ITanalyze

نادر نینوایی - قبل از ورود به اصل گزارش باید دو نکته را توضیح بدهیم:

نخست آنکه موضوع تامین امنیت و حریم سایبری کشورها و شهروندان در دنیا اصولا مقوله‌ای صد در صدی نیست و کشورهای پیشرفته نیز با وجود صرف هزینه‌های سنگین و برنامه‌های متعدد، با چالش‌های بسیار گسترده و پیچیده مواجه هستند.

دوم آنکه در کشور ما نیز بی‌گمان هستند نهادهایی که اقدامات آنها در دفع معضلات و تامین امنیت سایبری به درستی رسانه‌ای نمی‌شود و مقصود این گزارش رد تمامی ‌اقدامات و تلاش‌های دست‌اندرکاران حریم و امنیت سایبری ایران و ایرانی‌ها نیست.

با این توضیحات اما زنگ‌های خطر نسبت به قرار گرفتن ایران در زمره کشورهای پرمخاطره از نظر حملات سایبری و آلودگی به انواع بدافزارها و روش‌های مخرب مبتنی بر فضای مجازی، به صدا درآمده است و به سادگی نمی‌توان از کنار آن گذشت.

ما اما از دو جهت و به سرعت در حال دریافت حملات و تبدیل شدن به یکی از ناامن‌ترین کشورها از نظر امنیت سایبری هستیم، نکته قابل توجه آنکه این گزارش صرفا با اتکا به برخی از اخبار از حملات، ناامنی‌ها و معضلات سایبری کشور در یک سال اخیر تهیه شده است که همین بررسی اجمالی نیز به خوبی گویای جهش خطرناک این مشکلات است.

پرواضح است که این اطلاعات نیز صرفا با اتکا به آن بخش از داده‌هایی حاصل شده که رسانه‌ای شده‌اند. زیرا در دنیای سایبری به دلایل متعدد از جمله حفظ اعتبار و نام برندها یا القای چهره‌ای قدرتمند از امنیت بالای سایبری کشورها، بسیاری از حملات، مشکلات و نقایص امنیتی اصولا خبری نمی‌شوند.

ناامنی‌هایی با منشا داخلی

همان‌طور که ذکر شد ما از درون کشور نیز با تهدیدهای سایبری مواجه هستیم که بعضا قابل رفع و رجوع هستند. اما مساله اینجا است که مشکلات با منشا داخلی کم نبوده‌اند و عادت کردیم که هر ماه لااقل یک خبر در این خصوص در رسانه‌ها ببینیم. حمله کفتار سایبری به کسب‌و‌کارها، حملات فیشینگ به درگاه‌های بانکی، تشدید نفوذ به سرورهای ایرانی و رواج ناامنی از طریق برخی مارکت‌های اندرویدی داخلی همه و همه نمونه‌هایی از این وضع نامناسب در حوزه امنیت سایبری کشور هستند که در ادامه آنها را با هم مرور می‌کنیم.

حملات فیشینگ به درگاه‌های بانکی

چهارم اردیبهشت ماه 97، مرکز ماهر از رشد حملات فیشینگ درگاه‌های پرداخت بانکی با انتشار برنامه‌های اندرویدی مخرب یا جعلی خبر داد.

این مرکز اعلام کرد بر اساس رصد صورت گرفته حملات فیشینگ درگاه‌های پرداخت بانکی در این مقطع رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامه‌های اندرویدی مخرب یا جعلی صورت گرفته بود.

رواج ناامنی از طریق مارکت‌های داخلی

بررسی‌های مرکز ماهر روی اپلیکیشن‌های عرضه شده بر بستر برخی مارکت‌های اندرویدی داخلی در طول یک سال گذشته گویای این امر بوده که بسیاری از این اپ‌ها حاوی بدافزار و جاسوس‌افزار بوده‌اند و این مارکت‌ها بررسی‌های امنیتی را روی اپ‌های عرضه شده، انجام نمی‌دهند.

در یک نمونه، گزارشی که مرکز ماهر در اواخر آذرماه 1397، منتشر کرد نشان می‌دهد بسیاری از اپلیکیشن‌های فارسی که مدعی ارایه خدمات آنتی‌ویروس هستند، نه تنها این خدمات را در عمل ارایه نمی‌کنند که به سوءاستفاده از کاربران می‌پردازند.

بررسی 60 آنتی‌ویروس اندرویدی منتشره در یک مارکت ایرانی در این گزارش نشان داد نه تنها هیچ کدام از آنها از کاربران در برابر ویروس‌ها محافظت نمی‌کنند، بلکه صرفا با هدف ارسال تبلیغات به یک میلیون کاربرشان ساخته شده‌اند.

مرکز ماهر اوایل دی ماه نیز گزارش روشنگرانه دیگری را به صورت عمومی ‌منتشر کرد. در این گزارش و در بررسی انجام شده بیش از 200 برنامه اندرویدی که خدمات مرتبط با اینستاگرام ارایه می‌دهند از برخی مارکت‌های داخلی جمع‌آوری و بررسی شد.

از این میان حدود 100 برنامه برای ارایه خدمات نیاز به ورود به حساب اینستاگرام کاربر داشتند. در بین این برنامه‌ها بیش از 50 برنامه سارق اطلاعات کاربران شناسایی شد. این برنامه‌ها نام کاربری و رمز عبور اینستاگرامی ‌کاربر را به روش‌های مختلف استخراج کرده و به سرور توسعه‌دهندگان ارسال می‌کردند. با توجه به آمار نصب‌ این برنامه‌ها به‌صورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامه‌ها قرار گرفته است.

نیمه دی ماه نوبت به انتشار گزارش دیگری از مرکز ماهر در خصوص بازی‌های موجود در کافه‌بازار رسید.

بازی‌های قدیمی‌کنسول، دسته‌ای از برنامه‌های موجود در فروشگاه‌های اندرویدی هستند که به دلیل خاطره‌انگیز بودنشان، در بین کاربران اندرویدی طرفداران زیادی دارد. برای اجرای این بازی‌های قدیمی ‌در محیط اندروید لازم است شبیه‌سازی به منظور پیاده‌سازی و اجرای بازی وجود داشته باشد.

این فایل شبیه‌ساز اغلب در فایل نصبیapk  قرار دارد و پس از نصب، از کاربر خواسته می‌شود تا برنامه شبیه‌ساز را نصب کنند. با تایید کاربر، فایل ثانویه شبیه‌ساز روی دستگاه نصب شده و کاربر می‌تواند بازی کنسول را روی دستگاه اندرویدی خود اجرا کند. همین فرایند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سوءاستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است.

در نهایت اسفند ماه سال گذشته و در جریان رسیدگی به یکی از دلایل خارج شدن گوشی‌های سامسونگ از گارانتی در ایران، گوشه دیگری از ناامنی برخی مارکت‌های اندروید ایرانی بیرون زد. سامسونگ اعلام کرده بود نصب برنامه‌های اندرویدی از منابع نامعتبر باعث صدمه به دستگاه و خارج شدن آن از شمول گارانتی است.

شرکت سامسونگ در گزارشی مشروح و 40 صفحه‌ای که ظاهرا در اختیار مرکز ماهر قرار گرفته، از وجود مشکلات و برنامه‌های مخرب در برخی مارکت‌های موبایلی ایرانی خبر داد که می‌تواند به گوشی کاربران آسیب برساند.

موضوعی که با واکنش چند خطی و توییتری مدیرعامل کافه‌بازار همراه شد و آن را رد کرد. هرچند که دلایل مشخصی برای رد گزارش سامسونگ ارایه نشد.

ماجرای کفتار سایبری

بهمن ماه 97، کارشناسان و مدیران چند کسب‌و‌کار اینترنتی و رسانه‌ها در مصاحبه‌ای از حمله گسترده DDoS به کسب‌و‌کارهای داخلی خبر دادند. اما تفاوت این حمله با حملات پیشین این بود که نه تنها منشا داخلی داشت که برای این حملات از تعداد بسیار زیادی از‌IPهای ایرانی استفاده می‌شد. به این ترتیب بخش مهمی ‌از دستگاه‌های موبایل و کامپیوتر ایرانی‌ها بر اثر نصب یک بدافزار، آلوده شده و تبدیل به زامبی‌هایی شدند که با دستور یک گروه هکری، برای حمله به کسب‌و‌کارها، از آن استفاده شد.

باتوجه به اینکه تنها برنامه‌ای که اخیرا و به‌طور گسترده در موبایل‌ها و کامپیوترهای ایرانی‌ها نصب شده بود، ابزارهای دورزدن فیلترینگ تلگرام از قبیل فیلترشکن‌ها و پوسته‌های فارسی بود برخی این‌طور گمانه‌زنی می‌کردند که این فیلترشکن‌ها عامل آلوده شدن موبایل‌های کاربران ایرانی باشد. در حالی که روی Gateway اینترنت بین‌الملل سرویس DDoS Protection نصب شده اما چنین سرویسی روی شبکه ملی اطلاعات وجود نداشت و همین باگ امنیتی برای کشور مساله‌ساز شد. بماند که سرنوشت پرونده کفتار سایبری هم معلوم نیست که چه شد.

تشدید نفوذ به سرورهای ایرانی

15 اسفند ماه سال قبل یک کارشناس امنیت اطلاعات از افزایش حجم حملات سایبری در فضای سایبری ایران خبر داد و اظهار کرد: اخیرا حملاتی برای نفوذ به سرورها در ایران دیده می‌شود که این حملات از گذشته همواره وجود داشته‌اند اما در بازه چهار تا پنج ماه اخیر به‌طور غیرعادی و مخصوص افزایش یافته‌اند.

وی ادامه داد: در این حملات، شاهد پویش‌ پورت‌ها از خارج کشور هستیم که کنترل سیستم کاربر در دسترس دیگران قرار می‌گیرد و اطلاعات به‌طور کامل پاک شده و از سیستم فرد قربانی، برای مقاصد مخربانه استفاده می‌شود.

به گفته وی مراکز داده در دنیا وظیفه دارند این متد پویش درگاه‌های ارتباطی را محدود کنند اما چون این اقدامات هزینه‌بر بوده و نیاز به کنترل مداوم دارد در ایران خیلی جدی گرفته نمی‌شود.

خطرات ناشی از فیلترشکن‌ها

بر اساس دانش عمومی ‌امنیت فناوری اطلاعات و از دیدگاه حاکمیت، استفاده از فیلترشکن از سوی کاربران، بسیار خطرناک‌تر از استفاده آنها از پلتفرم‌هایی مانند تلگرام است. وقتی کاربر از تلگرام یا هر پلتفرم دیگری به صورت مستقیم و بدون فیلترشکن استفاده می‌کند، می‌توان اطمینان پیدا کرد که تبادل داده کاربر صرفا با سرور آن پلتفرم انجام می‌شود، در صورتی‌ که وقتی کاربر از فیلترشکن استفاده می‌کند، ممکن است تمام اطلاعات کاربر در اختیار سرور فیلترشکن قرار گیرد.

از سوی دیگر با استفاده روزافزون از فیلترشکن‌ها، با انواع آسیب‌پذیری‌ها در کشور مواجه هستیم که خود می‌تواند از نظر گسترش انواع آلودگی‌های سایبری، حفظ حریم خصوصی افراد و نگهداری حریم مجازی کشور بسیار خطرناک باشد زیرا با استفاده گسترده از فیلترشکن‌ها، کنترل و پایش دستگاه‌های کاربران از سوی سرورهای فیلترشکن‌ها امکان‌پذیر می‌شود و این خطر بزرگی است.

بماند که چندان اغراق نیست اگر این ادعا تایید شود که ایران در صدر استفاده از فیلترشکن‌ها به تناسب جمعیت در دنیا قرار دارد.

جرایم شکل گرفته بر بستر سایت دیوار

براساس گزارش پلیس فتا، در ده ماهه سال 97، وقوع جرایم در سایت دیوار روند صعودی داشته است.

سرهنگ تورج کاظمی، رییس‌پلیس فتا تهران بزرگ در این باره گفته است: 20 درصد جرایم سایبری از بستری مثل سایت دیوار است و آسیب‌پذیر بودن این سایت‌ها موجب تبلیغ فعالیت کلاهبرداران و متضرر شدن مردم می‌شود. به همین خاطر باید موضوع این سایت‌ها را جدی گرفت.

شانزدهم بهمن ماه 1397، پلیس فتا از دادستانی تهران درخواست کرد با توجه به افزایش جرایم در سایت دیوار و ناتوانی مدیران سایت در کنترل آگهی‌ها، این سایت را مسدود کند.

رییس‌پلیس فتا تهران بزرگ در این مقطع با اشاره به پرونده‌های تشکیل شده در تهران در ارتباط با کلاهبرداری در سایت دیوار گفت: در ابتدا باید اشاره کنم پلیس فتا هیچ مجوزی برای فعالیت این سایت نداده و در توان پلیس فتا نیست که بر تمام آگهی‌های سایت و اقدامات این سایت نظارت داشته باشد. در 10 ماهه نخست امسال 3 هزار پرونده کلاهبرداری مرتبط با سایت دیوار در پلیس فتا تشکیل شده که بیش از 30 نفر از آنها دستگیر شدند. مبلغ کلاهبرداری‌ها نیز بیش از 2 میلیارد تومان است. کلاهبرداری یکی از جرایم رخ داده در سایت دیوار است و ما شاهد خرید و فروش اجناس ممنوعه در آن و ارایه خدمات نامتعارف هستیم به‌طوری که در خبرها داشتیم مرد آزارگری طعمه‌هایش را از طریق این سایت انتخاب می‌کرد.

این در حالی است که در نمونه‌های مشابه در دنیا، این مساله حل شده و با مشکل مشابه ما مواجه بوده‌اند که در گزارشی دیگر به جزییات این مساله نیز خواهیم پرداخت.

افزایش ۹۰ درصدی جرایم سایبری در ایران

هجدهم فروردین ماه امسال، فرمانده انتظامی‌ تهران بزرگ گفت: در نوروز 98 نسبت به مدت مشابه شاهد افزایش 90 درصدی وقوع جرایم در فضای مجازی بودیم و 855 پرونده به پلیس فتا واصل شد که 83 درصد آنها کشف شد، 141 نفر از مجرمان فعال در فضای مجازی بازداشت شده، پنج جرم برتر در فضای مجازی در نوروز به ترتیب مربوط به برداشت غیرمجاز اینترنتی،‌ کلاهبرداری اینترنتی، مزاحمت‌های اینترنتی، دسترسی غیرمجاز به داده‌ها و تهدید و اخاذی بود که از میان جرایم پنج‌گانه، 51 درصد پروند‌ه‌ها مربوط به برداشت غیرمجاز اینترنتی بود.

حملاتی با منشا خارجی

همان‌طور که ذکر شد در کنار معضلات لاینحل داخلی، طبعا ما با حملات و ناامنی‌های سایبری از خارج از مرزهای کشور نیز مواجه هستیم که در این گزارش به مرور تنها نمونه‌هایی که در یک سال گذشته به وقوع پیوسته، می‌پردازیم.

ایران در رتبه 9 آلودگی سیستم‌های سایبری صنعتی

سوم دی ماه 1396، نتایج به دست آمده از تهدیدات سامانه‌های کنترل صنعتی در شش ماهه‌ اول سال ۲۰۱۷ نشان داد که ایران در میان ۱۰ کشور اولی است که سامانه‌های آن به دلیل تهدیدات سایبری، آلوده شده‌اند.

بر مبنای این بررسی‌ها همچنین مشخص شد در نیمه اول سال ۲۰۱۷ در بین ۱۵ کشوری که بالاترین درصد سامانه‌های کنترل صنعتی مورد حمله قرار گرفته را داشتند، ایران رتبه هفتم را به خود اختصاص داده است.

اگرچه سامانه‌های کنترل صنعتی به‌منزله‌ هسته‌ مرکزی کنترل و نظارت زیرساخت‌های حیاتی نظیر شبکه‌های انتقال و توزیع برق، نیروگاه‌های هسته‌ای، پالایشگاه‌ها، شبکه‌های آب و کارخانه‌های نفت و گاز محسوب می‌شوند، اما با توجه به قدیمی ‌بودن این سامانه‌ها در کشور، به امنیت آنها توجه چندانی نشده است.

اطلاعیه درباره اختلال گسترده اینترنت در ایران

17 فروردین ماه 1397، اختلالاتی سراسری در سرویس اینترنت کشور و سرویس‌های مراکز داده داخلی در ساعت حدود 20:15 رخ داد. در طی بررسی‌های اولیه مشخص شد این حملات شامل تجهیزات روتر و سوییچ‌های شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و تمامی پیکربندی‌های این تجهیزات حذف شده است.

در پی این حادثه حتی ارتباط دیتاسنتر میزبان سایت مرکز ماهر نیز دچار مشکل شده بود و این مشکل تا ساعت ۴ بامداد هجدهم فروردین ادامه داشت.

جاسوسی ZooPark در تلگرام از ایرانی‌ها

15اردیبهشت ماه 1397 نیز شرکت کسپرسکی در گزارشی از یک عملیات جاسوسی سایبری به نام ZooPark علیه کاربران دستگاه‌های اندرویدی ساکن خاورمیانه از جمله ایران پرده برداشت.

براساس این گزارش بیشترین تمرکز این عملیات علیه کاربرانی در ایران، مصر، لبنان، اردن و مراکش بوده است. در این عملیات از شیوه‌های مختلفی برای آلوده ساختن کاربران استفاده شده بود.

در این نوع حمله، سایت‌های خبری پرمخاطب شناسایی و هک شده و بازدیدکنندگان این سایت‌ها به سمت یک سایت دانلود هدایت می‌شدند و از آنها خواسته می‌شد یک نرم‌افزار اندرویدی (apk) دانلود کنند.

ایران هدف بیشترین حملات بدافزاری موبایل

20 اسفند ماه 1397، مرکز مدیریت راهبردی افتای ریاست‌جمهوری با انتشار گزارشی از حملات سایبری به کاربران موبایل در سال ۲۰۱۸ و رشد دوبرابری آن نسبت به سال قبل، اعلام کرد: ایران بیشتر از سایر کشورها مورد حمله قرار گرفته است.

حمله به دوربین‌های نظارت تصویری کشور

24 اسفند ماه 97، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در خصوص افزایش شدید تلاش برای نفوذ به دوربین‌های نظارت تصویری در سطح کشور هشدار داد و اعلام کرد که تهران در صدر این حملات قرار دارد.

مرکز ماهر همچنین خبر داد که تلاش برای نفوذ به دوربین‌های نظارت تصویری در سطح کشور به شدت افزایش پیدا کرده است. این نفوذ از طریق درگاهی که مربوط به یک قابلیت مستند نشده دیباگ برخی دوربین‌های مدار بسته تحت IP است صورت می‌گرفت.

بررسی‌های مرکز ماهر حاکی از آن بود که بیش از ۷۵۰۰ دستگاه در معرض این ضعف امنیتی در سطح کشور شناسایی شده است.

تهران با ۷۲.۴ درصد حملات، در صدر بیشترین آسیب‌پذیری‌ها قرار داشت. مرکز ماهر از کاربران خواست که در صورت استفاده از دوربین‌های مداربسته تحت IP، از دسترسی حفاظت نشده این تجهیزات به اینترنت جلوگیری کنند.

ایران در فهرست حملات Roaming Mantis

23 فروردین ماه 1398، مرکز مدیریت افتا در خصوص آلودگی هزاران کاربر اینترنتی که هدف حملات بدافزاری Roaming Mantis قرار گرفتند، هشدار داد و اعلام کرد ایران در لیست کشورهای هدف این حملات قرار دارد. حملات این بدافزار بر گسترش لینک‌های فیشینگ از طریق پیامک تمرکز داشت.

هشدار به توزیع بدافزار از طریق سریال Game of Thrones

از آنجا که ایرانی‌ها از جمله مشتری‌های پروپاقرص انواع سریال‌های خارجی محسوب می‌شوند، هشدار هفته قبل شرکت کسپرسکی می‌تواند قابل توجه کاربران این سریال‌ها در داخل کشور باشد.

بر اساس اعلام کسپرسکی، سریال‌هایGame of Thrones ،The Walking Dead و Arrow از آن قِسم نمایش‌هایی هستند که مهاجمان برای فایل‌های مخرب خود به کرات استفاده می‌کنند و البته نسخه‌های رایگان و غیر قانونی (که مورد استفاده ایرانیان است) نیز همواره منتشرکننده این فایل‌های مخرب هستند.

باتوجه به انتشار قسمت جدید سریال Game of Thrones پیش‌بینی می‌شود که انتشار بدافزار از طریق این سریال در روزهای آتی مشاهده شود.

اقدامات بازدارنده‌ای که ملموس نیست

**با وجود اعلام هشدارها و وقوع گسترده تهدید‌ها و حملات سایبری از داخل و خارج کشور و با وجود آنکه در برخی نمونه‌هایی که ذکر شد، عامل و بستر جرایم و آلودگی‌های داخلی کاملا شناخته شده است و از آنها در گزارش نهادهای مسوولی همچون مرکز ماهر صراحتا نام برده می‌شود، اما در کمال تعجب شاهد اقدامات ملموس بازدارنده نیستیم و گویی این اتفاقات در خارج از کشور و خارج از اراده نهادهای مسوول در کشور ما در حال وقوع است.**

این که چرا چنین است را نهادهای مسوول و مربوطه باید پاسخگو باشند و وظیفه و توان ما به عنوان رسانه تنها در حد طرح معضل و مساله است.

با این وجود همچنان شاهد اقدامات بازدارنده و مناسب برای مهار این معضلات نبوده و برخی نهادها طبق معمول، مسوولیت خود را محدود به هشداردرمانی کرده‌اند و برخی نهادها نیز سکوت کرده و حیطه مسوولیتشان به درستی معلوم نیست.

برای مثال اخیرا اطلاعیه‌ای صادر شد که به موجب آن طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری تهیه و ابلاغ شده است.

هجدهم فروردین امسال، مرکز مدیریت راهبردی افتای ریاست‌جمهوری، طرح امن‌سازی زیرساخت‌های حیاتی را در قبال حملات سایبری تدوین و برای اجرا به تمامی ‌دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد.

هدف این طرح که گفته می‌شود به تمامی ‌دستگاه‌های زیرساختی کشور ابلاغ شده است، ارتقای امنیت فضای تولید و تبادل اطلاعات هر سازمان و جلوگیری از بروز اختلال در ارایه سرویس‌های حیاتی آنها است.

رییس مرکز مدیریت راهبردی افتای ریاست‌جمهوری در این باره گفت: مسوولیت امنیت سایبری در هر حوزه‌ زیرساختی کشور با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود. با وجود این اظهارات اما اینکه ماحصل و خروجی این طرح چیست و نقش و مسوولیت نهادهای ذی‌نفع به تفکیک و دقیقا چیست، مساله‌ای است که فعلا به حال خود رها شده است.

جمع‌بندی و نتیجه‌گیری

مواردی که در این گزارش مشروح به آن پرداخته شد تنها مشتی نمونه خروار است و همان‌طور که در ابتدای این گزارش نیز ذکر شد، بسیاری از حملات و ضعف‌ها به واسطه جلوگیری از بدنامی و سوءاستفاده‌های احتمالی اصولا رسانه‌ای نمی‌شوند و مراجع ذی‌مدخل در امر امنیت سایبری به مراتب بهتر از ما در جریان گستره و سرعت افزایش مشکلات و تهدیدهای سایبری قرار دارند.

به هر تقدیر صورت مساله تا حدودی روشن است و از اندک آمار و گزارش‌های منتشره از منابع داخلی و خارجی این‌طور پیدا است که امنیت سایبری کشور نیازمند اقدامات، هماهنگی و تلاش‌های بیشتری است. (منبع:عصر ارتباط)