ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۸ مطلب با کلمه‌ی کلیدی «مرکز افتا» ثبت شده است

تحلیل


مرکز افتا: سامانه‌های ویندوزی آلوده شده‌اند

سه شنبه, ۲۱ ارديبهشت ۱۴۰۰، ۰۴:۵۱ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتای ریاست جمهوری با اشاره به شناسایی یک حمله سایبری پیشرفته، نسبت به آلوده سازی سامانه های فعال با سیستم عامل ویندوز توسط این گروه مهاجمان سایبری هشدار داد.

به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی افتا، گروهی از مهاجمان سایبری از سال ۲۰۱۹ در کارزاری به نام TunnelSnake با به‌کارگیری حداقل یک روت‌کیت اختصاصی، به آلوده‌سازی سامانه‌های با سیستم‌عامل ویندوز اقدام کرده‌اند که این جاسوسی و سرقت اطلاعات همچنان ادامه دارد.

روت‌کیت‌ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم‌عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می‌دارند.

این روت‌کیت که منابع تحقیقاتی کسپرسکی آن را Moriya نام‌گذاری کرده‌اند یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه‌ای قربانی و ارسال فرمان‌های مورد نظر آنها قادر می‌سازد.

به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه می‌دهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند.

سطح هسته یا همان Kernel Space جایی است که هسته سیستم‌عامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.

کد مخرب Moriya فرمان‌های مهاجمان را از طریق بسته‌های دست‌کاری شده خاصی دریافت می‌کند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد.

این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان می‌دهد که آنان تلاش می‌کنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک‌ها) برای مدت‌ها بدون جلب‌توجه در شبکه قربانی ماندگار بمانند.

در کارزار TunnelSnake، برای از کار انداختن و متوقف کردن اجرای پروسه‌های ضدویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاه‌های آسیب‌پذیر، از ۴ ابزار دیگر کمک گرفته شده است.

تعداد سازمان‌هایی که کسپرسکی Moriya را در شبکه آنها شناسایی کرده، کمتر از ۱۰ مورد هستند و همه آنها سازمان‌های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده‌اند.

نشانه‌های آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا در دسترس است.

هشدار حمله سایبری به تجهیزات سازمانی کشور

چهارشنبه, ۱ ارديبهشت ۱۴۰۰، ۰۳:۱۵ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتا (امنیت فضای تبادل اطلاعات) اعلام کرد: در تجهیزات سازمانی پنج آسیب‌پذیری وجود دارد که هکرها برای نفوذ به شبکه‌های شرکتی و دولتی، در حال استفاده از آن‌ها هستند.

به‌گزارش روابط عمومی مرکز مدیریت راهبردی افتا (امنیت فضای تبادل اطلاعات) تمام این پنج آسیب‌پذیری کاملاً شناخته شده و از آنها در حملات مهاجمان دولتی و گروه‌های جرایم اینترنتی استفاده شده است.
هکرها به طور مکرر شبکه‌های سیستم‌های آسیب‌پذیری‌ شده را اسکن می‌کنند و در تلاش برای به‌دست‌آوردن اطلاعات احراز هویت برای دسترسی بیشتر هستند.
سه آژانس امنیتی و امنیت سایبری آمریکا، شامل آژانس امنیت سایبری و زیرساخت (CISA)، اداره تحقیقات فدرال (FBI) و آژانس امنیت ملی (NSA)، این هکرها را SVR خوانده‌اند.
بر اساس هشدار امنیتی مشترک آمریکا و انگلیس که در ژوئیه سال ۲۰۲۰ منتشر شد، SVR از چهار نوع از این آسیب‌پذیری‌ها برای هدف قراردادن و نفوذ به شبکه‌های شرکت‌های فعال در ساخت واکسن COVID-۱۹ استفاده کرده‌اند.
آژانس امنیت ملی آمریکا (NSA)  نیز در دسامبر سال ۲۰۲۰ به شرکت‌های آمریکایی هشدار داده بود که هکرهای روسی از آسیب‌پذیری VMWare بعنوان پنجمین باگ سوءاستفاده می‌کنند.
با استفاده از آسیب‌پذیری‌های ۵گانه جدید، مهاجمان ممکن است سعی کنند از یک نقطه‌ضعف در یک رایانه یا برنامه سمت اینترنت با استفاده از نرم‌افزار، داده‌ها یا دستورات، استفاده کنند تا رفتاری ناخواسته و یا پیش‌بینی‌نشده‌ای انجام دهند.
ممکن است مهاجمان از سرویس‌های از راه دور خارجی که برای دسترسی اولیه در شبکه استفاده می‌کنند، کمک بگیرند؛ سرویس‌های از راه دور مانند VPN ها، Citrix  و سایر مکانیزم‌های دسترسی به‌ویژه پروتکل ریموت دسکتاپ (RPD)  که به کاربران امکان می‌دهند از مکان‌های خارجی (اینترنت) به منابع شبکه سازمانی داخلی متصل شوند.

به متولیان امنیت سایبری شرکت‌ها و سازمان‌ها توصیه می‌شود با اولویت ویژه، شبکه‌های خود را از نظر شاخص سازش مربوط به هر پنج آسیب‌پذیری و تکنیک‌های تفصیلی بررسی کرده و اقدامات فوری را انجام دهند.  
برای مقابله با این نفوذهای سایبری ضروری است تا مدیران، متخصصان و کارشناسان IT دستگاه‌های زیرساختی، سیستم‌ها و محصولات را به‌روز نگه دارند و در به‌روزرسانی وقفه‌ای ایجاد نکنند، چرا که بسیاری از مهاجمان از آسیب‌پذیری‌های متعدد استفاده می‌کنند.
واحدهای IT زیرساخت‌ها باید قابلیت‌های مدیریت خارجی را غیرفعال کنند و یک مدیریت شبکه out-of-band را راه‌اندازی کنند.
کارشناسان مرکز مدیریت راهبردی افتا هم از مدیران، متخصصان و کارشناسان IT دستگاه‌های زیرساختی خواسته‌اند با فرض اینکه نفوذ اتفاق می‌افتد، برای فعالیت‌های پاسخگویی به حوادث، آماده باشند.  

در روزهای گذشته خبری در رسانه ها منتشر شد که بر اساس آن سایت رصد و پایش دولت الکترونیک هک شده است.

بدافزار «جوکر»دوباره آمد

شنبه, ۱۲ مهر ۱۳۹۹، ۰۴:۴۱ ب.ظ | ۰ نظر

مرکز افتا نسبت به فعالیت مجدد بدافزار «جوکر» که یکی از بزرگترین خانواده های بدافزارهای اندرویدی محسوب می شود هشدار داد و اعلام کرد: این بدافزار SMS و لیست تماس کاربران را سرقت می کند.

به گزارش معاونت بررسی مرکز افتا، جوکر (Joker Malware) یکی از بزرگترین خانواده‌های بدافزار است که به طور مداوم دستگاه‌های Android را هدف قرار می‌دهد. این بدافزار با ایجاد تغییر کد، روش‌های اجرایی یا تکنیک‌های بازیابی محموله، بار دیگر در گوگل پلی (Google play) ظاهر شده است.

محققان امنیتی تیم تحقیقاتی Zscaler ThreatLabZ بارگذاری منظم فایل‌های آلوده به بدافزار را در فروشگاه Google Play شناسایی کرده‌اند.

این امر باعث شد تا چگونگی دستیابی موفقیت‌آمیز جوکر به فرآیند ورود به Google Play مورد ارزیابی قرار گیرد.

در سپتامبر امسال، ۱۷ نمونه مختلف برنامه آلوده که به طور منظم در Google Play بارگذاری می‌شده، مورد شناسایی قرار گرفته و حدود ۱۲۰ هزار دانلود برای برنامه‌های مخرب انجام شده است.

محققان سه سناریوی مختلف در این آلودگی را بررسی کردند:

سناریو اول: برنامه مخرب URL C&C را برای دانلود مستقیم در برنامه جاسازی کرده و پس از نصب برنامه مخرب، برای دانلود با سرور C&C تماس می‌گیرد.

سناریو دوم: برنامه‌های مخرب stager payload را اضافه می‌کنند. وظیفه این stager payload این است که به راحتی payload URL نهایی را از کد بازیابی کرده و سپس دانلود و اجرا می‌کند.

سناریو سوم: برنامه‌های آلوده برای دانلود payload نهایی، payload دو مرحله‌ای دارند. برنامه آلوده Google Play مرحله اول payload را دانلود می‌کند که سپس مرحله دوم payload هم دانلود شده و در نهایت payload نهایی Joker را دانلود می‌کند.

در تمام سناریوها، Payload نهایی که دانلود می‌شود بدافزار Joker است و از کد رمزگذاری DES برای اجرای فعالیت‌های C&C استفاده می‌کند. 

به کاربران توصیه می‌شود که مجوز برنامه‌هایی که نصب می‌کنند را به خوبی بررسی کنند.

لیست نمونه‌هایی از این برنامه‌های مخرب در سایت مرکز مدیریت راهبردی افتای ریاست جمهوری آمده است.

براساس یک تحقیق جامع دانشگاهی که نتایج آن به‌تازگی منتشر شده در بیش از ۱۲ هزار و ۷۰۰ برنامه مبتنی بر سیستم عامل اندروید رفتارهایی مخفی و مشابه با عملکرد درب‌پشتی مهاجمان سایبری دیده می‌شود.

به گزارش معاونت بررسی مرکز افتا، برای کشف این رفتارهای بالقوه مخرب، محققان با توسعه ابزاری با نام InputScope که وظیفه آن تحلیل فیلدهای موسوم به ورودی (Input Field) است افزون بر ۱۵۰ هزار برنامه تحت سیستم عامل اندروید را مورد بررسی قرار داده‌اند.

در این تحقیق ۱۰۰ هزار برنامه که بیشترین نصب را از طریق انباره Play Store داشته‌اند، ۲۰ هزار برنامه میزبانی‌شده روی انباره‌های ثالث و بیش از ۳۰ هزار برنامه از قبل نصب شده روی دستگاه‌های سامسونگ ارزیابی شده‌اند.

نتیجه این بررسی وضعیت نگران‌کننده‌ای را به تصویر می‌کشد. ۱۲ هزار و ۷۰۶ مورد از این برنامه‌ها به‌نحوی شامل انواع رفتارهایی مشابه با بدافزارهای معروف به درب‌پشتی همچون استفاده از کلیدهای دسترسی مخفی، رمزهای عبور موسوم به Master و وجود فرامین مخفی بوده‌اند.

محققان می‌گویند این سازوکارهای درب‌پشتی مخفی به مهاجمان امکان می‌دهد که به‌طور غیرمجاز به حساب‌های کاربری دسترسی پیدا کنند. ضمن اینکه در صورت دسترسی فیزیکی مهاجم به دستگاهی که یکی از برنامه‌های مذکور بر روی آن نصب است امکان اجرای کد با سطح دسترسی بالا نیز از طریق فرامین مخفی موجود در فیلدهای ورودی فراهم می‌شود.

با بررسی دقیق‌تر چندین برنامه ویژه دستگاه‌های همراه، این محققان دریافته‌اند که برای مثال یک برنامه کنترل از راه دور (با ۱۰ میلیون نصب) شامل رمز عبور Master، قادر به بازگشایی دستگاهی است که در پی مفقود شدن، به‌صورت از راه دور توسط صاحب آن قفل شده است.

یا یک برنامه معروف قفل‌کننده صفحه نمایش (با ۵ میلیون نصب) از کلید دسترسی به‌منظور بازگردانی رمزهای عبور کاربر، از قفل خارج کردن صفحه نمایش و فراهم کردن دسترسی به سیستم استفاده می‌کند.

یک برنامه ارتباط زنده (با ۵ میلیون نصب)، نمونه‌ای دیگر از این برنامه‌ها است که سوءاستفاده از کلید دسترسی آنکه وظیفه کنترل ورود به کنسول مدیریتی برنامه را بر عهده دارد مهاجم را قادر به پیکربندی مجدد برنامه و دستیابی به قابلیت‌های اضافی آن می‌سازد.

این محققان به یک برنامه معروف مترجم (با یک میلیون نصب) نیز اشاره کرده‌اند که حاوی کلید مخفی جهت عبور از سد کنترل‌های پرداخت در سرویس‌های پیشرفته‌ای همچون حذف تبلیغات نمایش یافته در برنامه است.

بی‌تردید برخی از این موارد امنیت کاربر و داده‌های ذخیره شده روی دستگاه او را در معرض خطر قرار می‌دهند. تعدادی نیز موارد کم‌خطر یا امکاناتی موسوم به دیباگ هستند که احتمالاً به‌طور ناخواسته با عملکردی بالقوه مخرب در برنامه لحاظ شده‌اند.

در مجموع، این محققان بیش از ۶۸۰۰ برنامه روی Play Store، بیشتر از یک هزار مورد را روی انباره‌های ثالث و تقریباً ۴۸۰۰ برنامه که روی دستگاه‌های Samsung به‌صورت پیش‌فرض نصب شده‌اند را حاوی قابلیت درب‌پشتی مخفی معرفی کرده‌اند.

این افراد وجود این آسیب‌پذیری‌ها را به تمامی توسعه‌دهندگان برنامه‌هایی که حاوی رفتاری مخفی یا سازوکاری مشابه با درب‌پشتی هستند اعلام کرده‌اند. گرچه تمامی آنها اقدام به پاسخ‌دهی نکرده‌اند.

جزئیات بیشتر در خصوص این تحقیق، در مقاله‌ای علمی با عنوان «Automatic Uncovering of Hidden Behaviors FromInput Validation in Mobile Apps» توسط محققان دانشگاه‌های ایالتی اوهایو و نیویورک و مرکز آلمانی CISPA Helmholtz Center for Information Security ارائه شده است.

از آنجا که ابزار InputScore فیلدهای ورودی برنامه‌های مبتنی بر Android را تحلیل می‌کند، اطلاعاتی نیز در مورد پالایش‌ها و کنترل‌های اعمال شده از سوی توسعه‌دهندگان به‌منظور تشخیص کلمات غیرمجاز استخراج شده که به گفته این محققان ۴۰۲۸ مورد از برنامه‌های بررسی شده دارای فهرست سیاه بوده‌اند.

مرکز مدیریت راهبردی افتای ریاست جمهوری اخبار مربوط به حملات سایبری موفق به تاسیسات نفتی و زیرساخت‌های حیاتی ایران را تکذیب کرد.

به گزارش خبرگزاری مهر، مرکز مدیریت افتای ریاست جمهوری در اطلاعیه ای اعلام کرد: بر اساس رصدهای صورت گرفته برخلاف ادعاهای امروز رسانه های غربی حمله سایبری موفقی به تاسیسات نفتی و سایر زیرساخت های حیاتی کشور صورت نگرفته است.

مرکز مدیریت راهبردی افتا از همه خبرگزاری ها، سایت های خبری، نشریات و فعالان فضای مجازی خواست تا قبل از انتشار اینگونه اخبار، از طریق مراجع ذی‌صلاح از صحت آن‌ها اطمینان کامل حاصل کنند.

مرکز مدیریت راهبردی افتای ریاست جمهوری، طرح امن سازی زیرساخت‌های حیاتی را در قبال حملات سایبری تدوین و برای اجرا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، هدف این طرح که از امروز به تمامی دستگاه‌های زیرساختی کشور ابلاغ شده است، ارتقاء امنیت فضای تولید و تبادل اطلاعات هر سازمان و جلوگیری از بروز اختلال در ارائه سرویس‌های حیاتی آنهاست. 
رضا جواهری رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری در این باره گفت: مسئولیت امنیت سایبری در هر حوزه‌ی زیرساختی کشور با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود.
آقای جواهری افزود: با توجه به مخاطرات نوظهور درعرصه‌ی فناوری اطلاعات و ارتباطات، این طرح با بازنگری همه جانبه در نسخه ابلاغی اسفند ۱۳۹۲ با بیش از ۱۸ ماه کار مداوم، تحقیق، پژوهش، بررسی آسیب‌ها و توانمندی‌های سایبری و ارزیابی ظرفیت امنیت سایبری و صرف افزون بر ۷۲ هزار ساعت نفرکار تدوین نهایی و ابلاغ شده است.
وی تصریح کرد: نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری شامل الزامات امنیتی اولویت دار، نقشه راه اجرا و مدل ارزیابی بلوغ امنیتی است.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری گفت: این مرکز با دریافت بازخوردهای مختلف از زیرساخت‌های حیاتی، بخش خصوصی ارائه دهنده‌ی خدمات افتا و همچنین متخصصان فنی این حوزه، نسخه‌ی بازنگری شده این سند را تدوین کرده است تا سازمان‌ها به سوی نظم بخشی و ساماندهی فعالیت‌های تضمین  امنیت سایبری رهنمون شوند.
آقای جواهری گفت: هدف از الزامات طرح امن سازی، جهت دهی راهبردی به فعالیت‌های ملی در حوزه‌ی امنیت سایبری زیرساخت‌ها و ارائه‌ی یک نقشه راه برای توسعه‌ی همزمان امنیت سایبری در بخش‌های مختلف کشور است.
وی با اشاره به اهمیت مدیریت مخاطرات در طرح امن سازی زیرساخت‌های حیاتی در برابر حملات سایبری گفت: مدیریت مخاطرات در این طرح امن سازی، فرآیندی مستمر است که در آن تهدیدات و آسیب پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می ‌شوند تا با انجام اقدامات امن سازی، مخاطرات احتمالی سایبری مدیریت شوند.
آقای جواهری ضمن مقایسه این طرح با طرح امن سازی اسفند ۱۳۹۲ گفت: در طرح جدید به مدل بلوغ امن سازی توجه خاصی شده و برای اندازه گیری پیشرفت امن سازی، سطوح چهارگانه شاخص بلوغ در نظرگرفته شده است تا سازمان‌های دارای زیرساخت حیاتی بتوانند با سنجش سطح بلوغ امنیتی حوزه‌ی خود برای ارتقاء آن تلاش کنند.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری، اطلاعات موجود در هر دستگاه زیرساختی را جزء دارائی‌ها و سرمایه‌های ارزشمند کشور خواند و گفت: اجرای دقیق طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری می‌تواند امنیت لازم را برای تولید و تبادل اطلاعات به‌وجود آورد.
 

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به سرقت تصاویر شخصی کاربران توسط پیام‌رسان برخی گوشی‌های سامسونگ هشدار داد و از کاربران خواست دسترسی به حافظه گوشی را غیرفعال کنند.

به گزارش مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، تعدادی از کاربران پیام رسان برخی گوشی های سامسونگ اعلام کرده‌اند که تصاویر شخصی آنان به طور خودکار و مخفیانه به مخاطبانشان ارسال شده است.

برنامه پیام‌رسان سامسونگ به طور پیش‌فرض در تبلت ها و گوشی های هوشمند این برند کره‌ای نصب است.

عمده شاکیان ارسال مخفیانه تصاویرشان به دیگران، دارندگان گوشی های سامسونگ مدل‌های گالکسی اس ۹، اس۹ پلاس و نوت ۸ بوده است که در فروم های پشتیبانی رسمی سامسونگ و Reddit نسبت به ارسال بدون اجازه و مخفیانه تصاویر گوشی خود به دیگران، شکایت کرده‌اند.

نکته قابل توجه این است که تصاویر ارسالی در بخش پیام های ارسالی صاحب گوشی همراه سامسونگ مشاهده نمی‌شود و تصاویر به مخاطبان تصادفی ارسال می شود.

در ابتدا به نظر می رسید که این مشکل مربوط به سرویس دهنده T-Mobile است که این اپراتور هرگونه مداخله‌ای را در این باره رد کرده و این باگ در سایر سرویس دهنده ها مانند AT&T نیز مشاهده شده است.

سامسونگ از این مشکل آگاه شده و تیم فنی آن در حال برطرف کردن مشکل است.

مرکز مدیریت راهبردی افتای ریاست جمهوری توصیه کرد که افرادی که از برنامه پیام رسان پیش فرض گوشی سامسونگ استفاده می‌کنند، برای جلوگیری از ارسال مخفیانه عکس‌هایشان به دیگران بهتر است در بخش permissions دسترسی آن را به تصاویر و حافظه گوشی، غیرفعال کنند.