ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۸۸ مطلب با کلمه‌ی کلیدی «امنیت سایبری» ثبت شده است

تحلیل


گسترش صفحات جعلی شاپرک

دوشنبه, ۲۲ مرداد ۱۳۹۷، ۰۲:۰۱ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به شیوع باج افزار «پول زور» که با استفاده از صفحات جعلی درگاه بانکی شاپرک، از کاربران یک میلیون تومان باج می گیرد، هشدار داد.

به گزارش خبرگزاری مهر، مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری اعلام کرد: باج‌افزار PooleZoor با پشتیبانی از زبان فارسی و فیشینگ کردن شاپرک از کاربران باج‌های یک میلیون تومانی می‌گیرد.

باج‌افزار پول زور فایل‌های قربانی را با استاندارد AES رمزگذاری می‌کند و برای بازیابی فایل‌های از دست‌رفته، مبلغ ۱۰ میلیون ریال درخواست می‌کند؛ این باج افزار ، پسوند .poolezoor را به فایل‌های قربانی اضافه و آن‌ها رمزگذاری می‌کند.

نکته قابل توجه در این باج‌افزار، نحوه پرداخت است. روش کار این باج افزار به این‌گونه است که مهاجم آدرسی فیشینگ را که به درگاه پرداخت شاپرک شبیه است، ارائه می‌کند در این درگاه دروغین، هیچ پرداختی انجام نمی‌شود اما  مهاجم به اطلاعات کارت و حساب بانکی قربانی دست می‌یابد.

این باج‌افزار ممکن است از طریق پیکربندی محافظت‌نشده RDP، ایمیل‌های اسپم و پیوست‌های مشکوک، فایل‌های دانلودی، بات‌نت‌ها، اکسپلویت‌های موجود، تزریق وب، بروزرسانی‌های جعلی و فایل‌های نصبی آلوده منتشر شده باشد.

باج‌افزار PooleZoor ، فایل‌های اسناد آفیس، OpenOffice، PDF، فایل‌های متنی، پایگاه‌های داده، فایل‌های رسان‌های تصویر، موسیقی و ویدئو، فایل‌های فشرده و غیره را رمزگذاری می‌کند.

در آدرس اصلی درگاه پرداخت شاپرک ( https://shaparak.ir ) از پروتکل HTTPS  بعنوان ارتباطی امن و محافظت شده، استفاده شده است و در نوشتن لاتین کلمه شاپرک با شاپرک قلابی تفاوت وجود دارد.

کارشناسان مرکز مدیریت راهبردی افتای ریاست جمهوری توصیه می‌کنند به هیچ عنوان به آدرس پرداخت این باج افزار مراجعه نکنید و از آنتی‌ویروس‌های معتبر برای جلوگیری از نفوذ و یا پاکسازی آن استفاده کنید.

ایران در کشاکش "جنگ سرد سایبری"

جمعه, ۵ مرداد ۱۳۹۷، ۰۴:۵۷ ب.ظ | ۰ نظر

عباس پورخصالیان - پس از افشاگری‌های ادوارد اسنودن درباره شنود جهانی "آژانس ملی امنیت" ی NSA‌ این بزرگ‌ترین سازمان اطلاعات و ضد اطلاعات جهان در آمریکا‌ و یورش استاکس‌نت به تاسیسات نطنز، همه کنشگران سایبری و کاربران اینترنت باز (Open Internet) به هوشیاریِ به‌موقع چینی‌ها آفرین گفتند.

مرکز آپا: گوگل کروم را به روز کنید

يكشنبه, ۲۰ خرداد ۱۳۹۷، ۱۰:۴۴ ق.ظ | ۰ نظر

محققان امنیتی تاکید کرده اند که با توجه به کشف یک آسیب پذیری شدید در گوگل کروم (Chrome) و برای مقابله با حمله هکرها لازم است که این برنامه به روز رسانی شود.

گوگل کروم (Google Chrome) یک مرورگر وب رایگان است که در سال 2008 میلادی توسط شرکت گوگل عرضه شد؛ با توجه به ویژگی های این مرورگر از جمله سرعت بالا و پوشش زبان فارسی، بسیاری از کاربران ایرانی از آن استفاده می کنند.
به گزارش ایرنا، مرکز 'آپا' (آگاهی رسانی، پشتیبانی و امداد رایانه ای) دانشگاه صنعتی اصفهان روز شنبه اعلام کرد: محققان امنیتی یک آسیب‌ پذیری شدید در گوگل کروم کشف کردند که این مرورگر را در همه سیستم‌های عامل ویندوز، مک و لینوکس تحت تاثیر قرار می ‌دهد.
اعضای تیم امنیتی کروم، بدون اینکه جزئیات فنی این آسیب‌پذیری را افشا کنند، توضیح دادند که مشکل در رسیدگی نادرست به سرآیند سی اس پی (CSP) است.
سرآیند سی اس پی (CSP) به مدیران وب‌ سایت‌ها امکان اضافه کردن یک لایه جدای امنیتی روی صفحه وب داده شده را می‌دهد؛ این کار با ایجاد امکان کنترل منابعی که مرورگر اجازه‌ی بارگذاری آن را دارد، انجام می ‌شود.
رسیدگی نا درست به این سرآیند توسط مرورگر وب می ‌تواند مهاجمان را قادر به انجام حملات مختلف از جمله تزریق کد بر روی هر صفحه وب کند.
به گفته‌ تیم امنیتی کروم، دسترسی به جزئیات حفره امنیتی (باگ) مذکور تا زمانی که بیشتر کاربران به‌روز رسانی‌های لازم را اعمال کنند، محدود باقی ‌می‌ ماند.
وصله‌ مربوط به این آسیب ‌پذیری در به ‌روز رسانی 67.0.3396.79 کروم برای ویندوز، مک و لینوکس ارائه شده است بنابراین توصیه می‌شود که از اینکه سیستم رایانه ای نسخه‌ به‌ روزشده مرورگر کروم را اجرا می‌کند، اطمینان حاصل کنید.
فایرفاکس نیز نسخه جدید مرورگر خود را نسخه‌ 60.0.2، منتشر کرده است؛ این نسخه شامل وصله‌های امنیتی است که توصیه می‌ شود به ‌روز رسانی‌های لازم اعمال شود.
مرکز آپا دانشگاه صنعتی اصفهان به عنوان یک مرکز امداد امنیت رایانه‌ای، فعالیت خود را در زمینه ارائه سرویس مدیریت حوادث امنیتی و آسیب‌پذیری‌های شبکه، از سال 1386 در این دانشگاه آغاز کرده است.

رژیم صهیونیستی فقط به حمله های نظامی معمول بسنده نمی کند. این رژیم در سال های اخیر با انتشار ویروس ها و ابزارهای جاسوسی متعددی، فضای سایبری را نیز نا امن کرده است.

به گزارش خبرنگار مهر، هنگامیکه سخن از حمله های سایبری به میان می آید، بیشتر افراد به این نکته اشاره می کنند که هکرها اصولا در روسیه یا چین هستند و هدف آنها دزدیدن اطلاعات شخصی برای سود مالی یا دریافت باج است. اما هدف مهم تر از اینها، حمله های جاسوسی و خرابکاری است. در همین زمینه رژیم صهیونیستی بارها اعلام کرده از اسلحه های سایبری استفاده می کند. این رژیم غاصب هرچند نوع دقیق اسلحه ها را اعلام نکرده اما تا به حال حملات سایبری و بدافزارهای متعددی را منتشر کرده است.

رژیم صهیونیستی واحد اطلاعاتی به نام «واحد ۸۲۰۰»  تشکیل داده که مسئول ساخت برخی از بدافزارهای مشهور قرن بیست و یکم هستند. این واحد از جوانان ۱۸ تا ۲۱ ساله تشکیل شده است. درهمین راستا برنامه ای خارج از مدرسه برای نوجوانان ۱۶ تا ۱۸ سال برگزار می شود که به آنها برنامه نویسی و هک کردن را می آموزد. نیروهای واحد نیز از بین شرکت کنندگان همین کلاس ها انتخاب می شوند.

این درحالی است که به نوشته روزنامه فرانسوی لوموند این واحد در یک مقر در Negev فعالیت می کند و قادر به رصد تماس های صوتی، ایمیل و وسایل ارتباطی دیگر در سراسر خاورمیانه، اروپا، آسیا و آفریقا و همچنین ردیابی کشتی ها است.

 رژیم صهیونیستی همچنین در تمام سفارت های خود در سراسر جهان مقرهای شنود دارد و از طریق  کابل های زیر دریایی نیز شنود می کند.

 همچنین به نوشته روزنامه نیویورک تایمز رژیم صهیونیستی مقرهای شنودی در فلسطین دارد. به طوریکه در ۲۰۱۴ میلادی ۴۳ نفر از نیروهای این واحد با امضای نامه ای اعلام کردند تجهیزات نظارت الکترونیک این واحد، اطلاعات خصوصی مردم فلسطین را جمع آوری می کند.

 

همکاری با آمریکا برای ساخت استاکس نت

فعالیت های مجرمانه رژیم صهیونیستی فقط به فلسطین منتهی نمی شود. گزارش های مختلفی که در رسانه های متعدد منتشر شد، نشان می دهد ویروس استاکس نت نیز توسط رژیم صهیونیستی ساخته شد. به نوشته رونامه گاردین این ویروس در ۲۰۱۰ میلادی  بسیاری از رایانه های صنعتی از جمله رایانه های تجهیزات هسته ای ایران را هدف قرار داد. کارشناسان معتقدند آمریکا و رژیم صهیونیستی این بدافزار را به وجود آوردند. سرگی اولاسن نخستین بار ویروس استاکس نت را کشف کرد این ویروس که از طریق  ویندوز منتشر می شود، سیستم های کنترل صنعتی شرکت زیمنس را هدف گرفته بود.

 

ویروس مشابه استاکس نت با هدف جمع آوری اطلاعات

یکی دیگر از ویروس ها، «دوکو» مجموعه ای از بدافزارهای رایانه ای است که در سپتامبر ۲۰۱۱ کشف شد. این ویروس به استاکس نت مرتبط بود. دانشگاه اقتصاد و فناوری بوداپست در بلغارستان این تهدید را کشف کرد. این تهدید  شباهت زیادی به استاکس نت داشت اما هدف آن متفاوت بود. شرکت Symantech درباره این ویروس تحقیقاتی انجام داد و معتقد بود این ویروس توسط سازندگان استاکس نت به وجودآمده و اطلاعات را برای حملات آتی جمع آوری می کند. این ویروس نیز مانند استاکس نت، به سیستم عامل ویندوز حمله می کند.  از اطلاعات جمع آوری شده با این ویروس برای حمله به سیستم های کنترل صنعتی استفاده می شود.

 

جاسوسی در مذاکرات هسته ای ایران با Duqu2.0

به نوشته نشری اشپیگل،این ویروس یکی از پیچیده ترین ویروس هایی است که ساخته شده و در سال ۲۰۱۴ حتی به سیستم های شرکت کسپراسکای نیز نفوذ کرد. این ویروس مدت ها در سیستم کسپراسکای بود و شناسایی نشد. علاوه بر آن از این ویروس برای جاسوسی درباره مذاکرات هسته ای ایرانی نیز استفاده شد. 

 

ساخت ویروس جاسوسی از موبایل برای دولت ها

 در سال ۲۰۱۶ نیز محققان ویروسی به نام پگاسوس را ردیابی کردند که سیستم های عامل اپل را هدف گرفته بود.ویروس مذکور آیفون های ۶ را از راه دور رصد می کرد. این حمله سایبری کاربران را تشویق می کرد یک URL را با از کنند که با پیامک ارسال شده است. پس از دنبال کردن لینک با استفاده از شکاف های امنیتی در موتور جستجوی Safari دسترسی به هسته سیستم عامل را فعال می کرد و بدافزار روی موبایل نصب می شد. پس از آن  بدافزار از تمام وجوه موبایل کاربر از تماس های صوتی و پیامک گرفته تا اطلاعات تقویم و عکس و ویدئوها را جاسوسی می کرد. به نوشته رویترز محققان دانشگاه تورنتو در Citizen Labاین حمله را نخستین بار ردیابی کردند. این گروه ادعا می کنند شرکت NSO که به رژیم صهیونیستی تعلق دارد این بدافزار را برای دولت ها ساخته است.

 

ساخت ویروسی مخصوص دستگاه های اندروید

سال گذشته گوگل نیز نسخه ای از ویروس پگاسوس را در موبایل های اندروید ردیابی کرد. به نوشته فوربس، گوگل این ویروس ر ا Lipizzan نام گذاری کرد. در زمان کشف ویروس مذکور روی کمتر از ۱۰۰ موبایل نصب شده بود. همه این موبایل ها قبلا به بدافزار پگاسوس آلوده شده بودند.  به گفته تیم امنیتی اندروید، Lipizzan یک ابزار جاسوسی پیچیده و دومرحله ای است. جالب آنکه گوگل متوجه شد این بدافزار به ۲۰ فرم مختلف ارائه شده و تعدادی از اشکال آن نیز در پلی استور موجود بود. به طور معمول Lipizzan شبیه یک ابزار عادی مانند اپلیکیشن ضبط صوت یا بک آپ نمایان می شود. اما پس از نصب در موبایل ایمیل، پیامک، مکان و تماس های صوتی کاربر را رصد می کند. همچنین این بدافزار اطلاعات برخی از اپلیکیشن ها مانند واتس اپ، وایبر، تلگرام، جی میل، لیندکین و اسکایپ را نیز جمع آوری می کند.

 شرکتی به نام Equus این ویروس را ساخته که اطلاعات زیادی از آن در دسترس نیست فقط به نظر می رسد مقر آن در منطقه Herzliya در تل آویو باشد. همچنین یکی از مهندسان آن قبلا در NSO فعالیت می کرده است.

 

جاسوسی از رایانه ها با پهپاد

روش های جاسوسی رژیم صهیونیستی فقط به این موارد محدود نمی شود. خبرگزاری راشاتودی نیز در خبری اعلام کرده است که محققان رژیم صهیونیستی روشی برای حمله به رایانه های جداگانه ایجاد کرده اند. برای این منظور آنها کنترل نشانگرهای ال ای دی رایانه را به دست می گیرند. در مرحله بعد این هکرها نشانگرها را وادار می کنند تا ۶ هزار بار در یک ثانیه چشمک بزنند و سیگنالی حاوی اطلاعات را به دوربینی بفرستد که روی یک پهپاد در نزدیکی رایانه هدف گرفته شده، ارسال کند.

 این روش رایانه هایی را هدف می گیرد که به اینترنت و شبکه های شرکتی متصل نیستند و به همین دلیل دسترسی به اطلاعات آنها برای هکرها چالش برانگیز است. در نتیجه  اطلاعات حساسی را در خود حفظ می کنند.

 به گفته هکرها با این روش اطلاعات با سرعت ۴ هزار بیت در ثانیه منتقل می شود. البته قبل از این فرایند رایانه باید به وسیله یو اس بی یا کارت اس دی به ویروس آلوده شود. با این روش هک را به سختی می توان ردیابی کرد.

 

افزایش مهارت  ایران در حوزه سایبری

 به هرحال به نظر می رسد رژیم صهیونیستی همچنان به ساخت بدافزارها و انتشار آن ادامه می دهد. هدف این رژیم از انتشار بدافزارها جاسوسی کردن از افراد و دولت ها و خرابکاری در مسیر موفقیت دشمنان خود است. اما به نظر نمی رسد این روند تا همیشه ادامه یابد. این در حالی است که به نوشته گاردین در سال های اخیر قدرت سایبری ایران افزایش یافته است. این رسانه در سال ۲۰۱۴ در گزارشی نوشته است: در سال های اخیر ایرانیان در حوزه سایبری ماهر تر شده اند. آنها قبلا سومین حلقه قدرت سایبری  بودند اما خیلی زود وارد دومین حلقه قدرت های برتر سایبری  شده اند.

وزیر ارتباطات و فناوری اطلاعات گفت: باید بگویم ما قالب مصوبی به نام نیروی سایبری نداریم، کما اینکه آنها (امریکا و غرب) در ارتش و نظام‌های خود ارتش سایبری دارند.

محمدجواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات در گفت‌وگو با فارس، در مورد اینکه غربی‌ها و به خصوص آمریکا مدعی هستند ایران حملات سایبری شدیدی علیه زیرساخت‌های این کشورها انجام می‌دهد، گفت: حملات سایبری گونه‌های مختلفی دارد، یک نوع از این حملات، حملات سایبری سازمان‌دهی‌شده حاکمیتی و دولتی است.

وی ادامه داد: جمهوری اسلامی ایران درحوزه حملات سایبری دولتی که به اسم هکریست معروف است، قربانی بوده است، نمونه‌های مختلفی در این زمینه داشته‌ایم. اخیرا خود غربی‌ها رسما اعلام کردند که با «استاکس‌نت» (Stuxnet)به  ایران حمله کردند ، البته پیش از این برای ما شفاف بود که این حملات توسط آنها انجام شده است. 

آذری جهرمی بیان داشت: هر روز شاهد حملات سایبری برخی کشورهای در زیرساخت‌های خود هستیم که حمایت‌شده پیش‌ می‌روند، اما اینکه دولت جمهوری اسلامی ایران برنامه‌ریزی کرده که از این ابزارها برای حملات سایبری استفاده کند، باید بگویم ما قالب مصوبی به نام نیروی سایبری نداریم، کما اینکه آنها در ارتش و نظام‌های خود ارتش سایبری دارند.

وزیر ارتباطات و فناوری اطلاعات با تاکید بر اینکه سندی به اسم حمله سایبری در پوشش دفاع سایبرینداریم، خاطر نشان کرد: اما در ایران هم هکر وجود دارد مثل همه کشورهای دنیا،‌این هکرها با انگیزه‌های مختلف فعالیت می‌کنند، برخی اوقات برای کسب نام و نشان و برخی اوقات برای هدف‌های شخصی و مسائل مالی است، طبیعتا از ایران هم هک صورت می‌گیرد.

وی گفت: ما نظام همکاری‌های بین‌المللی با کشورهای مختلف داریم که گزارشاتی که از طریق مراکز امنیت سایبری‌شان می‌آید رسیدگی می‌کنیم و  پاسخ می‌دهیم و متقابلا مواردی که ما داشته باشیم آنها پیگیری می‌ کنند و حداکثر تلاشمان را می‌کنیم که این نوع اقداماتی که برای زیست‌بوم فضای مجازی تهدیدآمیز متوقف کنیم.

وزیر ارتباطات و فناوری اطلاعات تصریح کرد: همان‌گونه که حمله به زیرساخت‌های ما توسط رژیم صهیونیستی و آمریکا محکوم است حمله سایبری به هر کشوری را نیز محکوم می‌کنیم چرا که صنعت فناوری اطلاعات برای بهبود زندگی مردم و رفاه ایجاد شده است.

آذری جهرمی تاکید کرد: این اختلال‌ها می‌تواند زندگی نسل بشری را مختل کند و هرچه که نسل بشری را مختل کند محکوم است.

FBI: منتظر حملات سایبری جدید ایران هستیم

جمعه, ۴ خرداد ۱۳۹۷، ۰۴:۳۱ ب.ظ | ۰ نظر

اف بی آی ادعا کرده است که هکرهای ایرانی به تلافی خروج آمریکا از توافق هسته‌ای، حملات سایبری جدیدی را انجام خواهند داد.

اف بی آی مدعی شده است که هکرهای ایرانی در واکنش به اقدام دولت ترامپ در خروج از توافق هسته ای، حملات سایبری جدیدی را علیه شبکه های دولتی و کسب و کارهای آمریکایی به راه می اندازند.

اف بی آی در یک آماده باش سایبری به شرکت ها و کسب و کارهای آمریکایی اعلام کرد: اف بی آی بر این باور است که فعالان سایبری خارجی که در جمهوری اسلامی ایران فعالیت می کنند، احتمالا در پاسخ به خروج دولت آمریکا از توافق هسته ای، از فعالیت های شبکه ای رایانه ای علیه شبکه های رایانه ای مستقر در آمریکا استفاده می کنند.

اف بی آی افزود: هکرهای ایرانی احتمالا خروج آمریکا از توافق هسته ای را یک بهانه و توجیه برای حملات سایبری قلمداد خواهند کرد.

اف بی آی مدعی شده است که از دسامبر 2011 تا اوت 2013 میلادی، دو سازمان مرتبط با دولت ایران حملات سایبری گسترده ای را علیه موسسات مالی آمریکا انجام داده اند. این حملات سایبری در واکنش به تحریم های آمریکا علیه اقتصاد ایران انجام شده است.

به گزارش تسنیم به نقل از وبگاه "فری بیکن"، در سال 2014 میلادی نیز هکرهای ایرانی به شبکه های "ساندز کازینو" در لاس وگاس نفوذ کردند.

اف بی آی افزود: طی سال های 2016 و 2017 میلادی نیز هکرهای ایرانی حملات هماهنگ و گسترده ای را علیه شرکت ها، موسسات دانشگاهی و نهادهای دولتی آمریکا انجام دادند. اف بی آی از شرکت های آمریکایی خواسته است تا هرگونه فعالیت شبکه ای مشکوکی را گزارش دهند. هکرهای ایرانی در این حملات سایبری توانسته اند به اطلاعات محرمانه ای از کالج ها و دانشگاه های آمریکایی دست یابند.

اف بی آی ادعا کرده است که هکرهای ایرانی با حمله به وبگاه های موسسات مالی آمریکا، دسترسی مشتریان به شبکه های رایانه ای این موسسات مالی را با اختلال روبرو کرده اند. روش های به کار گرفته شده از سوی هکرهای ایرانی برای حمله به زیرساخت های آمریکا طی سال های اخیر پیچیده تر شده است.

جاسوسی ZooPark در تلگرام از ایرانی‌ها

شنبه, ۱۵ ارديبهشت ۱۳۹۷، ۰۱:۵۲ ب.ظ | ۰ نظر

شرکت کسپرسکی در گزارشی از یک عملیات جاسوسی سایبری به نام ZooPark علیه کاربران دستگاه های اندروییدی ساکن خاورمیانه از جمله ایران پرده برداشت.
فناوران- کسپرسکی در گزارشی به نام «در باغ وحش کی به کیه؟ عملیات جاسوسی سایبری که کاربران اندرویید را در خاورمیانه هدف قرار داده است» درباره یک جاسوس افزار که در سه سال گذشته فعال بوده، هشدار داد. براساس گزارش کسپرسکی، ZooPark یک عملیات جاسوسی است که از ژوئن 2015 بر روی کاربران اندرویید در خاورمیانه متمرکز شده است. این عملیات چهار مرحله داشته است و در طول سه سال گذشته همواره از راه های پیچیده تری برای جاسوسی از کاربران استفاده کرده است.

براساس این گزارش در طول یک سال گذشته بشترین تمرکز این عملیات علیه کاربرانی در ایران، مصر، لبنان، اردن و مراکش بوده است. در این عملیات از شیوه های مختلفی برای آلوده ساختن کاربران استفاده شده است که پیشرفته ترین و موفق ترین آن حملات گودال آب (Waterhole attacks) بوده است.

در این نوع حمله، سایت های خبری پرمخاطب شناسایی و هک شده و بازدیدکنندگان این سایت ها به سمت یک سایت دانلود هدایت می شدند و از آنها خواسته می شد یک نرم افزار اندروییدی (apk) دانلود کنند. مواردی چون رفراندوم کردستان و گروه های تلگرامی نیز از جمله زمینه های پرطرفدار مورد استفاده در این عملیات جاسوسی بوده است. ZooPark از چه چیزی جاسوسی می کرد کسپرسکی این عملیات را به چهار سطح تقسیم کرده است.

در سطح اول که در سال 2015 روی داد، مدل اولیه تنها به جاسوسی از شماره تلفن های مخالط و اکانت های قربانی می پرداخت. در نسخه دوم در سال 2016 مواردی چون اطلاعات تماس ها، پیامک ها، اطلاعات دستگاه و موقعیت مکانی نیز دزدیده می شد.

در گام سوم نیز که در همین سال روی داد، ضبط مکالمات، جزییات برنامه های نصب شده، اطلاعات مرورگر و عکس های ذخیره شده در مموری کارت، به قابلیت های این جاسوس افزار افزوده شد. در آخرین ورژن آن مربوط به سال 2017 نیز امکانات گسترده ای چون دسترسی به اطلاعات انواع اپلیکیشن ها مانند IMO، تلگرام، کروم و واتس اپ، عکس برداری، فیلم برداری، اسکرین شات و... افزوده شد.

نحوه عمل ورژن های مختلف جاسوس افزار ورژن نخست این عملیات در سال 2015 تنها به دزدیدن شماره تماس ها از اطلاعات مخاطبات و اکانت های رجیستر شده روی گوشی می پرداخت. این جاسوس افزار شبیه تلگرام با نام TelegramGroup بود و پس از آن که قربانی به صورت دستی آن را باز می کرد، در صورتی که فرد به اینترنت وصل نبود به دو زبان فارسی و انگلیسی از او می خواست که «لطفا به اینترنت متصل شده و یک بار دیگر برنامه را اجرا کنید». پس از اتصال به برنامه، اطلاعات به سایتی به نشانی rhubarb2.com ارسال می شود. خود برنامه نیز کاملا فارسی بوده و انواع کانال های تلگرامی در آن معرفی می شود.

در ورژن دوم علاوه بر افزوده شدن امکانات جاسوسی بیشتر، از نرم افزارهای بیشتری برای به دام انداختن کاربران استفاده می شد که از جمله آن برنامه all–in–one messenger بوده است. در ورژن سوم هکرها از جاسوس افزاری مشابه محصول Spymaster Pro که به فروش می رسد استفاده کرده اند. هرچند بررسی کدهای این جاسوس افزار نشان می دهد هکرها به خوبی کدهای Spymaster Pro را درک نکرده اند. ورژن چهارم، پیشرفته ترین عملکرد را داشته و امکان جاسوسی کامل از دستگاه های قربانیان را برای هکرها فراهم می کرده است. نکته جالب در این گزارش این است که سایت ها و سرورهای مورد استفاده در این عملیات جاسوسی، به نظر می رسد که ماهیتی ایرانی دارند. برای مثال براساس ادعای این گزارش سرور androidupdaters.comبه نام parspack در whois ثبت شده و نشانی آن در تهران است.

یا rhubarb2.com در سنندج به نام محسن ملکیان و dlgmail.com در تهران به نام محمد حسین اثنی عشر ثبت شده است. نحوه توزیع جاسوس افزار کسپرسکی دو شیوه نصب نرم افزار در کانال های تلگرامی و گودال آب را به عنوان دو شیوه اصلی توزیع جاسوس افزار شناسایی کرده است. برای نمونه در شیوه نخست، اپلیکیشنی به نام انتخابات دهم به هدف آلوده ساختن کاربران ایرانی در کردستان نوشته شده بود.

در این مورد، کانالی به نام انتخاب دهم روی تلگرام ایجاد شده بود و از علاقه مندان به برگزاری انتخابات در کردستان می خواست برای شرکت در نظرسنجی درباره کاندیداهای استان کردستان (انتخابات مجلس دهم) اپلیکیشن انتخاب 10 را دانلود کنند. در روش دوم که به نظر می رسد بیشتر کاربران کشورهای عربی را مورد هدف قرار می داد، این جاسوس افزار روی سایت های خبری پرطرفدار قرار می گرفت و در صورتی که کاربر وارد صفحه مورد نظر می شد، بدوت اطلاع وی شروع به دانلود می کرد.

البته مرورگرهای مدرن مانند کروم، به کاربر پیش از آغاز دانلود، اطلاع می داد و از او برای دانلود فایل اجازه می گرفت. قربانیان چه کسانی هستند؟ کسپرسکی اظهار نظر دقیقی درباره قربانیان نکرده است اما به عقیده این شرکت امنیتی، اهداف مهاجمان نشان می دهد طرفداران رفراندوم استقلال کردستان از جمله قربانیان اصلی این جاسوس افزار بوده اند. همچنین سازمان های همکار سازمان ملل درخصوص پناه جوهای سوری که در اردن فعال هستند نیز مورد حمله هدفمند این جاسوس افزار قرار گرفته اند.

نتیجه نهایی براساس گزارش کسپرسکی از نقطه نظر فنی، ZooPark تحول چشم گیری در چهار مرحله داشته و از حالت بسیار ساده نخست، به یک جاسوس افزار پیچیده تبدیل شده است. البته به نظر می رسد جاسوس افزار پیشرفته فعلی، از بازار سیاه ابزارهای جاسوسی خریداری شده است که این روزها در حال توسعه بوده و برخی دولت ها در خاورمیانه مشتری آن هستند.

افزایش حملات فیشینگ به درگاه‌های بانکی کشور

سه شنبه, ۴ ارديبهشت ۱۳۹۷، ۰۲:۵۴ ب.ظ | ۰ نظر

مرکز ماهر از رشد حملات فیشینگ درگاه‌های پرداخت بانکی طی دو ماه گذشته، با انتشار‫ برنامکهای اندرویدی مخرب یا جعلی خبر داد.

به گزارش مرکز روابط عمومی و اطلاع رسانی وزارت ارتباطات و فناوری اطلاعات، این مرکز اعلام کرد بر اساس رصد صورت گرفته حملات ‫فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامکهای اندرویدی مخرب یا جعلی صورت گرفته است.

بر این اساس مرکز ماهر توصیه هایی را جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد کرده است:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها و همچنین حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر (لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد) از جمله پیشنهادهای مطرح شده است.

توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.

درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌  (بدون هرگونه تغییر در حروف) معتبر هستند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert@certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.

توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارایه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است

هدف حمله سایبری ایران و روسیه بود

يكشنبه, ۱۹ فروردين ۱۳۹۷، ۰۳:۲۷ ب.ظ | ۰ نظر

نشریه امریکایی MOTHERBOARD مدعی شد هدف اصلی عاملان حمله سایبری جمعه شب، ایران و روسیه بوده است.

هکرها در گفت‌وگو با این نشریه مدعی شده‌اند که هدف از این حملات تنها انتقال یک پیام بوده است (آنها با انتشار پرچم امریکا نوشته بودند که در انتخابات ما خرابکاری نکنید).

هکرها همچنین مدعی شده‌اند که بسیاری از سیستم‌های آسیب‌پذیر در کشورهای مختلف از جمله در امریکا، انگلستان و کانادا را شناسایی کرده اما تنها به روسیه و ایران حمله کردند. هکرها گفته‌اند :«بر اثر تلاش‌های ما، تقریبا هیچ سیستم آسیب پذیر دیگری در جهان باقی نمانده است. (روزنامه فناوران)

پیام حمله سایبری شب قبل به ایران

شنبه, ۱۸ فروردين ۱۳۹۷، ۰۳:۰۶ ب.ظ | ۰ نظر

مهدی محمدی - درک اینکه ‘این کشور تحت حمله قرار دارد’ یکی از فوری ترین نیازهای جامعه امروز ایران است خصوصا که حمله کنندگان قصد خود را پنهان هم نمی کنند.

تهاجم‌سایبری دیشب صرف نظر از ابعاد فنی آن، اگر این حس را منتقل کند، سرجمع ضرر نکرده ایم. این حمله از طریق نفوذ در سوییچ های سیسکو صورت گرفته که عموما به عنوان یکی از اجزای ضروری زیرساخت سایبری کشور شناخته می شود. همین هم خود دارای پیام است.

وقتی یکی از اجزاء زیرساخت خود را به طور ‘وابسته’ تعریف می کنید، آن جزءآسیب پذیرترین جزء سیستمتان خواهد بود.

حالا تصور کنید که کسانی به نام اصلاحات، می خواستند کل سیستم بانکی کشور را توسط پیمانکار خارجی ‘بازسازی’ کنند؛ شاید هم تا حدی جلو رفته بودند.

این حمله یک هشدار است. کسانی در جهان سرکار آمده اند که بنای کوتاه آمدن ندارند حتی اگر بنشینید و تماشایشان کنید. در یک نبرد، وقتی یک طرف نجنگد، جنگ متوقف نمی شود بلکه این اوست که ‘شکست’ می خورد. (منبع:الف)

1- جمعه هفدهم فروردین ماه حدود ساعت 21 برخی از سرویس های میزبانی شده در مراکز داده داخل کشور از دسترس خارج شدند.
2- پس از اطلاع، تیم اقدام سریع تشکیل و موضوع به سرعت بررسی و مشخص کردید حمله سایبری به برخی از روترسوئیچ ها کم ظرفیت سیسکو که آسیب پذیر بوده اند صورت گرفته و این روترها به حالت تنظیم کارخانه ای بازگشته اند.
3- حمله مذکور ظاهراً به بیش از 200 هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله ای گسترده بوده است، در کشور ما حدود 3500 روتر سوئیج مور حمله واقع شده که 550 فقره در تهران، 170 فقره استان سمنان، 88 فقره استان اصفهان بوده و بیشترین آسیب پذیری از نقطه تعداد در شرکتهای رسپینا، ایزایران و شاتل رخ داده است، لیکن اختلال تعداد کمی روتر در برخی مراکز سرویس های پرکاربردی را از دسترس خارج کرد
4- با تشکیل گروههای واکنش سریع و تلاش همه متخصصان و فعالان همه شرکتها به سرعت اقدمات اجرایی آغاز گردید و با توجه به اینکه برای فعالیت مجدد روترها نیاز به حضور فیزیکی کارشناسان بود با اقدام به موقع تاساعت 12 شب بیش از 95 %شبکه به حالت اولیه برگشت
5- خوشبختانه با توجه به پیش بنیی های لازم در زیرساخت ارتباطی کشور شبکه زیرساخت دچار هیچ اختلالی نشد و کمترین اختلال نیز در سه اپراتور تلفن همراه مراکز داده شرکت های پارس آنلاین و تبیان گزارش گردید.
6- در خصوص منشا حمله از طریق مراکز بین المللی پیگیری لازم صورت خواهد گرفت لیکن با توجه به اینکه در این حمله از پرچم کشور آمریکا و شعاری در خصوص عدم دخالت در انتخابات این کشور استفاده شده و همچنین زمان وقوع حمله که جمعه شب بوده است به نظر میرسد منشاء حمله از منطقه خاورمیانه نبوده است.
7- شرکت سیسکو 10 روز پیش موضوع آسیب پذیری روتر سوئیچ های مذکور را اعلام کرده بود لیکن به دلیل اینکه بسیاری از شرکت های خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را  در حالت فریز نگه داری می کنند و همچنین عدم اطلاع رسانی تاکیدی مرکز ماهر و عدم هشدار به این شرکتها برای بروز رسانی تنظیمات شبکه خود منجر به آسیب پذیری شبکه این شرکتها گردید
8- براساس اعلام مرکزماهر، مرکز آپای دانشگاه همدان پیش از وقوع حمله موضوع را در دست تحلیل و پایش داشته و منتظر تکمیل پایش تجهیزات کشور بوده که متاسفانه قبل از تکمیل گزارش نهایی حمله مذکور اتفاق افتاد.
9- آنچه مشخص است در این حمله ظاهراً سازمان یافته علیرغم وجود نقاط مثبتی همچون واکنش سریع، عدم تاثیر پذیری هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت، عدم اختلال جدی شبکه سه اپراتور تلفن همراه و برخی از FCPها، متاسفانه ضعف اطلاع رسانی به موقع توسط مرکز ماهر و عدم وجود پیکره بندی مناسب در مراکز داده و سرویس دهندگان فناوری اطلاعات مستقر در این مراکز داده باعث تشدید عوارض این حمله گردید بر همین اساس اصلاحات لازم در  مجموعه های مرتبط و نیز تذکرات لازم به بخش خصوصی اجرایی خواهد شد.

رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اعلام کرد که اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعاتی درپی آن رخ نداده است.

سرهنگ علی نیک‌نفس با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفت:  بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است و این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچ های مورد استفاده در سرویس دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.

وی افزود: حدود یک‌سال قبل نیز شرکت مورد نظر هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client) بر روی آنها فعال است را منتشر کرده بود.

به گفته سرهنگ نیک‌نفس، چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید مستمراً رصد و شناسایی آسیب‌پذیری‌های جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها می‌توانند با سوءاستفاده از آسیب‌پذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچ‌ها و روترهای سیسکو و کارانداختن خدمات آنها اقدام نمایند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها با استفاده از دستور"show vstack " به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور "no vstack" آن‌را غیرفعال کنند.

وی ادامه داد: به علاوه با توجه به اینکه حمله مزبور بر روی  پورت 4786TCPصورت گرفته است لذا بستن ورودی پورت مزبور بر روی فایروال‌های شبکه نیز توصیه می‌شود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.

نیک‌نفس خاطرنشان شد: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویس دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.

به گزارش ایسنا، وی ادامه داد: همچنین پیش‌بینی می‌شود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ‌داخلی خود گردند. لذا مدیران سیستم‌های آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیزات خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و پیکربندی تجهیزات مجددا انجام پذیرد.

براساس اعلام مرکز اطلاع رسانی فتا، نیک‌نفس با اشاره به اینکه قابلیت آسیب‌پذیر smart install client  نیز با اجرای دستور "no vstack" غیر فعال شود، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام گردد. توصیه می‌گردد در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی(ACL )ترافیک ورودی 4786 TCP نیز مسدود گردد.

رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اضافه کرد: مجددا تاکید می‌گردد که مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانه‎ها و ابزارها اقدام و نسبت به بروز رسانی و رفع نواقص احتمالی در اسرع وقت اقدام نمایند.

وزیر ارتباطات: مراکز ماهر و داده ضعف داشتند

شنبه, ۱۸ فروردين ۱۳۹۷، ۰۱:۴۵ ب.ظ | ۰ نظر

وزیر ارتباطات با اشاره به بررسی حمله سایبری شب گذشته به مراکز داده در یک جلسه اضطراری اعلام کرد: عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است، ضعف در اطلاع رسانی مرکز ماهر به شرکتها و نیز ضعف در پیکره بندی مراکز داده وجود داشته است.

وزیر ارتباطات و فناوری اطلاعات در توییتر نوشت: ‏لحظاتی پیش جلسه اضطراری بررسی حمله شب گذشته خاتمه یافت و تا ساعاتی دیگر بیانیه رسمی نتایج از سوی روابط عمومی وزارت ارتباطات منتشر خواهد شد.
وی تاکید کرد: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بوده‌اند.
وزیر ارتباطات نوشت:حدود ۳۵۰۰ مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور متاثر از حمله شده‌اند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. ضعف در اطلاع رسانی مرکز ماهر به شرکتها و نیز ضعف در پیکره بندی مراکز داده وجود داشته است.

زیرساخت کشور در حملات دیشب آسیبی ندیده است

شنبه, ۱۸ فروردين ۱۳۹۷، ۰۱:۴۳ ب.ظ | ۰ نظر

در پی وقوع حملات سایبری جهانی, شبکه شرکت ارتباطات زیرساخت با توجه به تمهیدات از قبل پیش بینی شده هیچ گونه آسیبی ندیده  و اختلالی در زیرساخت های شبکه های ارتباطی این شرکت مشاهده نشده است.
شرکت ارتباطات زیرساخت اعلام کرد: پس از دریافت گزارش های مبنی بر وقوع حملات سایبری به مراکز داده های جهانی با توجه به آمادگی این شرکت در مقابله با حملات سایبری تمامی زیرساخت های  شبکه های ارتباطی این شرکت پایدار و مصون از حملات ماند و این شرکت در همکاری تنگاتنگ با مرکز ماهر تمهیداتی برای کاهش مشکل در لایه های دیگر شبکه را پیاده سازی کرد.
 در پی بروز اختلالات سراسری در سرویس های اینترنت و مراکز داده های جهانی در هفدهم فروردین ماه سال جاری با توجه به بررسی های صورت گرفته مشخص شد, این حملات بیشتر در بخش تجهیزات روتر و سوئیچ های متعدد شرکت سیسکو بوده است که به دلیل ضعف امنیتی, به هکرها اجازه داده است تا به زیرساخت های ارتباطی بسیاری از کشورها حمله شود.

در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است.
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر-سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود.
در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند:
•  با استفاده از کپی پشتیبان قبلی،  اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
•  قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب  ندیده اند) انجام گردد.
•  رمز عبور قبلی تجهیز تغییر داده شود.
•  توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد.

متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.

 

ریشه حملات گسترده امشب به سوئیچهای Cisco

چندی پیش محققان امنیتی یک آسیب‎پذیری حیاتی در نرم‎افزارIOS و IOS XE سیسکو افشا کردند که به مهاجم از راه دور  اجازه می‏‌دهد کد دلخواه خود را اجرا نموده و کنترل کامل تجهیزات شبکه‏‌ی آسیب‎پذیر را به دست بگیرد و از این طریق مانع عبور ترافیک گردد.

محققان مجموعاً ۸.۵  میلیون دستگاه با پورت آسیب‏‌پذیر باز  در اینترنت یافتند.

این آسیب‌‏پذیری همچنین می‏‌تواند با تریگر نمودن یک حلقه نامحدود بر روی دستگاه آلوده منجر به حمله‌‏ی DoS گردد.

دستگاه های آلوده شده توسط این آسیب‌پذیری:

🔸Catalyst 4500 Supervisor Engines
🔸Catalyst 3850 Series
🔸Catalyst 3750 Series
🔸Catalyst 3650 Series
🔸Catalyst 3560 Series
🔸Catalyst 2960 Series
🔸Catalyst 2975 Series
🔸IE 2000
🔸IE 3000
🔸IE 3010
🔸IE 4000
🔸IE 4010
🔸IE 5000
🔸SM-ES2 SKUs
🔸SM-ES3 SKUs
🔸NME-16ES-1G-P
🔸SM-X-ES3 SKUs

⚠️سیسکو در ۲۸ مارس ۲۰۱۸  این آسیب‌‏پذیری را در تمام محصولات آلوده‌‏ی خود رفع نمود.

👈 کسانی که امشب گرفتار حملات شده بودند این هشدار Cisco را جدی نگرفته بودند.

درس‌هایی از حملات سایبری دیشب

شنبه, ۱۸ فروردين ۱۳۹۷، ۱۰:۰۶ ق.ظ | ۰ نظر

علی کیائی فر - حوادث و اتفاقات سایبری دیشب درس بزرگی بود برای همه ما کارشناسان امنیت:

ایران وارد مکاتبه با تیمهای واکنش سریع دنیا شد

دوشنبه, ۶ فروردين ۱۳۹۷، ۰۸:۲۰ ب.ظ | ۰ نظر

آسیب‌پذیری CredSSP و انتشار باج‌افزارهای مختلف از طریق این پروتکل در فضای مجازی، شبکه هانی‌نت کشور را مشغول خود کرد.

با توجه به تهدیدات سایبری گسترده ‌اخیر درباره سوءاستفاده و نفوذ از طریق پروتکل‌ RDP از جمله شناسایی آسیب‌پذیری CredSSP و انتشار باج‌افزارهای مختلف از طریق این پروتکل،‌ تمرکز بیشتری در رصد فعالیتها و حملات بر این بستر از طریق شبکه هانی‌نت مرکز ماهر صورت گرفته است.

در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرسهای IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و در حال تلاش برای آسیب‌رسانی و ورود به سامانه‌ها از طریق این پروتکل هستند.

اطلاع‌رسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IPها از طریق مالکان آدرسهای داخلی توسط مرکز ماهر در حال انجام است.

همچنین به گفته این مرکز مکاتبه با CERTهای ملی کشورهای خارجی برای مقابله در جریان است؛ تأکید شده به منظور رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکلهای دسترسی راه‌دور نظیر telnet و SSH بر روی شبکه اینترنت اکیدا خودداری شود.

در صورت نیاز، دسترسی به این سرویسها را تنها بر بستر VPN یا برای آدرسهای مبدأ مشخص و محدود برقرار شود.

به گزارش تسنیم، پروتکل CredSSP یک ارائه دهنده احراز هویت است که درخواستهای احراز هویت برای سایر برنامه‌ها همچون Remote Desktop در سیستمهای عامل خانواده ویندوز را پردازش می‌کند.

آسیب‌پذیری بحرانی جدید کشف شده با کد CVE-2018-0886 مربوط به این پروتکل، امکان اجرای دستورات از راه دور در سیستمهای هدف را با تکیه بر مجوزهای دسترسی کاربران فراهم می‌کند؛ برنامه‌هایی که برای احراز هویت به این پروتکل وابسته هستند، ممکن است در برابر این نوع از حملات آسیب‌پذیر باشند.

مهاجم برای سوء استفاده از این آسیب‌پذیری نیازمند دسترسی به موقعیت فرد میانی (MITM) بین سیستم عامل سرویس‌دهنده پروتکل RDP و کلاینت است.

با اجرای یک حمله موفق، مهاجم قادر خواهد بود برنامه‌های مورد نظر خود را اجرا کند، داده‌ها را تغییر داده، حذف یا حسابهای کاربری جدیدی برای داشتن اختیارات و سطح دسترسی کامل در سیستم ایجاد کند.

حملات فرد میانی می‌تواند در زمان استفاده از شبکه‌های بی‌سیم عمومی یا در زمانی که شبکه محلی به صورت مستقیم یا با واسطه در دسترس مهاجم قرار گرفته است یا حتی در زمانی که از طریق آلودگی به یک بدافزار، ترافیک رایانه مورد استفاده توسط قربانی در اختیار مهاجم قرار گرفته، اتفاق بیفتد.

 آسیب‌پذیری مذکور در تمامی نسخه‌های ویندوز وجود دارد اما خوشبختانه وصله‌های امنیتی مورد نیاز آن در آخرین بروزرسانی مایکروسافت در تاریخ 13 مارس ارائه شده است.

بنا بر توصیه مایکروسافت، برای پیشگیری از حملات با استفاده از آسیب‌پذیری این پروتکل باید علاوه بر اطمینان از بروزرسانی و نصب وصله امنیتی ارائه شده بر روی تمامی سرورها و کلاینتها، نسبت به تنظیم Group Policy در همه سیستمها برای جلوگیری از برقراری ارتباط با سیستمهای وصله نشده اقدام کرد.

مدیران پلتفرم میکروبلاگ تامبلر / Tumblr می‌گویند 84 اکانت پیدا کرده‌اند که اطلاعات غلط در زمان کمپین انتخاباتی 2016 آمریکا منتشر کرده و همگی بخشی از ترول‌های روسی هستند.

به گزارش خبرآنلاین، شبکه اجتماعی تامبلر که در سال 2007 تاسیس و در سال 2013 به مبلغ 1.1 میلیارد دلار توسط یاهو خریداری شد به طور مشخص از 13 لینک مرتبط با آژانس تحقیقات اینترنت روسیه / IRA نام می‌برند که به طور مستقیم با انتشار اخبار نادرست، در انتخابات ریاست جمهوری 2016 دخالت کرده‌اند تا هیلاری کلینتون شکست خورده و ترامپ برنده شود.

در اطلاعیه سایت تامبلر آمده است که این اکانت‌ها به طور مستقیم اطلاعات غلط و اخبار جعلی منتشر می‌کردند و آنها مقامات قضایی را از این موضوع آگاه کرده‌اند.

تامبلر به عنوان میکروبلاگ اجتماعی بیش از 200 میلیون وبلاگ در خود جای داده است که اغلب آمریکایی بوده و البته این روزها خیلی در فضای مجازی تاثیرگذاری ندارد.

مطرح شدن این داستان، هم زمان با آبروریزی فیس‌بوک درباره نقش غیرمستقیم این شبکه اجتماعی در پیروزی ترامپ از طریق دادن دیتای خصوصی به «کمبریج آنالیتیکا» نشان می‌دهد چهره‌های سیاسی آمریکا به طور غیرمستقیم یکدیگر را در سوء استفاده از شبکه‌های اجتماعی در انتخابات متهم کرده و هرکدام گناه دخالت روس‌ها یا انگلیسی‌ها را به گردن هم می‌اندازند تا جایی که انتشار خبر تامبلر، خبری انحرافی می‌تواند باشد تا بحران فیس‌بوک کمتر شود

آمریکا روز جمعه علیه ۹ شهروند و یک شرکت ایرانی بابت تلاش برای هک سامانه‌های کامپیوتری صدها دانشگاه آمریکایی و بین المللی و انجام حملات سایبری به نیابت از حکومت ایران علیه ده‌ها شرکت و مرکز خصوصی و دولتی در آمریکا، اعلام جرم کرد.

به گزارش خبرگزاری رویترز، وزارت دادگستری آمریکا با صدور بیانیه‌ای اعلام کرد در حملات سایبری ایران بیش از ۳۱ ترابایت اطلاعات آکادمیک و دارایی‌های فکری و معنوی از ۱۴۴ دانشگاه در آمریکا و ۱۷۶ دانشگاه در ۲۱ کشور دیگر به سرقت رفته است.

راد روزنستاین معاون وزیر دادگستری آمریکا نیز در یک نشست خبری در واشنگتن با بیان این که «متهمان اکنون از دست عدالت فراری هستند،» هشدار داد در صورت سفر این افراد به بیش از ۱۰۰ کشور خارجی، ممکن است بازداشت و به ایالات متحده مسترد شوند.

بنا بر اعلام وزارت دادگستری آمریکا، حساب‌های ایمیل بیش از صد هزار استاد در دانشگاه‌های ایالات متحده و دیگر کشورهای جهان در حملات سایبری ایران به سرقت رفته، که اطلاعات مربوط به حدود هشت هزار نفر از آنها در معرض خطر افشا قرار گرفته است.

بیانیه وزارتخانه و اظهارات معاون وزیر دادگستری آمریکا همزمان با بیانیه وزارت خزانه داری مبنی بر تحریم ۱۰ فرد و یک نهاد مستقر در ایران بابت دست داشتن در حملات سایبری علیه آمریکا و متحدان آن و نقض حقوق مالکیت معنوی و سرقت اطلاعات بیان شد.

رکورد حملات سایبری شکست

سه شنبه, ۱۵ اسفند ۱۳۹۶، ۰۲:۲۹ ب.ظ | ۰ نظر

هفته گذشته سایت مشهور گیت هاب به علت حملات سایبری موسوم به دی او اس با ظرفیت ۱.۳ ترابایت در ثانیه از کار افتاد. اما بعد از ۵ روز این رکورد حمله سایبری هم شکسته شد.

به گزارش خبرگزاری مهر به نقل از رجیستر، موسسه امنیتی آربور نتورکس می گوید گیت هاب روز گذشته حمله ای با ظرفیت بی سابقه ۱.۷ ترابیت در ثانیه را پشت سر گذارده و البته این بار بر خلاف دفعه گذشته از کار نیفتاده، زیرا برای مقابله با حمله دی او اس یادشده تمهیدات کافی را در نظر گرفته بود.

کارشناسان امنیتی بارها در مورد تشدید و گسترش حملات سایبری و به خصوص حملات موسوم به DOS هشدار داده اند. در قالب این حملات درخواست های زیادی برای بازدید از یک سایت به طور ناگهانی و گسترده ارسال شده و تلاش می شود با ایجاد ترافیک مصنوعی دسترسی به سایت مورد حمله مختل شود.

در حالی که تا سال ۲۰۱۲ ظرفیت ترافیک ایجاد شده در حملات دی او اس به ندرت از ۱۰۰ گیگابیت در ثانیه فراتر رفته بود، از سال ۲۰۱۳ شاهد اوج گیری و تشدید حملات دی او اس بوده ایم؛ به گونه ای که ترافیک کاذب ایجاد شده بر روی سایت های هدف در سال ۲۰۱۴ به رکورد بی سابقه ۳۰۹ گیگابیت در ثانیه و در سال ۲۰۱۶ به رقم ۶۵۰ گیگابیت در ثانیه افزایش یافت.

در حال حاضر و در شرایطی که تنها دو ماه از سال ۲۰۱۸ گذشته این رقم به ۱.۷ ترابیت در ثانیه رسیده است. مدیران سایت ها برای مقابله با این حملات باید از سرورهای قدرتمند و امکانات سخت افزاری متعددی استفاده کنند که در توان همه آنها نیست و تداوم این وضعیت می تواند آینده اینترنت را به طور جدی به چالش بکشد.