ای ایرانی نیز استفاده شد. 

ساخت ویروس جاسوسی از موبایل برای دولت ها

 در سال ۲۰۱۶ نیز محققان ویروسی به نام پگاسوس را ردیابی کردند که سیستم های عامل اپل را هدف گرفته بود.ویروس مذکور آیفون های ۶ را از راه دور رصد می کرد. این حمله سایبری کاربران را تشویق می کرد یک URL را با از کنند که با پیامک ارسال شده است. پس از دنبال کردن لینک با استفاده از شکاف های امنیتی در موتور جستجوی Safari دسترسی به هسته سیستم عامل را فعال می کرد و بدافزار روی موبایل نصب می شد. پس از آن  بدافزار از تمام وجوه موبایل کاربر از تماس های صوتی و پیامک گرفته تا اطلاعات تقویم و عکس و ویدئوها را جاسوسی می کرد. به نوشته رویترز محققان دانشگاه تورنتو در Citizen Labاین حمله را نخستین بار ردیابی کردند. این گروه ادعا می کنند شرکت NSO که به رژیم صهیونیستی تعلق دارد این بدافزار را برای دولت ها ساخته است.

ساخت ویروسی مخصوص دستگاه های اندروید

سال گذشته گوگل نیز نسخه ای از ویروس پگاسوس را در موبایل های اندروید ردیابی کرد. به نوشته فوربس، گوگل این ویروس ر ا Lipizzan نام گذاری کرد. در زمان کشف ویروس مذکور روی کمتر از ۱۰۰ موبایل نصب شده بود. همه این موبایل ها قبلا به بدافزار پگاسوس آلوده شده بودند.  به گفته تیم امنیتی اندروید، Lipizzan یک ابزار جاسوسی پیچیده و دومرحله ای است. جالب آنکه گوگل متوجه شد این بدافزار به ۲۰ فرم مختلف ارائه شده و تعدادی از اشکال آن نیز در پلی استور موجود بود. به طور معمول Lipizzan شبیه یک ابزار عادی مانند اپلیکیشن ضبط صوت یا بک آپ نمایان می شود. اما پس از نصب در موبایل ایمیل، پیامک، مکان و تماس های صوتی کاربر را رصد می کند. همچنین این بدافزار اطلاعات برخی از اپلیکیشن ها مانند واتس اپ، وایبر، تلگرام، جی میل، لیندکین و اسکایپ را نیز جمع آوری می کند.

 شرکتی به نام Equus این ویروس را ساخته که اطلاعات زیادی از آن در دسترس نیست فقط به نظر می رسد مقر آن در منطقه Herzliya در تل آویو باشد. همچنین یکی از مهندسان آن قبلا در NSO فعالیت می کرده است.

جاسوسی از رایانه ها با پهپاد

روش های جاسوسی رژیم صهیونیستی فقط به این موارد محدود نمی شود. خبرگزاری راشاتودی نیز در خبری اعلام کرده است که محققان رژیم صهیونیستی روشی برای حمله به رایانه های جداگانه ایجاد کرده اند. برای این منظور آنها کنترل نشانگرهای ال ای دی رایانه را به دست می گیرند. در مرحله بعد این هکرها نشانگرها را وادار می کنند تا ۶ هزار بار در یک ثانیه چشمک بزنند و سیگنالی حاوی اطلاعات را به دوربینی بفرستد که روی یک پهپاد در نزدیکی رایانه هدف گرفته شده، ارسال کند.

 این روش رایانه هایی را هدف می گیرد که به اینترنت و شبکه های شرکتی متصل نیستند و به همین دلیل دسترسی به اطلاعات آنها برای هکرها چالش برانگیز است. در نتیجه  اطلاعات حساسی را در خود حفظ می کنند.

 به گفته هکرها با این روش اطلاعات با سرعت ۴ هزار بیت در ثانیه منتقل می شود. البته قبل از این فرایند رایانه باید به وسیله یو اس بی یا کارت اس دی به ویروس آلوده شود. با این روش هک را به سختی می توان ردیابی کرد.

افزایش مهارت  ایران در حوزه سایبری

 به هرحال به نظر می رسد رژیم صهیونیستی همچنان به ساخت بدافزارها و انتشار آن ادامه می دهد. هدف این رژیم از انتشار بدافزارها جاسوسی کردن از افراد و دولت ها و خرابکاری در مسیر موفقیت دشمنان خود است. اما به نظر نمی رسد این روند تا همیشه ادامه یابد. این در حالی است که به نوشته گاردین در سال های اخیر قدرت سایبری ایران افزایش یافته است. این رسانه در سال ۲۰۱۴ در گزارشی نوشته است: در سال های اخیر ایرانیان در حوزه سایبری ماهر تر شده اند. آنها قبلا سومین حلقه قدرت سایبری  بودند اما خیلی زود وارد دومین حلقه قدرت های برتر سایبری  شده اند.

مرکز ماهر از رشد حملات فیشینگ درگاه‌های پرداخت بانکی طی دو ماه گذشته، با انتشار‫ برنامکهای اندرویدی مخرب یا جعلی خبر داد.

به گزارش مرکز روابط عمومی و اطلاع رسانی وزارت ارتباطات و فناوری اطلاعات، این مرکز اعلام کرد بر اساس رصد صورت گرفته حملات ‫فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامکهای اندرویدی مخرب یا جعلی صورت گرفته است.

بر این اساس مرکز ماهر توصیه هایی را جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد کرده است:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها و همچنین حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر (لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد) از جمله پیشنهادهای مطرح شده است.

توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.

درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌  (بدون هرگونه تغییر در حروف) معتبر هستند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert@certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.

توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارایه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است

 معاون امور سایبری وزیر خارجه انگلیس روز جمعه با تکرار ادعای آمریکا، ایران را به انجام فعالیت‌های مخرب سایبری و هدف قرار دادن صدها دانشگاه متهم کرد.

مای وزارت خارجه انگلیس، لرد طارق احمد گفت: تشخیص دولت انگلیس این است که موسسه مبنا مستقر در ایران مسئول شبکه هکری است که دانشگاه‌های سراسر دنیا را هدف قرار داده است. 

به گزارش ایرنا وی افزود: هکرها تلاش کردند تا از طرق سرقت مالکیت معنوی دانشگاه‌ها، درآمدزایی کرده و با هزینه ما به دستاوردهای فنی دست پیدا کنند.

لرد احمد بابیان اینکه انگلیس از اقدام آمریکا در محکومیت موسسه مبنا استقبال می‌کند، افزود: این اقدام نشان‌دهنده تمایل و توانایی ما برای استفاده از تمامی اهرم‌های موجود جهت پاسخ‌دهی جمعی به حملات سایبری است.

وی افزود: تمرکز این حمله بر دانشگاه‌های ما مؤید این است که تمام ارگان‌ها اهداف بالقوه به شمار می‌روند و بایستی دائماً در جهت تقویت امنیت سایبری خود گام بردارند.

این سیاستمدار انگلیسی بابیان اینکه فعالیت‌های مخرب سایبری بدون مجازات باقی نمی‌ماند، افزود که کارکنان موسسه مبنا دیگر قادر نیستند تا آزادانه سفر و مجبور هستند تا آینده شغلی خود را در ایران محدود کنند.

وزارت خزانه‌داری آمریکا پیشتر موسسه مبنا و ۱۰ شخص ایرانی را به ادعای فعالیت‌های مخرب سایبری تحریم کرد.

در اطلاعیه روز جمعه وزارت خزانه‌داری آمریکا آمده است: در اقدام هماهنگ با وزارت دادگستری ایالات‌متحده، دفتر نظارت بر دارایی‌های خارجی (OFAC) وزارت خزانه‌داری ایالات‌متحده، یک‌نهاد ایرانی و ۱۰ نفر از افراد ایران را تحت فرمان اجرایی E.O) ۱۳۶۹۴) &#۳۹;مسدودسازی اموال برخی افراد مشارکت‌کننده در فعالیت‌های قابل‌ملاحظه تخریب سایبری، مورد تحریم قرارداد.

بر پایه این اطلاعیه، مؤسسۀ مبنا یک شرکت ایرانی دانسته شده است که در سرقت شناسه‌های شخصی و منابع اقتصادی برای افزایش منافع مالی خصوصی فعالیت می‌کند. 

دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا همچنین غلامرضا رفعت نژاد، احسان محمدی، سید علی میرکریمی، مصطفی صادقی، سجاد طهماسبی، عبدالله کریما، ابوذر گوهری مقدم، روزبه صباحی، محمد رضا صباحی و بهزاد مصری را هم در لیست این تحریم ها قرار داده است

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به شناسایی تهدید جدی سرویس دهنده‌های RDP (ریموت دسکتاپ) بر بستر شبکه اینترنت سازمانها، هشدار داد.

به گزارش خبرنگار مهر، سرویس RDP یا Remote Desktop Protocol قابلیت اتصال از راه دور یک کامپیوتر به کامپیوتر دیگر و کنترل دسکتاپ را برای سازمان ها فراهم می کند.

مرکز ماهر با انتشار گزارشی از شناسایی حملاتی بر بستر این سرویس در کشور و سوء استفاده از آدرسهای IP مرتبط با این پروتکل به سازمانها و شرکتها خبر و هشدار داده است.

این مرکز اعلام کرد: با توجه به تهدیدات گسترده ‌اخیر درباره سوءاستفاده و نفوذ از طریق پروتکل‌ RDP از جمله شناسایی آسیب‌پذیری CredSSP و انتشار باج‌افزارهای مختلف از طریق این پروتکل،‌ تمرکز بیشتری در رصد فعالیت‌ها و حملات بر این بستر از طریق شبکه «هانی‌نت مرکز ماهر» صورت گرفته است.

در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرس‌های IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و درحال تلاش برای آسیب‌رسانی و ورود به سامانه ها از طریق این پروتکل هستند.

اطلاع‌رسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IP ها از طریق مالکان آدرس‌های داخلی توسط مرکز ماهر درحال انجام است.

همچنین مکاتبه با مراکز ماهر کشورهای خارجی (CERT های ملی کشورهای خارجی) جهت مقابله در جریان است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای به کاربران تاکید کرده است که برای رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکل‌های دسترسی راه‌دور نظیر telnet و SSH روی شبکه اینترنت اکیدا خودداری کرده و درصورت نیاز، دسترسی به این سرویس‌ها را تنها بر بستر VPN و یا برای آدرس‌های مبداء مشخص و محدود برقرار کنند.

مرکز ماهر با اعلام ۱۱ اقدام پیشگیرانه برای حوادث احتمالی فضای مجازی در تعطیلات نوروزی، نسبت به نفوذ، سرقت اطلاعات و تخریب در زیرساختهای فناوری اطلاعات و ارتباطات در این ایام هشدار داد.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با انتشار توصیه های امنیتی خطاب به مدیران فناوری اطلاعات سازمانها و شرکتها، نسبت به احتمال بروز حوادث در فضای مجازی در ایام نوروز هشدار داد.

مرکز ماهر تاکید کرد که ایام تعطیل مخصوصا تعطیلات طولانی، فرصتی مناسب برای مهاجمان جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت های فناوری اطلاعات و ارتباطات است. از این رو پیشنهاد می شود تا اقداماتی به شرح زیر برای کسب آمادگی بیشتر و پیشگیری ازحوادث در دستور کار سازمانها و شرکتها قرار گیرد.

۱. تعیین نفرات مسئول جهت پیگیری تهدیدات و مشکلات احتمالی و هماهنگی با مرکز ماهر

۲. سرکشی به سامانه ها، بررسی عملکرد سرورها و گزارش های امنیتی در تعداد نوبت های متوالی در ایام تعطیلات نوروز 

۳. بررسی کامل رخدادنماها (فایل های ثبت وقایع) در سامانه ها و تجهیزات فناوری سازمانها، از جمله سرویس دهنده ها، آنتی ویروس ها، دیواره های آتش و بررسی موارد مشکوک مخصوصا تلاش های ناموفق جهت ورود به سامانه ها، انواع حملات تشخیص و پیگیری شده و دسترسی های موفق در ساعات غیر متعارف

۴. غیرفعال سازی و یا خاموش کردن سامانه ها و خدمات دهنده هایی که در این ایام تعطیلات نیاز به ارائه خدمات آنها وجود ندارد. این موضوع بخصوص در مورد سامانه های مرتبط با اینترنت از اولویت بیشتری برخوردار است.

۵. غیرفعال سازی ارتباطات شبکه غیرضروری به ویژه شبکه های wifi 

۶. محدودسازی و یا قطع پروتکل های دسترسی از راه دور (rdp و ssh ) و در صورت نیاز حفاظت از این قبیل دسترسی ها با بهره گیری از ارتباطات vpn امن

۷. بررسی کیفیت و در صورت نیاز به تغییر دادن کلمات ورود به سامانه ها قبل از آغاز تعطیلات و رعایت نکات امنیتی در تعیین کلمه عبور، تعیین و تنظیم تعداد دفعات برای تلاش ناموفق ورود و مخصوصا دقت کافی در زمان مجاز استفاده از رمز عبور برای دسترسی از راه دور 

۸. به روزرسانی سیستم های عامل، نرم افزارها و سخت افزارهای امنیتی 

۹. تهیه نسخه پشتیبان از سامانه ها و اطلاعات به ویژه پایگاه های داده و تست عملکرد صحیح پشتیبان های تهیه شده قبل از آغاز تعطیلات 

۱۰. هوشیاری و پیگیری اخبار حوزه امنیت اطلاعات به منظور آگاه شدن از تهدیدهای بالقوه و در صورت نیاز انجام اقدامات تامینی در طی مدت تعطیلات  

۱۱.  گزارش کردن هرگونه مورد مشکوک برای دریافت خدمات تخصصی امدادی ویژه از مرکز ماهر با پست الکترونیکی cert@certcc.ir و یا شماره تماس های مندرج در وبسایت این مرکز به آدرس www.certcc.ir و نیز مراکز تخصصی آپا (آگاهی رسانی و پشتیبانی) که در این ایام آماده به کشیک هستند.

درصد حملات کشف شده از کشورهای مختلف در یک honeypot ایرانی.

منبع:کانال تخصصی مدیران شبکه و امنیت

هفته گذشته سایت مشهور گیت هاب به علت حملات سایبری موسوم به دی او اس با ظرفیت ۱.۳ ترابایت در ثانیه از کار افتاد. اما بعد از ۵ روز این رکورد حمله سایبری هم شکسته شد.

به گزارش خبرگزاری مهر به نقل از رجیستر، موسسه امنیتی آربور نتورکس می گوید گیت هاب روز گذشته حمله ای با ظرفیت بی سابقه ۱.۷ ترابیت در ثانیه را پشت سر گذارده و البته این بار بر خلاف دفعه گذشته از کار نیفتاده، زیرا برای مقابله با حمله دی او اس یادشده تمهیدات کافی را در نظر گرفته بود.

کارشناسان امنیتی بارها در مورد تشدید و گسترش حملات سایبری و به خصوص حملات موسوم به DOS هشدار داده اند. در قالب این حملات درخواست های زیادی برای بازدید از یک سایت به طور ناگهانی و گسترده ارسال شده و تلاش می شود با ایجاد ترافیک مصنوعی دسترسی به سایت مورد حمله مختل شود.

در حالی که تا سال ۲۰۱۲ ظرفیت ترافیک ایجاد شده در حملات دی او اس به ندرت از ۱۰۰ گیگابیت در ثانیه فراتر رفته بود، از سال ۲۰۱۳ شاهد اوج گیری و تشدید حملات دی او اس بوده ایم؛ به گونه ای که ترافیک کاذب ایجاد شده بر روی سایت های هدف در سال ۲۰۱۴ به رکورد بی سابقه ۳۰۹ گیگابیت در ثانیه و در سال ۲۰۱۶ به رقم ۶۵۰ گیگابیت در ثانیه افزایش یافت.

در حال حاضر و در شرایطی که تنها دو ماه از سال ۲۰۱۸ گذشته این رقم به ۱.۷ ترابیت در ثانیه رسیده است. مدیران سایت ها برای مقابله با این حملات باید از سرورهای قدرتمند و امکانات سخت افزاری متعددی استفاده کنند که در توان همه آنها نیست و تداوم این وضعیت می تواند آینده اینترنت را به طور جدی به چالش بکشد.

مجرمان اینترنتی با قرار دادن ویروسی در ۷۴۰۰ وب سایت در سراسر جهان، کنترل رایانه های کاربران مبتلا را به دست گرفتند و پول مجازی استخراج کردند.

به گزارش خبرگزاری مهر به نقل از میل آنلاین، هکرها هزاران وب سایت دولتی انگلیس را هک کرده اند تا بتوانند پول های مجازی مانند بیت کوین را ذخیره کنند.  وب سایت های متعلق به کمیسیون اطلاعات، شرکت وام های دانشجویی و وب سایت NHS اسکاتلند در انگلیس همه به نوعی ویروس مبتلا شدند. طبق آمار حدود ۷۴۰۰ وب سایت در سراسر جهان با این ویروس ها آلوده شده اند.

در نتیجه این حمله، مجرمان با استفاده از رایانه و موبایل های بازدیدکنندگان این سایت ها درآمدزایی کردند.

مجرمان سایبری ویروسی به نام Coinhive را در نرم افزار مورد استفاده در این وب سایت ها قرار دادند. وب سایت ها با استفاده از نرم افزار مذکور برای کاربران نابینا اجازه دسترسی فراهم می کردند. هنگامیکه کاربران روی سایت کلیک می کردند، این ویروس به رایانه های خودشان منتقل می شد.

در مرحله بعد هکرها با استفاده از قدرت پردازش اضافی که دستگاه های کاربران فراهم کرده بود، پول های مجازی مانند بیت کوین را استخراج کردند. در فرایند استخراج (Mining) با حل مسئله های پیچیده ریاضی سکه های دیجیتالی جدیدی به وجود می آیند. هنگامیکه سکه های مجازی به وجود بیایند، می توان آنها را به طور آنلاین ذخیره کرد.

اسکات هلم محقق امنیت سایبری می گوید: این نوع حمله چندان جدید نیست اما بزرگترین نمونه ای است که من تابه حال دیده ام.

از زمان به وجود آمدن پول مجازی، ارزش بیت کوین با ۷۲ درصد رشد به ۱۲۳۰۰ پوند رسیده است.

سرویس‌های امنیتی در آمریکا به موسسات مالی خود نسبت به توسعه روش جدید هکرها برای پول پارو کردن از دستگاه عابربانک / Jackpotting هشدار دادند.

به گزارش خبرآنلاین، کارشناسان سایت کربس{لینک} تایید کردند اولین پاروکردن پولِ عابربانک در آمریکا را رصد کرده‌اند که هکرهای نخبه، با ترکیبی از بدافزار و نصب «سخت‌افزار خود ساخته» اقدام به پاروکردن مقدار زیادی پول اسکناس از دستگاه عابربانک در یک بار حمله کرده‌اند.{لینک}

این سایت تایید کرد هفته گذشته از یکی از عابربانک‌های مکزیک مقادیر متنابهی اسکناس به شیوه جکپات پارو شده است.

یکی از معروف‌ترین سازندگان عابربانک، کمپانی Diebold Nixdorf نیز ضمن هشدار به سازمان‌هایی که از این نوع دستگاه استفاده می‌کنند، اعلام کرد مدل خاصی از عابربانک به نام Opteva در معرض جکپات قرار گرفته است.

کمپانی NCR Corp، دیگر سازنده دستگاه عابربانک نیز هشداری مشابه به مشتریان خود داده است. پس از ارسال اخطار چند روز پیش سازمان‌های امنیتی و اطلاعاتی آمریکا به نهادهای مالی، گفته می‌شود این هشدارها جدی تلقی شده و ممکن است هکرها از دستگاه‌های عابربانک(خودپرداز) در مکان‌های عمومی سوء استفاده کرده و همه پولهای آن را به ناگهان خالی کنند.{لینک}

اخیرا کمپانی امنیتی روسی به نام Group IB نیز اعلام کرد هکرها در سال 2016 از راه دور و با ارسال بدافزار دست به پاروکردن پول عابربانک‌های اروپایی زدند. حمله مشابه در همان سال در تایلند و تایوان گزارش شد اما اکنون این داستان وارد عابربانک‌های منطقه آمریکا شده و موج این حملات می‌تواند ضررهای جبران ناپذیری به اقتصاد کشورها وارد کند.

کسپرسکی سال گذشته اعلام کرد هکرهای عابربانک به 4 شیوه زیر تاکنون پول پارو کرده‌اند:

1- قطع کردن عابربانک از شبکه و اتصال کامپیوتر خود و جا زدن آن به عنوان مرکز تبادل مالی و شبکه.

2- کارمند داخلی بانک با استفاده از کلید(کد مخصوص) اجازه دسترسی به کابل شبکه را می‌دهد. هکر با یک کلید می‌تواند به چند دستگاه عابربانک در آنِ واحد وصل شده و به عنوان ادمین شبکه پول‌ها را خالی کند.

3- قرار دادن دستگاه عابربانک در حالت تعمیر و دسترسی به جعبه سیاه برای تخلیه پول.

4- یو اس بی آلوده به بدافزار و زدن آن به پورت دستگاه خودپرداز که از طریق یک فرد نفوذی در بانک انجام می‌شود.

گزارش ها نشان می دهد در هنگام استفاده از برخی برنامه ها و سایت های ایرانی، کاربران قربانی بیت کوین ماینر (سواستفاده از توان پردازشی رایانه قربانی برای استحصال بیت کوین) می شوند.
فناوران – در حال حاضر برخی کانال های تلگرامی مدعی هستند که برنامه های کامپیوتری موجود در بازار را یافته اند که هم زمان با نصب برنامه، نرم افزار بیت کوین ماینر روی رایانه قربانی نصب می کند.
در همین حال مرکز ماهر نیز با انتشار اطلاعیه ای این موضوع را رسما تایید و اعلام کرد برخی سایت ها از توان پردازشی رایانه بازدیدکنندگان برای استحصال بیت کوین سواستفاده می کنند.
به نظر می رسد با بالا رفتن شدید قیمت بیت کوین، جرایم در این حوزه رو به افزایش است.

 بیت کوین ماینر روی آنتی ویروس
یک کانال تلگرامی اخیرا با انتشار مدارکی مدعی شده است که برخی فروشندگان آنتی ویروس ESET این محصول را با قیمت بسیار پایین در بازار عرضه می کنند. همین موضوع کنجکاوی صاحب کانال را برانگیخته و او با بررسی فایل های موجود در سی دی این آنتی ویروس، به این نتیجه رسیده است که همراه با ESET، یک نرم افزار دیتاماینر نیز روی کامپیوتر قربانی نصب می شود.
براساس این گزارش آنتی ویروس های ESET در برخی موارد با قیمت تنها 1000 تا 1500 تومان در بازار به فروش می رسند در حالی که قیمت این محصول در سایتی مانند آمازون حدود 32 دلار است. مدیر این کانال تلگرامی گفته است که مدارک لازم را به مرکز ماهر و مرکز توسعه رسانه های دیجیتال نیز ارایه داده اما به دلیل آن که اقدامی روی این موضوع صورت نگرفته است، به ناچار این مدارک را در تلگرام منتشر کرده است.
مسوول بخش صیانت و بازرسی مرکز رسانه های دیجیتال وزارت ارشاد در پاسخ به فناوران در این باره گفت: این ادعاها به ما نیز اعلام شده است و ما نیز برای بررسی بیشتر موضوع را به پلیس فتا گزارش کردیم. اما از آنجا که پلیس فتا پاسخی به ما نداد، ما نیز اجازه ادامه فعالیت به فروشندگان این محصول را دادیم.
وی درباره دلیل ارزانی این محصول گفت: به هر حال این ها لایسنس هایی است که برای چندین کامپیوتر کپی می شوند و شرکت ها در رقابت با هم قیمت را بیش از اندازه پایین می آورند.
در تماس خبرنگار فناوران با مرکز ماهر، مدیران این مرکز حاضر به گفت وگو در این باره نشدند اما یک مقام آگاه در این مرکز به ما اعلام کرد که اصل ماجرا صحیح است و در حال بررسی های بیشتر همراه با پلیس فتا هستند.

 بیت کوین ماینر روی سایت ها
در عین حال مرکز ماهر در اطلاعیه ای با عنوان «هشدار مهم»‫ درخصوص سوءاستفاده برخی سایت ها از توان پردازشی رایانه بازدیدکنندگان استحصال بیت کوین هشدار داد.
در اطلاعیه مرکز ماهر آمده است: مشاهدات اخیر نشان داده است که شماری از سایت های داخلی وخارجی با سوءاستفاده از توان پردازشی رایانه بازدیدکنندگان خود اقدام به استحصال bitcoin یا سایر ارزهای مجازی می نمایند. این رفتار از دید کاربر به صورت افزایش درصد فعالیت پردازنده و کند شدن سرعت رایانه در هنگام مراجعه به صفحات یک سایت مشخص نمایان می شود. البته در این موارد، با بسته شدن صفحه سایت در مرورگر، اضافه بار پردازنده نیز متوقف شده و درواقع آلودگی پایداری روی سیستم عامل صورت نمی پذیرد.
این اطلاعیه افزوده است: این اقدام با قرارگیری اسکریپت های جاوااسکریپت استحصال بیت کوین در صفحات سایت توسط ادمین یا مهاجمین نفوذ کرده به سایت صورت می پذیرد. نمونه هایی از نحوه قرارگیری این اسکریپت ها نیز در تصاویر ارایه شده است.
در پایان این  اطلاعیه آمده است: «لازم است مدیران سایت های داخلی توجه داشته باشند مسوولیت قانونی این اقدامات بر عهده آنها است. همچنین کاربران می توانند در صورت مشاهده چنین سایت هایی موارد را جهت پیگیری به اطلاع مرکز ماهر برسانند».
این در حالی است که مرکز ماهر تاکنون هیچ کدام از سایت های خاطی را معرفی نکرده و حتی درباره برخورد با سایت هایی که جرم شان اثبات شده، توضیحی ارایه نکرده است. 

مسئله «ردپای روسیه» در حملات سایبری در آمریکا و اروپا دیگر به یک موضوع سیاسی تبدیل شده، هرچند اکنون از شدت آن کاسته شده، ولی تاثیر آن بر روابط غرب با مسکو دائمی است.

به گزارش تسنیم، در آغاز سال 2018 «هکرهای روسی» نزد افکارعمومی جامعه جهانی جزو اصلی ترین تهدیدات جهانی، در کنار جنگ هسته‌ای یا تروریسم بین المللی قرار گرفته اند. چنین برداشتی بعد از یک سری جنجالهای سیاسی در آمریکا و اروپا در رابطه با حملات سایبری و ارتباط آنها با نیروهای ویژه اطلاعاتی روسیه بوجود آمده است. روزنامه اینترنتی «گازیتا.رو» در تحلیلی، این مسئله را بررسی کرده که آیا مقامات مسکو که تمامی اتهامات در این باره را تکذیب کرده اند، می توانند در سال 2018 از شر این جنجال سیاسی خلاص شوند؟   

سناتور آمریکایی "ادگاردو کورتس" نماینده ایالت ویرجینیا در اواخر ماه نوامبر گفت که کنگره باید از رای دهندگان آمریکایی در برابر حملات هکرهای روسی دفاع کند، برای اینکه این حادثه روی نتایج انتخابات در ایالات متحده تاثیر خواهد گذاشت.  

نظریه این سناتور  یک ضعف داشت و آن اینکه تمامی صندوقهای رای گیری در آمریکا به اینترنت وصل نیستند تا حملات سایبری بر آنها موثر باشند و تاثیرگذاری بر آنها نیاز به حضور فیزیکی در حوزه های رای دهی دارد که بعید است هر نوع سازمان مخفی فعال در زمینه حملات سایبری، چنین توانایی و منابعی را در اختیار داشته باشد.

هکرها تنها می توانند به پایگاههای اطلاعاتی انتخاباتی حمله کنند که از سوی کمیته های انتخاباتی حزبی، بطور جدی و قابل اطمینانی محافظت می شوند. این در حالی است که نقش «هکرهای روسی» که در جریان انتخابات ریاست جمهوری سال 2016 در آمریکا آغاز و بعد از آن در سطح بالایی مطرح شد که به وضوح ماهیت اصلی این مشکل را نشان می دهد. مباحثات پیرامون این مسئله دیگر جنبه واقع بینانه خود را از دست داده اند. رسانه های گروهی بزرگ آمریکایی در طول سال 2017 هزاران مقاله در باره نفوذ (احتمالی) هکرهای روسی بر جریانات سیاسی آمریکا منتشر کردند. در حالیکه تاکنون حتی یک حمله سایری در ایالات متحده رخ نداده که سرویسهای اطلاعاتی و امنیتی آمریکایی تایید کنند که توسط همتایان روسی آنها انجام گرفته باشد. تنها ادعای مطرح شده در مورد «ردپای روسیه» این است که در زمان حمله به سرورهای حزب دموکرات آمریکا، در مسکو ساعت کاری بوده است.

تاثیر درازمدت «هکرهای روسی» بر روابط واشنگتن و مسکو

کارشناسانی که این روزنامه با آنها به گفت‌وگو پرداخته، یادآور شده اند که مسائل سیاسی با جهت گیری به سمت روسیه در آمریکا دیگر روندی غیرطبیعی پیدا کرده است.

"ایوان تیموفییف" مدیر برنامه ای شورای امور بین الملل روسیه یادآور شده است، همه چیز با شکست "هیلاری کلینتون" نامزد حزب دموکرات و پیروزی "دونالد ترامپ" نامزد حزب جمهوری خواه در انتخابات ریاست جمهوری آمریکا آغاز شد که البته ستاد انتخاباتی ترامپ تلاش کرد تا از این قضیه به نفع خود استفاده کند و این مسئله جدی تر شد. البته نتیجه منفی چنین اقدامی تا به امروز گریبان دونالد ترامپ را گرفته و جنجالهای زیادی بر سر ارتباط تیم وی با کرملین براه افتاده که در نهایت هم به کاهش اختیارات وی در زمینه لغو تحریمها، از سوی کنگره آمریکا منجر گردید.   

به گفته این کارشناس، در جریان تحقیقات در آمریکا پیرامون «ردپای روسیه در انتخابات ریاست جمهوری» تاکنون هیچ دلیل و شواهدی در این رابطه که سرویسهای امنیتی روسی سفارش دهنده یا مجری حملات سایبری در جریان انتخابات سال 2016 بوده اند، بدست نیامده. البته ظاهرا این مسئله دیگر اهمیتی ندارد. برای آمریکایی‌ها یک مسئله مهم است و آن اینکه دخالت روسیه یک واقعیت بوده و باید با آن مقابله کرد.  

تیموفییف افزود، موضوع «هکرهای روسی» چندین مرتبه در قانون مربوط به تحریمها علیه روسیه که دونالد ترامپ در تاریخ دوم آگوست آن را امضاء کرد، آمده است. و مسئله مهمتر آن است که این تحریمها دیگر یک قانون مصوبه کنگره بوده و برای مدت زمان طولانی بر روابط روسیه و آمریکا تاثیر خواهد گذاشت. در این قانون، ارگانهای دولتی و شهروندان روسی در فهرست سیاه تحریمها قرار گرفته اند که به عقیده مقامات آمریکایی در حملات سایبری به آمریکا دست داشته اند. نام بسیاری از مقامات نظامی و امنیتی روسیه در این فهرست دیده می شود. ضمن اینکه این فهرست در ماه دسامبر گسترش نیز پیدا کرد.  

توجه افکارعمومی آمریکا بر سیاست داخلی ترامپ معطوف شده است

این کارشناس روس معتقد است که در آخر سال 2017 علاقه مندی افکارعمومی آمریکایی به «ردپای روسیه در انتخابات» کاهش یافت، ولی مسلما بطور کامل فراموش نشده و ممکن است هر زمان دوباره مطرح شود. به گفته وی، در حال حاضر توجه رسانه های گروهی آمنریکایی بیشتر روی ابتکارعملهای داخلی دونالد ترامپ معطوف شده که برای جامعه آمریکا اهمیت بیشتری دارد. البته این به منزله آن نیست که تحریمهای ضدروسی به این زودیها لغو یا کاهش پیدا کنند.

به گفته تیموفییف، اگر در سال 2018 ترامپ تلاش کند تا توجه افکارعمومی آمریکا را از مسئله روسیه، یعنی «هکرهای روسی» منحرف سازد، رسانه های گروهی دوباره وی را به «داشتن ارتباط با کرملین» متهم خواهند کرد، برای اینکه رئیس جمهوری آمریکا در این عرصه بیشتر از اینکه متحدی داشته باشد، دارای دشمن است.  

ردپای هکرهای روسی در آلمان و فرانسه نیز دیده شده است

در اواخر سال 2016 خطر امکان حملات سایبری توسط سرویسهای اطلاعاتی روسی در دو کشور مهم در اتحادیه اروپا، یعنی آلمان و فرانسه نیز مطرح شد و هدف از آن نیز تلاش برای بی ثبات  کردن اوضاع سیاسی در این کشورها اعلام شد. البته دقیقا مانند وضعیت آمریکا، هیچ مدرکی در خصوص تایید این مسئله ارائه نشده است.

"الکساندر رار" مدیرعلمی انجمن آلمان-روسیه در برلین معتقد است که عامل «هکرهای روسی» در سال 2018 نقش بسیار کمتری در دستور کار اتحادیه اروپا خواهد داشت. به گفته وی، جنجالها پیرامون این موضوع در اتحایده اروپا بیشتر منعکس کننده واکنش سیاستمداران اروپایی به جریانات سیاسی داخلی در ایالات متحده بودند و بطور کلی در اروپا با آرامش بیشتری نسبت به حملات سایبری برخورد می شود.  

الکساندر رار یادآور شده است، با وجود تشدید اختلافات بین بروکسل و مسکو و اتهامات وارده از سوی مقامات ناتو به روسیه، بعید است مبارزه با «هکرهای روسی» به اولویتی برای این سازمان تبدیل شود.

این کارشناس گفت: «در هر صورت ناتو اقدامات خود در نزدیکی مرزهای غربی روسیه را تشدید کرده است. البته دلیل اصلی آن اوضاع داخلی در اوکراین است که همچنان برای مقامات بروکسل دارای اهمیت زیادی است. در سال 2018 هم بعید است این وضعیت تفاوتی یابد و موضوع اوکراین در دستور کار ناتو قرار خواهد داشت و بعید است مسئله هکرهای روسی آگاهانه بار دیگر مطرح شود، مگر اینکه دلیل تازه ای برای پرداختن به این موضوع پیدا شود.»

گشت و گذار در دنیای مجازی همان‌قدر که لذت بخش است گاهی برای ما دردسرهایی هم به بار می‌آورد حال چه کنیم که از بدافزارها کمتر آسیب ببینیم؟

به گزارش فارس، با گسترش استفاده از فضای مجازی و شبه های اجتماعی یکی از تهدیداتی که کاربران را نگران میکند گسترش ویروس ها یا همان بدافزارهاست.

بدافزارها انواع و اقسام مختلفی دارد برخی فایل های شما را نابود میکند برخی اطلاعاتتان را می دزدند و برخی حتی از شما در ازای بازگرداندن اطلاعاتتان باجگیری میکنند.

اما با توجه به اینکه نمی توان از فضای مجازی استفاده کرد و بالاخره بخشی از زندگی ما در این روزگار به این دنیای مجازی تعلق دارد مهم است که بدانیم برای مقابله با بدافزارها چه اقداماتی باید انجام دهیم.

تمام سیستم‌های موجود در شبکه را اسکن کنید تا از عدم وجود هر نوع ویروس، تروجان یا جاسوس‌افزار مطمئن شوید.

مطمئن شوید نرم‌افزار امنیتی شما کلیه راه‌های ورود و خروج شبکه را حفاظت می‌کند. همچنین همیشه مطمئن باشید که نرم‌افزار امنیتی شما از آخرین فایل‌های شناسایی کدهای مخرب، بهره‌مند است.

با استفاده از یک زمانبندی مناسب، همواره از اطلاعات سیستم‌ خود (هفتگی، روزانه و ...) پشتیبان‌گیری کنید.

در سایت‌های مربوط به فروشندگان نرم‌افزارهای امنیتی عضو شوید تا بولتن‌های مربوط به آخرین پچ‌ها و سایر امور و موارد لا‌زم برای شما ارسال شود.

فهرستی از شماره تلفن‌ افرادی که در مواقع بروز مشکل به آنان نیاز دارید، جمع‌آوری نمایید.

از تمام اطلاعات و سیستم‌های مهم خود کپی‌برداری کنید تا در مواقع ضروری و مورد نیاز بتوانید به عنوان پشتیبان از آن‌ها استفاده کنید و آن‌ها را در محیط اصلی بازیابی نمایید.

برای این کار باید مطمئن ‌شوید که به اندازه کافی فضای مورد نیاز برای نگهداری اطلاعات کامپیوترهای آلوده را در دسترس دارید. در این صورت باید کل هارددیسک‌ را به صورت Image کپی بگیرید.

سایبربان - امیرحسین شمس: ویکی لیس اسنادی منتشر کرد که در آن نشان می‌دهد آزمایشگاه کسپرسکی برای برخی اهداف مخرب خود از بدافزارها استفاده می‌نماید.
ویکی‌لیکس در والت هشتم (VAULT 8) از افشاگری‌های خود اظهار نمود که اطلاعات و کدهای منبع ای که چندی پیش از سازمان سیا سرقت شد، تبدیل به ابزاری مخرب برای بسیاری از هکرها شده است.
چندی پیش اسنادی از سازمان سیا منتشر شد که در میان آن‌ها اطلاعات مهمی وجود داشت و این اسناد در گزارش ویکی‌لیکس «Hive» نامیده شده‌اند.
اسناد هایو (Hive) خبر استفاده از گواهینامه‌های دیجیتالی جعلی توسط آزمایشگاه کسپرسکی دارد. در این گزارش آمده که برخی گروه‌های هکری و جاسوسی برای پنهانی کاری و اینکه هیچ رد پایی از خود باقی نگذارند از این دامنه‌های جعلی استفاده می‌نمایند؛ که طبق این گزارش کسپرسکی نیز ازاین‌روش برای جاسوسی‌های خود استفاده کرده است.
در بخش دیگری از گزارش ویکی‌لیکس آمده است، که برخی گروه‌های هکری و جاسوسی برای مخفی‌کاری و پنهان ماندن هویتشان از گواهینامه‌های دیجیتالی جعلی استفاده می‌نماید که ازقضا مشخص گردیده که آزمایشگاه کسپرسکی نیز از این قاعده مستثنا نبوده است.
در خبرهای گذشته آمده بود که مقامات آمریکا شدیداً به کسپرسکی بدبین شده بودند و به رفتارهای کسپرسکی و جاسوسی از کاربران اعتراض داشتند که ازاین‌رو استفاده از کلیه محصولات کسپرسکی به‌ویژه محصولات امنیت سایبری این شرکت را برای کلیه کاربران به‌ویژه کاربرانی که در موقعیت‌های حساس مشغول هستند ممنوع کرده بودند.
باوجود تمامی این اعتراض‌ها از مقامات آمریکایی، مسئولان کسپرسکی این ادعاها را بی‌پایه و اساس دانسته و این اعتراضات را قبول نمی‌کردند تا این گزارش که از ویکی‌لیکس منتشر گردیده و پاسخ همه شبهات را داده است.
 
مدیرعامل آزمایشگاه کسپرسکی «Eugene» به این گزارش ویکی‌لیکس در توییتر پاسخی دو پلو داد، به‌عبارتی‌دیگر هم استفاده از گواهینامه‌های دیجیتالی جعلی را تأیید نمود و هم اظهار کرد که اطلاعات کاربران ما ایمن هستند.

ویکی‌لیکس گزارش داد، که سازمان سیا تمامی دامنه‌هایی که در زمینه تجاری فعالیت می‌کند را ذخیره می‌کند حتی سرورهای مجازی «VPS» را طبق کدهایشان شناسایی می‌نماید. همچنین سرورهای سازمان سیا تمامی اطلاعات در و بدل شده در ترافیک « HTTP(S) » و همچنین «VPN» که مخفی می‌باشند.

این سرور قدرتمند سازمان سیا «CIA» را بولت «Blot» به معنای آذرخش یا صاعقه می‌نامند.

طبق ادعای سازمان سیا و گزارش‌های رسیده به ویکی‌لیکس مشخص گردید که برخی گواهی‌نامه‌های دیجیتالی جعلی که از طریق آن‌ها به سیستم‌های کاربران نفوذ شده است متعلق به روسیه بوده و از سمت آن کشور تغذیه می‌شده است.
در این روش سازمان سیا با بررسی ترافیک خروجی از سازمان هدف و بررسی ریزبه‌ریز ترافیک‌های یک سازمان متوجه خروج برخی اطلاعات از طریق گواهینامه‌های دیجیتالی جعلی منتصب به روسیه می‌شود و با بررسی‌های بیشتر مشخص گردیده که از سازمان هدف نیز از تجهیزات کسپرسکی استفاده می‌کرده است.

ظاهراً ادعاهای برخی متخصصان و کارشناسان در مورد سرک کشیدن ضدویروس کاسپرسکی به رایانه‌های کاربران بیراه نبوده و این برنامه امنیتی فایل‌هایی را بدون اجازه جابه‌جا کرده است.

به گزارش  فارس به نقل از انگجت، مدیران ارشد کاسپرسکی حالا در تلاش هستند تا ترس و وحشت ناشی از انتشار این اخبار را مهار کنند و عملکرد ضدویروس این شرکت را واضح و شفاف نشان دهند.

یوگنی کاسپراسکی موسس و مدیر شرکت کاسپرسکی می گوید نرم افزار ضدویروس تولیدی این شرکت برخی فایل ها را که تهدید مستقیم محسوب نمی شوند از روی رایانه های کاربران کپی کرده است.

به عنوان مثال این نرم افزار ابزاری به نام گری فیش را که برای دستکاری منوی استارت ویندوز به کار می رود را پاک کرده و در مورد دیگری عکسی از فردی مظنون به فعالیت های هکری را از رایانه وی به سرورهای شرکت کاسپرسکی منتقل کرده است.

به هر حال این اقدامات به معنای نقض حریم شخصی کاربران این برنامه ضدویروس است و نشان می دهد که این نرم افزار هم قابلیت سوءاستفاده را دارد.

مدیر کاسپرسکی برخی از این ادعاها و البته نه ادعای آخر را تایید کرده ولی از بیان تعداد موارد انتقال مخفیانه فایل های کاربران یا حذف آنها خودداری کرده است. مقامات آمریکایی حدود یک سال است از شرکت ها و موسسات تجاری خود خواسته اند استفاده از نرم افزارهای امنیتی کاسپرسکی را به علت وابستگی به دولت روسیه متوقف کنند؛ ادعایی که توسط مدیر این شرکت رد شده است.

مرکز ماهر نسبت به انتشار جاسوس افزاری به نام دادسرای الکترونیکی (e_dadsara) که با هدف سرقت اطلاعات حساب بانکی کاربران، فعال شده است، هشدار داد.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به بدافزاری و جاسوس‌افزاری است که اخیرا در ایران مشاهده شده است، هشدار داد.

این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشه‌ای حاوی اطلاعات الکترونیکی دادسرا می‌کند. این درحالی است که جاسوس‌افزار مخفی شده در شکل پوشه است.

هدف اصلی این جاسوس‌افزار، سرقت اطلاعات قربانی به خصوص اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم،  محتوای کلیپ‌بورد و برنامه‌های اجرا شده توسط کاربر است. 

نحوه شناسایی سیستم آلوده از طریق لاگ‌های شبکه

مرکز ماهر اعلام کرد: تمامی سیستم‌هایی از شبکه که با آدرس ftp://files.۰۰۰webhost.com/public_html/Kl۳۶z۰fHjrKlemente۶۰۲KA۱/ در ارتباط باشند تحت آلودگی این جاسوس افزار قرار دارند. با توجه به این که ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستم‌های میزبان نیز در نظر گرفته شود.

بررسی وجود آلودگی

۱. وجود پوشه‌ای در مسیر زیر در سیستم:
%AppData%Roaming\Adobe\Flash player\AFCache که در آن فایلی با نام syslog<date>.dat و پوشه‌ای دیگر با نام err قرار گرفته‌اند. 

۲. وجود فایلی با مشخصات زیر در سیستم:
%AppData%Roaming\Adobe\HostService.exe

۳. وجود زیرکلیدی با نام HostService (که مقدار آن مشخصات فایل معرفی شده در قسمت ۲ است) در مسیر رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run

۴.  وجود کلید رجیستری در مسیرهای زیر: 
HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe

نحوه پاک‌سازی سیستم

۱. پایان دادن به پردازه HostService.exe در صورتی که در حال اجرا در سیستم است. 
۲. حذف فایل‌ها و کلید رجیستری ایجاد شده (در صورت وجود) که در قسمت قبلی به آن اشاره شده است. 

بررسی پاک بودن سیستم

۱. نبود مقدار HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService در کلید رجیستری ویندوز.
۲. نبود فایل‌هایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
۳. نبود ارتباطات FTP که در فرایند احراز هویت، از نام کاربری solmondesigner استفاده شده باشد.

توصیه‌های امنیتی برای پیشگیری

۱. خودداری از باز کردن مستندات الحاق شده به ایمیل‌های ناشناس و ...
۲. به‌روز بودن نرم‌افزار ضدبدافزار نصب شده روی سیستم
۳. فعال کردن ویژگی نمایش پسوند فایل‌ها در ویندوز و احتیاط در اجرای فایل‌های دارای پسوند exe

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از بروز حملات باج افزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد.

به گزارش خبرنگار مهر، مرکز ماهر در اطلاعیه ای اعلام کرد: در هفته‌های اخیر، گزارش های متعددی از حمله باج افزارها (نرم افزار مخرب باج گیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است.

ورود باج افزارها به نسخه آسیب پذیر ویندوز

بررسی‌های فنی نشان داده که در بسیاری از این حملات،  مهاجمان با سوء استفاده از دسترسی‌ به «سرویس دسترسی از راه دور» در سیستم‌ عامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP) است، وارد شده، آنتی ویروس نصب شده را غیرفعال کرده و با انتقال فایل باج افزار، اقدام به رمزگذاری فایل‌های سرور می‌کنند.

حتی در مواردی، مشاهده شده است که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفاده‌های ممکن، زمان و الگوی انجام پشتیبان‌گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باج‌افزاری بی‌نقص شده‌اند.

طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، در این حملات، مهاجم با سوء استفاده از نسخه‌های آسیب‌پذیر سرویس Remote Desktop‌، رمز عبور ضعیف، تنظیمات ناقص یا بی‌احتیاطی در حفاظت از رمز عبور، وارد سرورها می‌شود.

ریموت دسکتاپ غیرضروری را مسدود کنید

درپی حمله باج افزاری پیش آمده، مرکز ماهر از کاربران سامانه های نرم افزاری خواست به منظور جلوگیری از وقوع این حملات، تا حد امکان، نسبت به مسدود کردن سرویس های غیرضروری ریموت دسکتاپ روی سرورهای در دسترس از طریق شبکه اینترنت اقدام کنند و در صورت ضرورت و غیرقابل اجتناب بودن ارائه این امکان در بستر اینترنت، موارد زیر را به دقت رعایت کنند.

فعال بودن دسترسی Remote Desktop ‌به صورت حفاظت نشده در سطح اینترنت، سرور و داده‌های کاربران را جدا در معرض خطر قرار خواهد داد.

این نکات را جدی بگیرید

۱. به‌روزرسانی مداوم سیستم‌ عامل و هوشیاری از احتمال رخداد حملات جدید و شناسایی آسیب‌پذیری‌های جدید.

۲. انجام منظم و سخت‌گیرانه پشتیبان‌گیری از اطلاعات روی تعداد کافی از رسانه‌های ذخیره‌سازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبان‌گیری.

۳. عدم استفاده از کاربر ادمین (Administrator) برای دسترسی از راه‌دور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظور.

۴. تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش‌های ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام کرده و تغییر رمز عبور در بازه زمانی معقولی را اجبار کند.

این فرآیند در سیستم‌عامل‌های مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می‌شود.

۵. در صورت امکان، محدود کردن اجازه استفاده از خدمات دسترسی از راه‌دور در فایروال به آدرس آی‌پی‌های مشخص و نیز ایجاد لایه‌های دفاعی بیشتر با تکیه بر خدماتی چون VPN.

۶. محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راه‌دور با استفاده از Group Policy Manager ویندوز. برای مثال محدود کردن دسترسی به ساعات اداری یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال کردن آن پس از رفع نیاز.

۷. بررسی مداوم و روزانه گزارش‌های امنیتی (به ویژه گزارش مربوط به Log-in در Event-viewer ویندوز)، گزارش آنتی ویروس و فایروال، جهت آگاه شدن از مواردی چون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیرمتعارف همچون ورود در روزها یا ساعت‌های تعطیل و تلاش‌های ناموفق بدافزارها برای دسترسی و آلوده سازی.

۸. دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور؛ به ویژه زمانی که برای اتصال از رایانه دیگران استفاده می‌شود. چرا که انواع Key logger از تروجان‌ها می‌توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان به سرورها را ممکن کنند.

مرکز ماهر هشدار داد: حملات باج افزاری به سرویس های دسترسی از راه دور، به این دلیل اینکه در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را می‌بینند، بسیار خطرناک بوده و منشاء اغلب حملات با میزان خسارت درشت در ماه‌های اخیر هستند.

مرکز مدیریت امداد و هماهنگی عملیات رخداد های رایانه ای (ماهر) جدول آسیب پذیری نرم افزارهای پرکاربرد در کشور نحوه به روز رسانی آنها را منتشر کرد.
فناوران - در این جدول آسیب پذیری ها به سه سطح زیاد، متوسط و کم تقسیم شده و تاریخ انتشار آخرین به روز رسانی، خلاصه ای از آسیب پذیری و نحوه رفع آن نوشته شده است.

 سرویس دهنده ها
در بخش سرویس دهنده ها (وب، پست الکترونیکی، پراکسی و...)، Apache web sever دارای آسیب پذیری سطح زیاد است که شامل چندین آسیب پذیری جلوگیری از سرویس در این نرم افزار می شود. همچنین Microsift SharePoint Server نیز آسیب پذیری هایی با سطح متوسط شامل سطح دسترسی، آشکارسازی اطلاعات و XSS در Microsift SharePoint Server  به واسطه پاک سازی نشدن مناسب یک درخواست جعلی خاص گزارش شده است.
میزان آسیب پذیری Samba هم زیاد گزارش شده که سبب جلوگیری از سرویس به واسطه نقص در عملکرد smbd و افتادن تابع fd-open-atomic در حلقه بی نهایت و مصرف بالای پردازنده و حافظه می شود.
در این بخش آسیب پذیری هایActive Directory و Hyper-V نیز دچار آسیب پذیری با سطح خطر متوسط هستند.

 سیستم های عامل
در این بخش مرکز ماهر تعداد زیادی آسیب پذیری با سطح خطر زیاد و متوسط در لینوکس و ویندوز شناسایی کرده است.
در لینوکس چندین آسیب پذیری برای به دست آوردن اطلاعات حساس و جلوگیری از سرویس در نسخه های مختلف هسته لینوکس گزارش شده که البته برای برخی از آنها هنوز راه حلی ارایه نشده است.
در ویندوز مواردی چون آسیب پذیری افزایش سطح دسترسی و اجرای کد دلخواه در DirectX با استفاده از اجرای برنامه کاربری جعلی روی سیستم قربانی، آشکارسازی اطلاعات در هسته ویندوز، آشکارسازی اطلاعات و اجرای کد از راه دور در ویندوز به واسطه مدیریت نادرست در حافظه توسط Windows Search با ارسال یک متن جعلی، افزایش سطح دسترسی، آشکارسازی اطلاعات و اجرای کد دلخواه در مولفه Graphics ویندوز ازجمله آسیب پذیری های گزارش شده است.
در Apple iTunes، iOS، iCloud، macOS، tvOS، Safari و watchOS نیز آسیب پذیری های دورزدن محدودیت های امنیتی، افزایش سطح دسترسی، به دست آوردن اطلاعات حساس، اجرای کد از راه دور و جلوگیری از سرویس در محصولات apple وجود دارد.

 محیط های برنامه نویسی
مرکز ماهر درباره آسیب پذیری در محیط های برنامه نویسی شامل Joomla، Drupal و WordPress هشدار داده است. جلوگیری از سرویس، دور زدن محدودیت های امنیتی و نقص در عملکرد از جمله این آسیب پذیری هاست که اکثر آنها در نسخه های بالاتر برطرف شده است.

 مرورگرهای اینترنت
در بخش مرورگرها نیز Microsoft Edge با چندین آسیب پذیری با سطح خطر زیاد مواجه است که شامل دورزدن محدودیت های امنیتی، به دست آوردن اطلاعات حساس و جلوگیری از سرویس است.
Internet Explorer نیز آسیب پذیری هایی شامل اجرای کد از راه دور و آشکارسازی اطلاعات حساس به واسطه دسترسی نامناسب به اشیا و مدیریت نادرست اشیا در حافظه و برای Chrome چندین آسیب پذیری جلوگیری از سرویس در این مرورگر گزارش شده است. این آسیب پذیری ها در آخرین نسخه مرورگرها رفع شده است.

 تجهیزات شبکه، دیواره های آتش و ضد بدافزار
در بخش مجازی سازی محصولات VMware با آسیب پذیری های خطرناکی شامل جلوگیری از سرویس و اجرای کد روبه رو هستند. همچنین در بخش تجهیزات شبکه محصولات Cisco، QNAP QTS و Mikrotik با آسیب پذیری هایی رو به رو هستند که مسوولان شبکه شرکت ها باید به آن توجه کنند.
اما نکته جالب اینکه دو آنتی ویروس Avast و McAfee که قرار است مانع آسیب پذیری باشند، با مشکل مواجهند. براساس این گزارش آنتی ویروس های نسخه قبل از 17 Avast ممکن است با آسیب پذیری دورزدن محدودیت های امنیتی و جلوگیری از سرویس 
مواجه شوند.
مکافی نیز مشکل جلوگیری از سرویس در نسخه های سازمانی را به واسطه وجود خرابی حافظه با استفاده از یک لینک HTML جعلی دارد که البته تاکنون راه حلی برای آن ارایه نشده است.

 نرم افزارهای کاربردی
یکی از نرم افزارهای پرکاربرد ایرانی ها OpenVPN است که چندین آسیب پذیری شامل آشکارسازی اطلاعات، خرابی حافظه و جلوگیری از سرویس در آن شناسایی شده که البته در نسخه های جدید این مشکلات برطرف شده است.
نرم افزار Microsoft Office هم با مشکل اجرای کد از راه دور به واسطه بروز خطا هنگام مدیریت اشیا در حافظه در صورت بازکردن یک فایل جعلی خاص مواجه است.
Photoshop، SolarWinds LEM، Foxit Reader and PhantomPDF، Kerio Connect، Veritas Net Backup، McAfee NDLP، 7 ZIP، Skype، NVIDIA Display Driver، Adobe Flash Player، Adobe Shockwave Player، Wireshark، glibc، FFmpeg، Acronis True Image، Webmin و Vim دیگر نرم افزارهای پرکاربردی است که مرکز ماهر آسیب پذیری های آنها را گزارش کرده و البته اکثر آنها در صورت به روز رسانی به موقع، مشکل شان 
رفع خواهد شد.