ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۲۸ مطلب با کلمه‌ی کلیدی «مرکز افتا» ثبت شده است

تحلیل


مرکز مدیریت راهبردی افتا با صدور بخشنامه‌ای چگونگی فعالیت سامانه‌ها و سکوهای خارجی و عرضه محصولات حوزه امنیت را مشخص کرد.

به گزارش مرکز مدیریت راهبردی افتا، این بخشنامه خطاب به همه دستگاه‌های اجرایی کشور (دارای زیرساخت حیاتی)، سازمان نظام صنفی رایانه‌ای کشور و شرکت‌های فعال در حوزه تأمین محصولات، سامانه‌ها و سکوهای حوزه امنیت اطلاعات و ارتباطات صادر شده است.

در این بخشنامه با تاکید بر اینکه محصولات، سامانه‌ها و سکوهای خارجی حوزه امنیت موظف به معرفی نماینده رسمی حقوقی داخلی تام‌الاختیار هستند آمده است: محصولات، سامانه‌ها و سکوهای خارجی حوزه امنیت موظف به راه اندازی خدمت بروزرسانی تجهیزات و سامانه‌های مورد نیاز در داخل ایران هستند، به صورتی که در هیچ شرایطی در فرآیند بروزرسانی محصولات مورد استفاده مشتریان، تأخیری ایجاد نشود.

بر اساس اعلام مرکز مدیریت راهبردی افتا، عرضه کنندگان محصولات، سامانه‌ها و سکوهای خارجی حوزه امنیت و نماینده قانونی آن‌ها در زمان وقوع رخداد سایبری، ملزم به همکاری کامل با تیم رسیدگی به رخداد دستگاه هماهنگ کننده برای مشتریان خود هستند.

در بخشنامه مرکز مدیریت راهبردی افتا تاکید شده است که تمامی ارائه دهندگان محصولات، سامانه‌ها و سکوهای خارجی حوزه امنیت فضای تولید و تبادل اطلاعات موظفند حداکثر ظرف مدت سه ماه از تاریخ ابلاغ این دستورالعمل نسبت به تأمین و رعایت ضوابط مندرج در این بخشنامه اقدام کنند.

ضوابط سامانه‌ها و سکوهای خارجی حوزه امنیت سایبری

ضوابط سامانه‌ها و سکوهای خارجی حوزه امنیت سایبری

با توجه به مشکلات موجود در چرخه ارزیابی امنیتی محصولات  سایبری، مرکز مدیریت راهبردی افتا با راه‌اندازی 5 آزمایشگاه جدید موافقت کرده است.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، علاقمندان و سرمایه گذاران بخش خصوصی و موسسات تحقیقاتی برای اطلاع از شرایط راه اندازی آزمایشگاه‌های جدید امنیت سایبری، می‌توانند با معاونت توسعه و ارزیابی این مرکز مکاتبه کنند.
 در حال حاضر پنج آزمایشگاه مشغول ارزیابی امنیتی محصولات سایبری هستند و هر محصول سایبری که بخواهد در زیرساخت‌های کشور استفاده شود باید از این آزمایشگاه‌ها مجوز امنیتی لازم را کسب کند.

اقدامات مرکز افتا در حوزه امنیت سایبری

چهارشنبه, ۳۰ خرداد ۱۴۰۳، ۰۲:۰۲ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتا برای مقابله با حوادث سایبری و جلوگیری از حملات هکران به زیرساخت‌های کشور، ضمن تقویت صنعت داخلی افتا، علاوه بر راه اندازی پارک سایبری، سامانه ملی شناسایی و پاسخ مدیریت شده تهدیدات (MDR) را ایجاد می‌کند.
حسین انصاری رئیس مرکز مدیریت راهبردی افتا در ششمین همایش مدیران سایبری سازمان‌ها و دستگاه‌ها ضمن بیان این خبر افزود: شرط برخورداری از امنیت سایبری کارآمد، خوب و موثر، بخش خصوصی قدرتمند و فعال در عرصه خدمات افتایی و محصولات فتایی است که مرکز مدیریت راهبردی افتا در حال ایجاد شرایط لازم برای افزایش توان رقابت آنان با رقبای خارجی و گسترش میزان استفاده از صنعت داخل در بخش امنیت سایبری است.

وی گفت: برای تقویت بخش خصوصی فعال در زمینه‌های امنیت سایبری، مرکز مدیریت راهبردی افتا همچنین فرآیند نظام‌مند کردن سامانه‌های خارجی امنیتی را در دستور کار خود قرار داده و در همین راستا، استفاده از دو برند خارجی ممنوع و بکارگیری یک برند خارجی دیگر مشروط به موافقت و بررسی‌های فنی امنیتی این مرکز شده است.

انصاری همچنین از انتقال دانش، راه اندازی آزمایشگاه‌های ارزیابی مرجع با هدف افزایش اطمینان از خرید محصولات داخلی ، تعامل با شرکت‌های خارجی فعال در حوزه امنیت ، راه‌اندازی سامانه ملی شناسایی و پاسخ مدیریت شده تهدیدات (MDR) و همچنین پارک سایبری بعنوان دیگر اقدامات مرکز مدیریت راهبردی افتا برای حمایت همه جانبه از صنعت افتا یاد کرد.

 ایجاد سامانه متمرکز ملی پایش وب عمیق ، فعال شدن اپراتورهای داخلی امنیت سایبری، راه‌اندازی مرکز عملیات سلسله مراتبی (SOC) و مدیریت متمرکز تهدیدات از دیگر اقداماتی است که مرکز مدیریت راهبردی افتا برای افزایش امنیت سایبری کشور در نظر گرفته است.

رئیس مرکز مدیریت راهبردی افتا گفت: با انجام اقدام‌های امنیتی که از بهمن ماه سال گذشته آغاز شده، سازمان‌ها و دستگاه‌های دارای زیرساخت حیاتی، به سه گروه تقسیم شده و بر اساس این تقسیم بندی، توانمندسازی، بهبود معماری شبکه و خدمات رسانی فنی به آنها آغاز و چگونگی استفاده از اپراتورهای داخلی امنیت مشخص شده است.

انصاری با بیان اینکه دشمنان نظام اسلامی، جنگ تمام عیار سایبری را به ما تحمیل کرده‌اند، از اجرای طرح مهار و شکار تهدیدات سایبری و شکار صدها مورد تهدید سخن گفت و افزود: کارشناسان مرکز مدیریت راهبردی افتا با همکاری و همراهی مستقیم متخصصان IT سازمان‌ها، در حال اجرای دومین مرحله طرح مهار و شکار تهدیدات سایبری هستند و مشاوره‌های امنیتی را در اختیار راهبران سایبری سازمان‌ها قرار داده‌اند.

رئیس مرکز مدیریت راهبردی افتا گفت: بین افتا، پدافند غیر عامل، پلیس فتا و مرکز ماهر بعنوان متولیان امنیت سایبری کشور، تعامل و همراهی کامل وجود دارد و رزو به روز بر این یکپارچگی افزوده می‌شود.

انصاری با تشریح تعدادی از حملات سایبری اخیر گفت: مرکز مدیریت راهبردی افتا آمادگی کامل دارد تا به سازمان‌ها و دستگاه‌های دارای زیرساخت حیاتی در پیاده سازی و اجرای طرح امن سازی مقابله با حوادث سایبری کمک کند.

وی افزود: مرکز مدیریت راهبردی افتا علاوه بر نقش راهبردی خود، به ناچار باید برای مقابله موثرتر با حملات سایبری در اقدامات اجرایی وارد شود و صرفا توصیه کننده نباشد.

رئیس مرکز مدیریت راهبردی افتا همچنین از راهبران امنیت سایبری سازمان‌ها و دستگاه‌های دارای زیر ساخت حیاتی ‌خواست تا بصورت مداوم و با اولویتی بالا، نسبت به بروزرسانی سیستم، شبکه و ابزارهای امنیت سایبری خود اقدام کنند و علاوه بر توجه به الزامات اعلامی مرکز افتا به آموزش هدف‌دار نیروهای بخش امنیت سایبری و تبادل دانش فنی اهتمام خاص داشته باشند.

هشدار مرکز افتا برای خرید محصولات کسپرسکی

سه شنبه, ۸ خرداد ۱۴۰۳، ۰۲:۱۷ ب.ظ | ۰ نظر

مرکز افتای ریاست جمهوری گفته محصولات کسپرسکی در تشخیص نفوذ و مقابله با حملات اخیر سایبری به زیرساخت‌های حیاتی کشور ضعیف عمل کرده‌اند.

به گزارش خبرگزاری خبرآنلاین، مرکز افتای ریاست جمهوری نسبت به استفاده از محصولات شرکت امنیت فناوری اطلاعات «کسپرسکی» در دستگاه‌های اجرایی هشدار داد.

مرکز افتای ریاست جمهوری در ابلاغیه‌ای به دستگاه‌های اجرایی کشور که دارای زیرساخت‌های حیاتی هستند، اعلام کرده که از ۲۵ اردیبهشت‌ماه امسال هرگونه خرید یا تمدید لایسنس محصولات کسپرسکی منوط به استعلام کتبی از این مرکز است.

مرکز افتا️ علت این تصمیم را عدم کارایی و ضعف عملکردی محصولات کسپرسکی در تشخیص نفوذ و مقابله با حملات اخیر سایبری به زیرساخت‌های حیاتی کشور عنوان کرده است.

مرکز افتا به دستگاه‌های اجرایی مخاطب این ابلاغیه هشدار داده که درصورت رعایت نکردن این دستورالعمل، تبعات حقوقی و امنیتی ناشی از صدمات احتمالی حملات سایبری به زیرساخت‌های کشور بر عهده دستگاه متبوع خواهد بود.

در سال‌های گذشته و به‌دلیل خروج عمده محصولات ضد ویروس و امنیت فناوری اطلاعات از بازار ایران، شرکت روسی کسپرسکی سهم بالایی از بازار کشور را به خود اختصاص داده است.

امنیت سایبری زیرساخت‌های هر کشوری با وجود مولفه‌های قدیمی، سست و آسیب‌پذیر شده و به پنجره‌ای برای نفوذ هکرها و بروز حملات سایبری تبدیل می‌شوند؛ این موضوع هشداری است به مدیران و متولیان حفظ امنیت سایبری کشور و این سوال را ایجاد کرده که طی سال‌های گذشته چقدر اقدامات پیشگیرانه و محافظتی تاثیرگذار برای اطلاعات حیاتی کشور انجام شده است.
به گزارش ایسنا، به تایید کارشناسان و مسئولان حوزه ارتباطات و فناوری اطلاعات، در یک سال گذشته حجم حملات سایبری افزایش داشته و عمده هدف این حملات کور، مختل کردن و از کار انداختن روند خدمت‌رسانی بوده است. به طور مثال طی چند ماه گذشته رئیس سازمان پدافند غیرعامل کشور از کشف و خنثی کردن ۱۰ حمله سایبری در طول یک سال خبر داد که با همکاری سازمان اطلاعات سپاه و وزارت اطلاعات این ۱۰ حمله سایبری خنثی شده است.

بر این اساس طبق اظهارات رئیس سازمان پدافند غیرعامل کشور، در حوزه حفره‌های امنیتی به این موضوع رسیده شده که باید محصولات داخلی داشته باشند در نتیجه با همکاری شرکت‌های دانش‌بنیان و وزارت دفاع ۳۰۰ محصول بومی در این حوزه تهیه  و سال گذشته ۸۰ درصد حملات را با این محصولات دفع کردند.

اواخر تابستان امسال اعلام شد بخشی از اطلاعات کاربران تپسی به دست هکرها افتاده است. یک گروه هکری با هویت معلوم به اطلاعات تعدادی از خدمات گیران شرکت تاکسی اینترنتی تپسی دسترسی پیدا می‌کنند و سپس تقاضای ۳۵ هزار دلار از شرکت تپسی می‌کند تا اطلاعات خدمات گیرندگان را برگرداند و منتشر نکند که این شرکت این کار را انجام نمی‌دهد و از گروه هکری شکایت می‌کند. در نهایت در پی شکایت شرکت تپسی از این گروه هکری اقدامات قضائی انجام شده و منبع آلودگی برطرف شد.

چند ماه پس از آن در سیستم برخی پمپ بنزین‌ها اختلال رخ داد. ۲۷ آذرماه ۱۴۰۲ قریب به ۳۸۰۰ جایگاه سوخت در سراسر کشور از مجموعه ۴۳۹۶ جایگاه از طریق نفوذ سایبری در سامانه IPC دچار اختلال شد و ادامه کارکرد آن‌ها از طریق کارت سوخت امکان‌پذیر نبود.

از سوی دیگر با گذشت مدت زمان کمی بار دیگر اطلاعات کاربران یک شرکت دیگر در اختیار هکرها قرار گرفت. در این زمینه یک گروه هکری ادعا کرد کل داده‌های اسنپ فود، شامل اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش را به دست آورده است.

هک شدن اطلاعات برخی سازمان‌ها و ارگانهای دولتی و غیر دولتی طی سالهای گذشته هم بوقوع پیوسته است اما در جدیدترین نمونه اواخر هفته گذشته، خبرگزاری خانه ملت هک شد و روابط عمومی مجلس ساعتی پس از بروز این مشکل، با صدور اطلاعیه‌ای از دسترس خارج‌ شدن سایت‌های مجلس را اعلام  و البته تاکید شد که ابعاد این موضوع توسط تیم‌های فنی کارشناسی در حال بررسی بوده و  اطلاع‌رسانی‌های لازم انجام می شود.

در همان روز رئیس کل گمرک هم از حملات شبانه‌روزی به سامانه گمرک خبر داد و در رابطه با قطعی سامانه گمرک، با اشاره به اینکه طی چند هفته اخیر، میزان حمله‌های سایبری به این سامانه افزایش چشمگیری داشته‌است، تأکید کرد: به صورت شبانه‌روز و عمدتاً از مبادی کالاها، مورد حمله‌های سایبری هستیم و میزان و شدت آن باورنکردنی است.

 

مسئولیت نهاد و سازمان های دولتی چیست؟

به اعتقاد کارشناسان جدای از وظیفه مهم خود دستگاه‌ها و سازمان‌ها که باید مسئول حفاظت اطلاعات خود بر پایه دستورالعمل‌ها و آموزه‌ها باشند و تدابیر لازم را در نظر بگیرند، اکنون می‌توان به این موضوع هم تاکید کرد که در سوی دیگر ماجرا، زمان پاسخگویی به این سوال هم  رسیده است که مسئول شناسایی این گونه حملات در کشور کیست؟ چه نهادی مسئول اصلی است؟ چه کسی باید اوضاع را مدیریت کند؟

سوال دیگری که ذهن کاربران را درگیر کرده این است که آیا تکرار حملات سایبری به زیرساخت‌های کشور در شرایط حساس فعلی و طی ماه‌های گذشته به این معناست که چیزی با عنوان سپر دفاعی یکپارچه در فضای سایبری داریم؟

آیا نقشه دقیق فعالیت در حوزه امنیت سایبری در کشور در حیطه اختیارات مراکز مختلفی مانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاست جمهوری، سازمان پدافند غیر عامل و ... پیش بینی نشده است؟

دیگر اینکه از میان این مراکز مهم که برای برقراری امنیت سایبری به عنوان مسئول و متولی معرفی شده‌اند، در هنگام بروز حملات سایبری عملاً کدامیک اقدام موثری انجام داده‌اند؟

همچنین تدوین لایحه‌ای با عنوان حفاظت از داده چقدر می تواند پس از وقوع حملات سایبری تأثیری داشته باشد؟ چرا که سال‌ها گذشته و این لایحه رونمایی و سال ۱۴۰۱ پیش نویس آن نهایی شده اما در این بازه زمانی چند حمله سایبری رخ داده و اطلاعات کاربران به خطر افتاده است اما پس از آن، اقدامات تازه‌ای در این زمینه انجام نشده بود تا اینکه وزیر ارتباطات چندی قبل به بهانه هک اسنپ فود، خبر تازه‌ای در این زمینه اعلام و گفت که لایحه حفاظت از داده را به دولت ارسال کردیم و اکنون به کمیسیون حقوقی و قضایی ارسال شده و در آنجا قرار است بررسی شود.

بر اساس این اظهارات تازه قرار است لایحه مذکور برای بررسی نهایی به مجلس ارسال شود تا کلا بحث حفاظت از داده‌های شخصی افراد در فضای مجازی نظام‌مند شود و ساز و کار و تکالیفی برای دارندگان سکوها، پلت‌فرم‌ها مشخص شود. البته زارع پور در جدیدترین اظهارات خود اظهار امیدواری کرده است که این لایحه تا پایان سال به مجلس ارسال شود.  

به عنوان نمونه از میان سازمان‌ها و نهادهایی که در این زمینه و با هدف ارتقای امنیت سایبری تشکیل شده اند، می توان به مرکز مدیریت راهبردی افتای ریاست جمهوری اشاره کرد.

این مرکز به منظور ایفای نقشِ حاکمیت در تامین امنیتِ این حوزه و حفظ زیرساخت‌های حیاتی کشور در مقابل حملات الکترونیکی، با مجوز رئیس‌جمهور وقت تشکیل شد و ماموریت یافت در تعامل با دستگاه‌های ذیربط، نسبت به امن‌سازی زیرساخت‌های دستگاه‌های حیاتی اقدام کند. پیشینه تشکیل این مرکز به تدوین سند راهبردی افتا باز می‌گردد که این سند تدوین شده توسط شورای مذکور هم در سال ۱۳۸۴ توسط هیات دولت به تصویب رسید و به دستگاه‌ها ابلاغ شد.

مرکز مذکور بنا بر اعلام، نقش حلقه واسط بین سه بخش اصلی یعنی مراجع حاکمیتی، دستگاه‌های اجرایی و بخش خصوصی را در حوزه افتا برعهده دارد. در زمینه هماهنگی با بخش حاکمیتی، این مرکز با شورای عالی و مرکز ملی فضای مجازی و نیز شورای عالی امنیت ملی مرتبط است. از سوی دیگر، کلیه دستگاه‌های اجرایی کشور، به عنوان حوزه مصرف محصولات فتا و خدمات افتا و بخش خصوصی نیز به عنوان حوزه تولید محصولات و خدمات مذکور با این مرکز مرتبط‌اند.

بر این اساس تدوین راهبردها، راهکارها و سیاست‌های اجرایی مورد نظر در چارچوب سیاست‌های حاکمیتی، نظارت بر حسن اجرای بخشنامه‌ها، دستورالعمل‌ها و راهکارهای ابلاغی و پیشگیری و مدیریت حوادث سایبری در دستگاه‌های اجرایی کشور، برخی از مهم‌ترین مأموریت‌های این مرکز عنوان شده است. اما سوال مهم دیگر این است که مرکز مدیریت راهبردی افتا تاکنون چه اندازه توانایی و همچنین قدرت پاسخگویی به افکار عمومی در برابر مسئولیت مهمی که همان برقراری امنیت در فضای مجازی را داشته است؟

علاوه بر مرکز افتا، با توجه به اهمیت پاسخگویی به رخدادهای فضای تبادل اطلاعات و ایجاد مراکز پاسخگویی به حوادث فضای مجازی که در اکثر کشورها تحت عنوان مراکز CERT انجام شده است، مرکزی با عنوان "ماهر" به عنوان CERT ملی ایران در سال 1387 ایجاد و اعلام شد در سطح ملی فعالیت گسترده‌ای را برای پیشگیری و مقابله با حوادث فضای تبادل اطلاعات به عهده دارد.

اما درباره این مرکز هم می‌توان پرسید چقدر توانسته به اهداف و ماموریت‌های تعریف شده‌اش از جمله ظرفیت‌سازی پاسخ به حوادث فضای مجازی در کشور، تبادل تجربیات و تحلیل پاسخ‌گویی به رخدادها، کمک به ارزیابی مداوم امنیت در فضای تبادل اطلاعات، ارائه تحلیل‌های ملی مرتبط با امنیت سامانه‌ها و تهدیدات مهم و کمک به ارزیابی مداوم امنیت در فضای تبادل اطلاعات جامه عمل بپوشاند؟

کارشناسان و تحلیلگران تاکید دارند که با توجه به نفوذ و تاثیرگذاری روزافزون فضای مجازی در زندگی مردم و جوامع امروزی و مخاطرات و تهدیدات این فضا در عرصه‌های مختلف از قبیل اقتصاد، فرهنگ، سیاست و ...، ضرورت دارد که به منظور صیانت از جامعه در برابر تهدیدات احتمالی، حکومت‌ها امنیت کامل و جامع این فضا را بیش از پیش مدنظر قرار دهند.

مراقب پیوست‌های HTML باشید

سه شنبه, ۳ آبان ۱۴۰۱، ۰۴:۰۷ ب.ظ | ۰ نظر

فایل‌های HTML و HTM از جمله فایل‌هایی که هستند که مهاجمان در پیوست ایمیل‌های فیشینگ خود از آنها بهره می‌گیرند، اگر چه فایل HTML به خودی خود بی‌خطر است، ولی باید با آن با اختیاط برخورد کرد.
به گزارش مرکز مدیریت راهبردی افتا، پس از فایل‌های EXE ترکیب فایل‌های HTML و HTM در مجموع با ۱۴.۰۹ درصد، بیشترین سهم را در پیوست ایمیل‌های هرزنامه دارند.

در واقع تبهکاران سایبری، «سارق هویت» (Phisher) هستند و هدف اصلی آنان، سرقت اطلاعات حساس (مانند اطلاعات اصالت‌سنجی و اطلاعات کارت‌های اعتباری)، اخاذی، دسترسی به منابع مالی قربانیان، خرید کالا یا دستیابی به سرویس و غیره است.

کارشناسان شرکت مایکروسافت (Microsoft) می‌گویند، گروه‌های تبهکاری در حملات خود برای انتقال کی لاگرها (Keylogger) و گروهی از مجرمان سایبری برای توزیع بدافزار Trickbot از فایل‌های HTML استفاده می‌کنند.

بر اساس گزارش شرکت تراست ویو (Trustwave) رایج‌ترین روش انتقال پیوست‌های HTML از طریق کارزارهای موسوم به فیشینگ (Phishing) است، این پیوست‌ها، صفحات ورود به سامانه (Sign-in page) را برای سرویس‌هایی نظیر مایکروسافت، گوگل یا صفحات بانکداری آنلاین شبیه‌سازی می‌کنند و این زمانی تبدیل به تهدید می‌شود که کاربر، مورد کلاهبرداری قرار گرفته و اطلاعات اصالت‌سنجی خود را در آن صفحه وارد و ارسال کند.

پیوست‌های HTML که صفحه‌ای همانند صفحه ورود به‌حساب Microsoft ایجاد و نشانی ایمیل کاربر را به‌صورت پیش‌فرض تعبیه و درج می‌کنند، این باعث می‌شود که قربانی به‌راحتی قانع شود و اطلاعات اصالت‌سنجی خود را وارد کند.

تعبیه نشانی ایمیل قربانی در صفحات ورود حساب کاربری موجب فریب کاربر شده به صورتی که تصور می‌کند قبلاً از طریق همین صفحه به‌حساب کاربری وارد شده و فقط کافی است رمز عبور خود را وارد کند.

مهاجمان برای دورزدن درگاه (Gateway) مربوط به ایمیل‌ها و انتقال بدافزار به کاربر، از پیوست‌های HTML به‌عنوان قاچاقچی استفاده می‌کنند و با ترکیبی از مهندسی اجتماعی، کاربر موردنظر را فریب می‌دهد تا باینری یادشده را در دیسک ذخیره کند و آن را باز کند.

مبهم‌سازی ویژگی مشترک پیوست‌های HTML است و حاکی از آن است که شناسایی این نوع تهدیدات بسیار دشوار است. اگرچه اکثر اوقات فایل‌های HTML در هنگام باز کردن بی‌خطر هستند، اما به دنبال اقدامات کاربر و هنگامی که با تکنیک‌های مهندسی اجتماعی ترکیب می‌شوند، به تهدیدی جدی تبدیل و به موفقیت‌آمیز بودن این نوع حملات منجر می‌شوند.

خبر تخصصی و فنی مربوط به چگونگی سوءاستفاده مهاجمان سایبری از پیوست‌های HTML و HTM در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به نشانی https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2247 منتشر شده است.

هشدار مرکز افتا درباره بدافزار جدید جاسوسی

چهارشنبه, ۲۷ مهر ۱۴۰۱، ۰۵:۴۵ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتا اعلام کرد: بدافزار جاسوسی RatMilad دستگاه‌های اندرویدی خاورمیانه را هدف قرار داده است.

به گزارش مرکز مدیریت راهبردی افتا، شرکت Zimperium اعلام کرد که این بدافزار جاسوسی اندرویدی از طریق برنامه‌های مخرب و تبلیغاتی موجود در منابع نامعتبر نظیر VPNهای تبلیغاتی با قابلیت جعل شماره منتشر می‌شود.

این برنامه‌های مخرب و تبلیغاتی، اغلب برای تایید حساب‌ کاربری برنامه‌های ارتباطی و رسانه‌های اجتماعی مانند WhatsApp و Telegram استفاده می‌شوند که پس از نصب، درخواست مجوز دسترسی به تنظیمات دستگاه را ارسال و در عین حال کد مخرب را نیز نصب می‌کند. 

Text Me و NumRent نام دو برنامه مخربی (تروجان) هستند که به نصب بدافزار RatMilad منجر می‌شوند. این دو برنامه در فروشگاه‌های برنامه قانونی مانند Google Play در دسترس نیستند اما در تلگرام توزیع شده‌اند.

همچنین، مهاجمان و توسعه‌دهندگان RatMilad یک وب‌سایت اختصاصی برای تبلیغ تروجان دسترسی از راه دور (RAT) تلفن همراه ایجاد کرده‌اند تا برنامه آنان، موجه و قانونی به‌نظر برسد. این وب‌سایت از طریق آدرس‌های اینترنتی به‌اشتراک گذاشته‌شده در تلگرام یا سایر رسانه‌های اجتماعی و بسترهای ارتباطی تبلیغ می‌شود.

وظیفه بدافزار جاسوسی RatMilad ، سرقت لیست های مخاطبین، پیامک‌ها و فایل‌های قربانیان است و همچنین آدرس MAC دستگاه‌های اندرویدی، گزارش تماس، نام حساب کاربری، مجوزها داده‌های موقعیت مکانی GPS، لیست فایل اطلاعات سیم‌کارت (شماره تلفن‌همراه، کشور،IMEI)، فهرست برنامه‌های کاربردی نصب شده به همراه مجوزهای آن‌ها و اطلاعات دستگاه (مدل، نسخه اندروید، برند و ...) را سرقت می‌کند.

 بدافزار پس از جمع‌آوری داده‌های اطلاعاتی سرقت شده، آن‌ها را برای سرورهای C&C ارسال می‌کند. 

افزون بر سرقت اطلاعات عنوان شده ، این بدافزار قابلیت‌های دیگری نظیر ضبط صدا، بارگذاری فایل در سرور C&C، حذف فایل‌ها و تغییر مجوزها را دارد. 

باتوجه به اینکه روش اصلی آلودگی به این بدافزار، دانلود فایل‌ از منابع نامعتبر نظیر کانال‌های تلگرامی است، کارشناسان مرکز مدیریت راهبردی افتا توصیه می‌کنند، فایل‌ها تنها از منابع معتبر و قانونی دانلود شده و کاربران از باز کردن لینک‌های نامطمئن خودداری کنند.

خبر تخصصی و اطلاعات فنی بدافزار RatMilad در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است

نوعی بدافزار سرقت اطلاعات به نام Amadey با استفاده از Backdoor دیگری به نام SmokeLoader در حال گسترش است.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، چنانچه کاربران فریب‌ بخورند و بدافزار SmokeLoader را به‌عنوان یک کرک نرم‌افزاری نصب کنند، براحتی، راه را برای استقرار بدافزار Amadey در سیستم‌های خود، هموار کرده‌اند. 
بدافزار  Amadey  به قابلیت‌هایی مثل گرفتن عکس از صفحه نمایش، ابرداده‌های سیستم، اطلاعات درباره آنتی‌ویروس‌های سیستم ،نصب بدافزارهای اضافی روی دستگاه آلوده و استخراج Credentialهای سیستم، مجهز شده و بدون فوت وقت، اطلاعات را به سرقت می‌برد.
از آنجا که متداول‌ترین شیوه حمله برای آلوده کردن دستگاه‌های کاربران، کمپین‌های هرزنامه مخرب است، تروجان SmokeLoader بیشتر با فایل‌های مایکروسافت آفیس، به دستگاه‌های قربانیان نفوذ می‌کند و این بدافزار سعی می‌کند ماهیت مخرب خود را پنهان کند.
مهاجمان از مهندسی اجتماعی برای فریب قربانیان احتمالی  و راضی شدن به  دانلود فایل پیوست و فعال کردن ماکروها استفاده می‌کنند و هنگامی که کاربر، فایل مخرب را دانلود و اجرا کند، بدافزار نیز اجرا می‌شود.
 بااین‌حال، هدف اصلی بدافزار  Amadey استقرار افزونه‌های اضافی و تروجان‌های دسترسی از راه دور، مانند Remcos RAT و RedLine Stealer است که عامل تهدید را قادر می‌سازد مجموعه‌ای از فعالیت‌های پس از بهره‌برداری را انجام دهد. 
کارشناسان امنیتی مرکز مدیریت راهبردی افتا می‌گویند: برای جلوگیری از آلوده شدن احتمالی به بدافزار Amadey لازم است تا کاربران دستگاه‌های خود را به آخرین نسخه‌های سیستم‌عامل و مرورگر وب ارتقا دهند تا احتمال آلوده شدن را به حداقل برسانند.
مرکز مدیریت راهبردی افتا از راهبران امنیتی سازمان‌ها و دستگاههای دارای زیرساخت حیاتی خواسته است تا نرم‌افزارهای کرک شده را در سیستم‌های سازمانی، به هیچ وجه نصب نکنند.

راهبران امنیتی، مدیران و متخصصان IT سازمان‌های دارای زیرساخت حیاتی می توانند، اطلاعات فنی و تخصصی  در باره چگونگی نفوذ و فعالیت بدافزار Amadey را از پایگاه اینترنتی مرکز مدیرت راهبردی افتا به آدرس: https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2180/Staging/ دریافت کنند.

افتا اعلام کرد: فعالیت مجدد یک باج‌افزار

سه شنبه, ۲۵ مرداد ۱۴۰۱، ۰۵:۵۵ ب.ظ | ۰ نظر

گردانندگان باج‌افزار LockBit ۳.۰ با سوء استفاده از خط فرمان Windows Defender و یک سری روال‌های ضد شناسایی و ضد تحلیل برای دور زدن محصولات امنیتی، فعالیت خود را از سر گرفتند.

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، پیش از این، محققان امنیتی، در فروردین ۱۴۰۱ اعلام کرده بودند که LockBit  (که به LockBit Black نیز معروف است) از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe، برای بارگذاری و تزریق Cobalt Strike استفاده می‌کند.
Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگی‌های گسترده‌ای است که در بین مهاجمان برای شناسایی شبکه و گسترش آلودگی در آن، پیش از سرقت و رمزگذاری داده‌ها استفاده می‌شود.
در این حملات، از طریق آسیب‌پذیری Log۴j نفوذ اولیه به هدف موردنظر در سرور VMWare Horizon که وصله‌ نشده است، صورت می‌گیرد.  
پس از نفوذ اولیه، مهاجمان با استفاده از فرمان‌هایی تلاش می‌کنند که چندین ابزار را به کار گرفته و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.
در این سری از حملات به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی برای بارگذاری یک DLL مخرب استفاده می‌شود که کد مخرب را رمزگشایی می‌کند.  
کد بدافزاری، DLL مخرب و ابزار معتبر را، مهاجمان با به‌کارگیری ابزار معتبر خط فرمان، از سرور کنترل و فرماندهی خود دانلود می‌کنند.
استفاده از ابزارها و توابع عادی و سالم سیستم‌عامل و دیگر نرم‌افزارهای کاربردی توسط مهاجمان سایبری برای اهداف خرابکارانه خود بر روی سیستم قربانی، یکی از روش‌هایی است که مهاجمان برای مخفی ماندن از دید سیستم‌های امنیتی و ضدویروس‌های قدیمی و شناسایی نشدن به کار می‌گیرند. به این روش «کسب روزی از زمین» یا Living off the Land - به‌اختصار LotL  - گفته می‌شود.
کارشناسان مرکز مدیریت راهبردی افتا تاکید می کنند که استفاده از محصولات معتبری همچون VMware و Windows Defender باید همواره با بررسی دقیق همراه باشد چرا که به طور گسترده در سازمان‌ها به کار گرفته می‌شوند و از پتانسیل خوبی برای بهره‌جویی مهاجمان برخوردارند، درعین‌حال راهبران امنیتی موظفند وصله‌های منتشر شده را برای تمامی محصولات، به موقع به‌روزرسانی کنند.

توزیع‌کنندگان بدافزار برای آلوده‌کردن سیستم‌های عامل کاربران، همچنان به صورت گسترده و بدون توقف، مشغول استفاده از ترفندهایی همچون فریب‌دادن قربانیان به دانلود و اجرای فایل‌های مخرب هستند.

به گزارش مرکز مدیریت راهبردی افتا، برخی دیگر از ترفندهای توزیع‌کنندگان بدافزار شامل مخفی کردن فایل‌های اجرایی بدافزار در قالب برنامه‌های کاربردی متداول، امضای آن‌ها با گواهی‌نامه‌های معتبر یا حتی هک کردن سایت‌های قابل‌اعتماد برای سوءاستفاده و به‌کارگیری از آن‌ها به‌عنوان نقاط توزیع فایل‌های مخرب است.

کاربران می توانند برای شناسایی بدافزارها از سایت (VirusTotal )، سایت پویش و تحلیل بدافزار استفاده کنند که هر فایل ارسالی از سوی کاربران را در اکثر ضدویروس‌های مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد، این سایت در بازه زمانی ۱۲ دی ۱۳۹۹ تا ۱۰ تیر ۱۴۰۱، روزانه دو میلیون فایل ارسالی کاربران را تحلیل کرده است.

 

بهره‌جویی از دامنه‌های معتبر

توزیع بدافزار از طریق ‌سایت‌های معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را می‌دهد تا فهرست‌های مسدود شده مبتنی بر IP را دور بزنند، همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند.

سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top ۱۰۰۰ websites) و از میان ۱۰۱ دامنه متعلق به این سایت‌ها،   دو ونیم میلیون فایل مشکوک دانلود شده را شناسایی کرده است. قابل‌توجه‌ترین موردی که از آن بیشترین سوءاستفاده صورت گرفته، برنامه Discord است که به کانون توزیع بدافزار تبدیل شده است. پس از آن سرویس‌دهنده میزبانی کننده سرورها و خدمات ابری Squarespace و Amazon در رتبه‌های بعدی قرار دارند.

 

استفاده از گواهی‌نامه‌های معتبر سرقت شده

امضای نمونه‌های بدافزاری با گواهی‌نامه‌های معتبر سرقت شده، روشی دیگر برای فرار از تشخیص توسط ضدویروس‌ها و هشدارهای صادر شده از سوی راهکارهای امنیتی است.

در میان تمام نمونه‌های مخرب آپلود شده در VirusTotal در بازه زمانی یادشده، بیش از یک میلیون مورد امضا شده و ۸۷٪ از آن‌ها از یک گواهی‌نامه‌ معتبر استفاده کرده‌اند. گواهی‌نامه‌های رایج بکار گرفته شده در امضای نمونه‌های مخرب ارسال شده به سایت یادشده عبارت‌اند از Sectigo، DigiCert، USERTrust و Sage South Africa.

 

مخفی شدن در قالب نرم‌افزارهای معتبر و محبوب

مخفی کردن یک بدافزار قابل‌اجرا در قالب یک برنامه کاربردی معتبر و محبوب در سال ۲۰۲۲ روند صعودی داشته است.

 قربانیان با تصور اینکه برنامه‌های موردنیاز خود را دریافت می‌کنند، این فایل‌ها را دانلود کرده، اما با اجرای فایل‌های نصب‌کننده نرم‌افزار، سیستم‌های خود را به بدافزار آلوده می‌کنند. برنامه‌های کاربردی که مهاجمان بیشترین سوءاستفاده را از آن‌ها کرده‌اند اغلب دارای نشان (Icon) مربوط به محصولات Skype، Adobe Acrobat، VLC و ۷zip هستند.

برنامه محبوب بهینه‌سازی Windows به نام CCleaner که اخیراً در کارزاری مورد بهره‌جویی قرار گرفته نیز یکی از گزینه‌های محبوب هکرها است و نسبتاً آلودگی و توزیع فوق‌العاده‌ای را به دنبال داشته است.

مهاجمان در کارزار یادشده از تکنیک‌های موسوم به Black Hat SEO  پیروی کردند تا ‌سایت‌های بکار گرفته شده برای توزیع بدافزار خود را در نتایج جستجوی Google در رتبه‌بندی بالایی قرار دهند و به‌این‌ترتیب افراد بیشتری فریب‌خورده و فایل‌های اجرایی مخرب را دانلود کنند.

 

فریب کاربران از طریق فایل‌های نصب معتبر

در نهایت، ترفند دیگر توزیع کنندگان بدافزار،   پنهان کردن بدافزار در فایل‌های نصب برنامه‌های معتبر و اجرای پروسه هک در پس‌زمینه (Background) است، درحالی‌که برنامه‌های واقعی در پیش‌زمینه (Foreground) در حال اجرا هستند.

این تکنیک ضمن فریب قربانیان منجر به بی‌اثر شدن برخی موتورهای ضدویروس می‌شود که ساختار و محتوای فایل‌های اجرایی را بررسی نمی‌کنند.

بر اساس آمار سایت VirusTotal، به نظر می‌رسد که این روش امسال نیز در حال افزایش است و از Google Chrome، Malwarebytes، Windows Updates، Zoom، Brave، Firefox، ProtonVPN و Telegram به‌عنوان طعمه استفاده می‌کنند.

 

چگونه ایمن بمانیم؟

کارشناسان مرکز مدیریت راهبردی افتا می گویند: هنگامی که به دنبال دانلود نرم‌افزار هستید، یا از فروشگاه موجود در سیستم‌عامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه، دریافت کنید.

همچنین، مراقب تبلیغاتی که در نتایج جستجو ممکن است رتبه بالاتری داشته باشند، باشید، زیرا مهاجمان سایت‌ها را به‌راحتی، جعل می‌کنند، به‌طوری‌که کاملاً شبیه سایت‌های معتبر به نظر می‌رسند.

به گفته کارشناسان مرکز مدیریت راهبردی افتا، هر کاربر موظف است، پس از دانلود یک فایل نصب‌کننده نرم‌افزار و همیشه قبل از اجرای فایل، یک پویش ضدویروس بر روی آن انجام دهید تا مطمئن شوند که حاوی بدافزار نیست.

در نهایت، از به‌کارگیری نسخه‌های کرک شده، نرم‌افزارهای قفل‌شکسته و غیرمجاز خودداری کنید، زیرا معمولاً به انتقال بدافزار منجر می‌شوند.

گرداننده باج افزار AstraLocker ضمن اعلام توقف فعالیت‌های باج‌افزاری خود، اقدام به انتشار کلیدهای رمزگشایی این باج‌افزار کرده است.

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، گرداننده باج افزار AstraLocker در گفتگویی همچنین عنوان کرده است که در آینده بر روی استخراج رمزارز بر روی دستگاه‌های هک شده (Cryptojacking) تمرکز خواهد کرد. 
فایل فشرده حاوی کلیدهای رمزگشای باج افزار AstraLocker به سایت تحلیل بدافزار VirusTotal ارسال شده است.
محققان با دانلود فایل مذکور و به‌کارگیری کلیدهای آن، موفق شدند برخی از فایل‌های رمزگذاری شده در کارزار اخیر AstroLocker را رمزگشایی و تأیید کنند که این رمزگشا کاملاً معتبر است.
برای باج‌افزارهایی همچون Avaddon، Ragnarok، SynAck، TeslaCrypt، Crysis، AES-NI، Shade، FilesLocker، Ziggy و FonixLocker نیز درگذشته، ابزارهای رمزگشایی منتشر شده بود.
توسعه‌دهنده باج‌افزار AstraLocker اعلام کرده که این باج‌افزار برای او حکم یک سرگرمی را داشته است اما او دلیل اصلی توقف فعالیت باج‌افزار AstraLocker را فاش نکرد؛ احتمال آن می‌رود که به دلیل سروصدای زیاد گزارش‌ کارزار اخیر و ترس از تحت پیگرد قرارگرفتن توسط نهادهای قانونی، فعالیت خود را متوقف کرده باشد.
شرکت امنیتی امسی‌سافت (Emsisoft, Ltd.) نیز اعلام کرده‌ است که به‌زودی با انتشار ابزار رمزگشا به قربانیان باج‌افزار در رمزگشایی داده‌ها کمک می‌کند.
کارشناسان امنیتی مرکز مدیرت راهبردی افتا می‌گویند: AstraLocker باج‌افزاری است که مستقیماً کد مخرب خود را از طریق فایل Word پیوست شده در ایمیل‌های فیشینگ مستقر می‌کند و به‌جای ماکروهای VBA از OLE Object استفاده می‌کند.
 هنگامی که کاربر روی نماد موجود در سند Word دو بار کلیک و در پنجره باز شده دکمه Run را انتخاب می‌کرد ، کد مخرب تعبیه شده،  اجرا می‌شد
سایر اطلاعات فنی و تصاویر مرتبط برای آشنایی هر چه بیشتر با باج افزار AstraLocker در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس:   https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2151/  منتشر شده است.

بدافزار جدیدی با نام چاپلین، به تازگی در زیرساخت‌های حیاتی، فعال شده که عامل وقوع حادثه سایبری و اختلالات اخیر بوده است.

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، ، اجرای دستورات مخرب در CMD، تغییر تنظیمات امنیتی، تزریق به پردازه‌های معتبر ویندوز و تخریب، MBR سیستم از جمله قابلیت‌های این بدافزار است.

دیگر ویژگی حایز اهمیت در بدافزار چاپلین، قابلیت خود انتشاری به شبکه‌های صنعتی است؛ بنابراین در صورتی‌که مجزاسازی شبکه IT از شبکه‌های صنعتی انجام نگرفته باشد، فعالیت مخرب‌گونه این بدافزار به شبکه صنعتی نیز سرایت و سامانه‌های کنترلی را در این شبکه‌ها، دچار اختلال می‌کند.

بدافزارچاپلین (Chaplin) که توسعه آن از اوایل امسال آغاز شده است، از خانواده تروجان‌ها محسوب می‌شود.

عدم تفکیک شبکه حیاتی از اینترنت (به خصوص شبکه IT از OT)، استفاده از نام کاربری و رمز عبور پیش‌فرض یا ساده و همچنین استفاده از نرم‌افزارهای آسیب‌پذیر(به خصوص در لبه اینترنت)، عواملی هستند که در پیشبرد اهداف طراحان بدافزار، نفوذ مهاجمان سایبری به زیرساخت‌های صنعتی و گسترش دامنه آلودگی نقش داشته‌اند.

این بدافزار، برای انتقال اطلاعات و ارتباط با خارج از شبکه سازمان، ترافیک غیرمتداول ICMP تولید می‌کند.

با توجه به تمرکز حمله اخیر بر روی زیرساخت های صنعتی، ضروری است متولیان ومسئولانITزیرساخت‌ها، شبکه های فناوری اطلاعات را از صنعتی جداسازی فیزیکی و اتصال غیرضروری سرویس ها را با اینترنت لغو کنند.
کارشناسان امنیت سایبری مرکز مدیریت رابردی افتا می‌گویند: لغو دسترسی های از راه دور (تا اطلاع ثانوی)، غیرفعال سازی حساب های کاربری غیرضروری و فعالسازی یا تغییر رمز عبور پیکربندی برای تمام PLCها و عدم استفاده از حافظه های جانبی USB از دیگر اقدامات مقابله با نفوذ و فعالیت بدافزارها و باج افزارهاست.

مرکز مدیریت راهبردی افتا از متخصصان، کارشناسان و مدیران حوزه IT دستگاهها و سازمان‌های دارای زیرساخت و شبکه‌های صنعتی سازمان‌ها خواسته است تا با مراجعه به آدرس اینترنتی : 
https://afta.gov.ir/fa-IR/Portal/1/news/view/14594/2142/
 با شاخص‌های آلودگی بدافزار Chaplin که تا کنون شناسایی شده‌اند ونحوه کارکرد سیستم‌های تشخیص نفوذ (IDS)این بدافزار، آشنا شوند.

استفاده از مولفه‌های (کامپوننت) قدیمی و آسیب‌پذیر تِلِریک (Telerik)، بسیاری از سیستم‌های دفاعی سامانه‌های کاربران را سست کرده، بنحوی که تبدیل به پنجره‌ای برای نفوذ هکرها وبروز حملات سایبری همچون حملات اخیر شده است. 

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، تحلیل کارشناسان افتا از حوادث سایبری اخیر نشان می‌دهد که سازمان‌های قربانی این حملات نیز،  از کامپوننت‌های قدیمی و آسیب‌پذیر Telerik استفاده می‌کرده‌اند.
آمارهای جهانی نشان می‌دهد که تنها در سال 2020 میلادی،  نشت اطلاعات و داده‌های سازمانی، بیش از 36 میلیارد دلار به شرکت‌ها و سازمان‌های دنیا خسارت وارد کرده است.
حدود 45 درصد خسارات ناشی از نشت اطلاعات و داده‌های سازمانی، در نتیجه نفوذ هکرها به زیرساخت‌های سازمانی بوده و سوءاستفاده از Telerikهای قدیمی، یکی از پراستفاده‌ترین آسیب‌پذیری‌ها در جریان عملیات هک بوده است.
کامپوننت‌های Telerik در طراحی برنامه‌های دسکتاپ، موبایل و نیز صفحات وب استفاده می‌شود و بیشترین مورد استفاده از کامپوننت‌ها در پلت‌فرم‌های مربوط به مایکروسافت است.
در سال‌های اخیر حداقل 10 آسیب‌پذیری در کامپوننت‌های Telerik گزارش شده است، آسیب پذیری‌هایی که به راحتی هکران را به داده‌ها و اطلاعات سازمانی رسانده است.
بررسی دسترسی‌های موردنیاز برای سوءاستفاده از این آسیب‌پذیری‌ها، نشان می‌دهد که بهره‌برداری از آن‌ها به آسانی میسر بوده و نیازی به احراز هویت ندارد؛ همچنین در منابع عمومی اینترنت، «کد اکسپلویت»‌های متعددی منتشر شده است که بهره‌برداری از این آسیب‌پذیری‌ها را تسهیل می‌کند، بنابراین سوءاستفاده از این آسیب‌پذیری‌ها حتی برای شخصی که دانش چندانی در خصوص نفوذ و هک ندارد، نیز میسر است.
سوءاستفاده از این آسیب‌پذیری‌ها می‌تواند به بارگذاری فایل‌های مخرب و Shell در مسیرهای دلخواه هکرها منجر شود.
 با توجه به اینکه بیشتر ماشین‌ها، «وب سرور میزبان (IIS)» خود را با دسترسی بالا اجرا می‌کنند، بنابراین دستورات از طریق وب‌شل مهاجم نیز با دسترسی ممتاز اجرا می‌شود که پتانسیل مخرب بالایی دارد و همین دسترسی موجب می‌شود که هکر یا هکرها به راحتی به اطلاعات حساس سازمان‌ها و دستگاه‌ها دسترسی یابند.
به دلیل اینکه نسخه‌های آسیب‌پذیر Telerik از رمزنگاری ضعیفی در ارسال و دریافت پارامترها استفاده می‌کنند، مهاجم سایبری، قادر است با انجام حملاتی نظیر حمله دیکشنری و BruteForce با ارسال متوسط 900 درخواست، کلید مورد نیاز (MachineKey) را بدست آورد.
از آنجا که این آسیب‌پذیری، امنیت کل سرور هر سازمانی را تحت تاثیر قرار می‌دهد که همچنان از مولفه‌های (کامپوننت) قدیمی و آسیب‌پذیر Telerik استفاده می‌کند، کارشناسان مرکز مدیریت راهبردی افتا از متخصصان، مدیران و کارشناسان حوزه IT دستگاه‌های دارای زیرساخت حیاتی می‌خواهند تا پورتال سازمانی خود را بدون استفاده از محصولات Telerik توسعه دهند و چنانچه عدم استفاده از این محصولات به هر دلیلی ممکن نیست توصیه کرده‌اند بروزترین نسخه Telerik نصب و استفاده شود که تاکنون آسیب‌پذیری روی آن، گزارش نشده است.
اطلاع از زنجیره تامین کامپوننت‌ها و محصولات استفاده شده در پورتال‌های سازمانی، توجه به نسخه کامپوننت‌ها و محصولات و رصد آسیب‌پذیری‌های مربوط به آن‌ها، فیلترکردن هرگونه درخواست مشکوک به سوء استفاده از آسیب‌پذیری‌های محصولات Telerik، از راهکارهای مقابله با نفوذ مهاجمان سایبری به سیستم‌های سازمانی از طریق آسیب‌پذیری‌های Telerik است.
بررسی‌های کارشناسان مرکز افتا همچنین نشان می‌دهد که رعایت سیاست‌های امنیتی می‌تواند در جلوگیری از تحقق و گسترش تهدیدات اخیر سایبری، موثر واقع شود، به همین دلیل اجرای سیاست‌های امنیتی همچون محدودسازی استفاده از USB، استفاده از رمزهای عبور پیچیده و غیرقابل حدس، محدودیت استفاده از ابزارهای دسترسی از راه دور مانند OpenVPN، حذف نام‌های کاربری بلااستفاده، اعمال اصل حداقل دسترسی برای کاربران، بروزرسانی سامانه‌ها و تجهیزات و پویش سیستم و شبکه با ضدبدافزارهای معتبر و بروز باید اولویت سازمان‎ها و دستگاه‌های دارای زیرساخت حیاتی قرار گیرد.

کارشناسان مرکز مدیریت راهبردی افتا با بررسی و تحلیل حوادث اخیر سایبری، جزئیات فنی، چند مورد از مهم‌ترین آسیب‌پذیری‌های Telerik را مشخص کرده‌اند که به همراه راهکارهای فنی مقابله با دسترسی یافتن مهاجم یا مهاجمان سایبری، شیوه‌های افزایش امنیت پورتال‌ها و تنظیمات امنیتی، در آدرس اینترنتی این مرکز به آدرس:  https://afta.gov.ir/fa-IR/Portal/1/news/view/14594/2133 انتشار یافته است.

شناسایی بدافزار جدید (Dilemma) در زیرساخت‌ها

شنبه, ۲۱ خرداد ۱۴۰۱، ۰۵:۰۸ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتا، نسبت به فعالیت نوعی بدافزار جدید با نام (Dilemma) در سیستم‌های زیر ساختی هشدار داد. 

به‌گزارش روابط عمومی مرکز مدیریت راهبردی افتا، هر چند ریشه‌یابی و شناسایی عوامل ورود آلودگی  این بدافزار جدید هنوز در دست بررسی است، ولی از آنجایی که رفتار و چگونگی عملکرد این بدافزار کاملاً شناسایی شده است، واحدهای فناوری اطلاعات سازمان‌ها باید با استفاده از شاخص‌های این آلودگی، نسبت به معرفی آن به سامانه‌های ضدبدافزار و سایر ابزارهای امنیتی خود اقدام کنند.
مرکز مدیریت راهبردی افتا شاخص های آلودگی بدافزار جدید Dilemma را در جداولی تهیه و آن را در پایگاه اینترنتی خود و به آدرس   https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2129/   در دسترس متخصصان، کارشناسان و مدیران IT سازمان‌های دارای زیرساخت حیاتی قرار داده است.
شاخص‌های مرتبط با آلودگی که با سوءاستفاده از آسیب‌پذیری‌های سامانه‌ها و نرم‌افزارها امکان انتقال آن‌ها وجود دارد در سه دسته 1- فایل اجرایی .bat  -2- فایل اجرایی .exe و 3- سرویس‌های ویندوزی مخرب، قرار دارند.
کارشناسان مرکز مدیریت راهبردی افتا همچنین استفاده سازمان‌ها از نام کاربری و رمز عبور پیش‌فرض، عدم اعمال اصل حداقل دسترسی برای کاربران و عدم پایش رویدادهای امنیتی هر سازمانی اعم از فعالیت‌های شبکه و سیستم را  باعث تسهیل و تسریع در انتشار آلودگی  بدافزار جدید (Dilemma) عنوان کرده‌اند.
مرکز مدیریت راهبردی افتا اعلام کرده است چون این بدافزار برای ارتباط با سرورهای کنترل و فرماندهی (C&C)، پورت tcp/9396 را روی سیستم قربانی باز کرده و در حالت Listening قرار می‌دهد،لذا یکی از اقدامات مهم برای پیشگیری و مقابله با این بدافزار، مسدودسازی این پورت (پورت tcp/9396) در لبه شبکه است.
از آنجا که بدافزارDilemma، برای انتشار در سطح شبکه و سیستم‌ها و تخریب اطلاعات از فایل‌های اجرایی مخرب و سرویس‌های مخرب (نام مشابه با سرویس‌های معتبر ویندوز) استفاده می‌کند،مرکز مدیریت راهبردی افتا فهرست آن‌ها را بهمراه مشخصاتی مانند مسیر فایل و کد Hash فایل در جداولی، در پایگاه اینترنتی خود منتشر کرده است لذا یکی دیگر از اقدامات مهم متخصصان IT سازمان‌های دارای زیر ساخت، برای پیشگیری و مقابله با بدافزار جدید (Dilemma) ، معرفی و شناساندن آن‌ها به سامانه‌های ضدبدافزار و سایر ابزارهای امنیتی است.

با اقدام به موقع مرکز عملیات امنیت افتا در روزهای اخیر، از وقوع حمله سایبری گسترده به حوزه‌های زیرساختی کشور پیشگیری بعمل آمد و عملیات طراحی شده توسط مهاجمین در مراحل اولیه بهره‌برداری خنثی شد.

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، مهاجمین سایبری قصد داشتند با سوء‌استفاده از حفره امنیتی در یکی از نرم‌افزارهای پرکاربرد در سازمان‌ها، ضمن اخذ دسترسی به زیرساخت‌ها و استخراج اطلاعات از آنها، دستورات دلخواه را اجرا و محتوای آلوده خود را تزریق کنند، اما پیش از آنکه مهاجمان بتوانند حمله سایبری خود را عملی کنند، با اقدام به موقع مرکز عملیات امنیت افتا از وقوع آن پیشگیری شد.
با کشف سرنخ‌ها و الگوهای رفتاری استفاده شده در حمله و همچنین اشراف کارشناسان مرکز مدیریت راهبردی افتا، بر اقدامات مهاجمین، نقاط هدف و عملیات طراحی شده برای حمله به زیرساخت‌ها تحت رصد قرار گرفت و مشخص شد بیش از 100 خدمت الکترونیکی مهم در بخش‌های دولتی و خصوصی جزء اهداف اصلی حمله است.
مهاجمین سایبری در اینگونه حملات پس از نفوذ و اخذ دسترسی غیرمجاز، «دربهای پشتی» را بارگذاری کرده تا از این طریق، امکان بهرهبرداریهای بیشتری چون افزایش سطح دسترسی و حفظ آن، استخراج اطلاعات، اجرای دستورات دلخواه و تزریق محتوای آلوده را داشته باشند.
کارشناسان فنی مرکز مدیریت راهبردی افتا، پس از کشف حفره امنیتی ناشناخته و انجام بروزرسانی‌های امنیتی، اجازه بهره برداری از این «درب‌های پشتی» برای «آدرس آی پی‌های متعدد» از کشورهای هلند، امریکا و انگلیس را سلب کردند و از تحقق اهداف مهاجمین و وقوع حادثه سایبری، پیشگیری شد. 
 اقدامات تکمیلی در خصوص این رویداد توسط مرکز مدیریت راهبردی افتا و سایر مراجع ذیربط در حال انجام و پیگیری است.

حمله بدافزار Tarrask به سیستم‌های Windows

يكشنبه, ۴ ارديبهشت ۱۴۰۱، ۰۴:۴۴ ب.ظ | ۰ نظر

گروه هکری چینی Hafnium با استفاده از بدافزار Tarrask در سیستم‌های آسیب‌پذیر Windows ماندگار و پنهان می‌شوند.

به گزارش مرکز مدیریت راهبردی افتا، گفته می‌شود که مهاجمان سایبری ، از مرداد 1400 تا بهمن 1400، سازمان‌هایی را در بخش‌های مخابرات، شرکت‌های ارائه‌دهنده خدمات اینترنتی و خدمات داده‌ای هدف قرار داده‌اند.
 تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که مهاجمان از ضعف‌های امنیتی روز - صفر در سرورهای  Microsoft Exchange سوءاستفاده کرده‌اند که در اسفند 1399 افشاء شد. 
محققان مایکروسافت می‌گویند که این بدافزار مخفی شونده وظایف زمان‌بندی شده و پنهانی را در سیستم ایجاد و اجرا می‌کند. 
بهره‌جویی از وظایف زمان‌بندی شده برای ماندگاری در سیستم بسیار متداول بوده و روشی فریبنده برای فرار از راهکارهای امنیتی و دفاعی است.
اگرچه تاکنون گروه هکری Hafnium بیشتر در حملات علیه Exchange Server فعالیت داشته‌اند، اما مدتی است که از آسیب‌پذیری‌های روز - صفر وصله نشده به‌عنوان راه نفوذ برای انتشار بدافزارهایی نظیر Tarrask بهره‌جویی می‌کنند. 
قصد اصلی مهاجمان پس از ایجاد وظایف زمان‌بندی شده، ایجاد کلیدهای رجیستری جدید برای سیستم‌های قربانی است. 
تحلیل حملات بدافزار Tarrask نشان می‌دهد که مهاجمان Hafnium درک منحصربه‌فردی از جزئیات سیستم‌عامل Windows دارند و از این تخصص برای پنهان کردن فعالیت‌های خود در نقاط پایانی استفاده می‌کنند تا در سیستم‌های آسیب‌پذیر ماندگار و پنهان شوند.
این برای دومین بار در چند هفته اخیر است که استفاده از وظیفه زمان‌بندی شده برای ماندگاری در سیستم‌های آسیب‌پذیر مشاهده شده است. 
اخیراً محققان شرکت مالوربایتس، نیز روشی ساده اما کارآمد را گزارش داده‌اند که در بدافزاری به نام Colibri به کار گرفته شده است، که در آن از وظایف زمان‌بندی ‌شده برای فعال ماندن پس از راه‌اندازی مجدد دستگاه (Reboot) و اجرای کدهای بدافزاری، استفاده شده است. 

اطلاعات فنی و تخصصی نحوه کارکرد بدافزار Tarrask  در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس:   https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2083/   منتشر شده است.

سخنگوی کمیسیون امنیت ملی و سیاست خارجی مجلس شورای اسلامی، گفت: عرصه نوین دفاعی کشور در حوزه سایبری به طور طبیعی با تهدیدات جدی دشمن مواجه است و خوشبختانه مرکز مدیریت راهبردی افتا (امنیت فضای تبادل اطلاعات) بسیاری از حملات را به‌ موقع شناسایی، پیشگیری و دفع می‌کند.

به گزارش ایرنا، «محمود عباس زاده مشکینی» با اشاره به بازدید اعضای کمیسیون امنیت ملی و سیاست خارجی مجلس از مرکز مدیریت راهبردی افتا (امنیت فضای تبادل اطلاعات) گفت: هدف از این بازدید در جریان قرار گرفتن نمایندگان مجلس از کارکردها، ماموریت‌ها و محدودیت‌های این مجموعه بود.

سخنگوی کمیسیون امنیت ملی و سیاست خارجی مجلس شورای اسلامی افزود: در جریان این بازدید نحوه مدیریت، پیشگیری و مقابله با تهدیدها و حملات سایبری به‌ویژه حملات سایبری اخیر در حوزه وزارت نفت و راه و شهرسازی مورد بحث و بررسی قرار گرفت.

عباس زاده مشکینی  ادامه داد: عرصه نوین دفاعی کشور در حوزه سایبری به طور طبیعی با تهدیدات جدی از طرف دشمن مواجه است و خوشبختانه این مرکز با توانمندی، بسیاری از حملات را به‌ موقع شناسایی، پیشگیری و دفع می‌کند.

وی خاطرنشان کرد: این مرکز برای کاهش آسیب پذیری‌ زیرساخت‌های حیاتی،  تهدیدات را دائما رصد می‌کند.  بدیهی است که تقویت سخت افزاری و نرم افزاری این مجموعه اجتناب ناپذیر است که در جهان پیچیده امروزی امنیت اساسی‌ترین مولفه مانایی و توسعه هر کشوری است.

یک کارشناس فناوری اطلاعات با واکاوی فنی بروز اختلال در سامانه هوشمند سوخت کشور، ساختار این شبکه را به لحاظ وقوع رخدادهایی مانند حمله سایبری، هک و یا نفوذ تشریح کرد.

در پی بروز اختلال نرم افزاری به وجود آمده در سامانه هوشمند سوخت کشور که منجر به قطع سوخت رسانی جایگاه‌های بنزین سراسر کشور شد، شاهد اظهار نظرهای متعدد و متفاوتی درباره قطع سیستم ارتباطی جایگاه‌های بنزین سراسر کشور بودیم و مسئولان متولی و نهادهای مرتبط، وقوع «حمله سایبری» به این سامانه حیاتی کشور را تأیید و اطلاعیه‌هایی در این زمینه منتشر کردند که پیش تر در گزارشی به این اطلاعیه‌ها اشاره شد.

اگرچه روز سه شنبه هفته گذشته ۱۱ آبان، شرکت ملی پخش فرآورده‌های نفتی ایران اعلام کرد که «همه پمپ‌بنزین‌های کشور پس از ۷ روز به سامانه هوشمند سوخت متصل شده‌اند و فقط برخی جایگاه‌ها در نقاط دورافتاده باقی مانده اند»، اما با گذشت بیش از ۱۰ روز از این رخداد، همچنان موضوع وجود نقاط ضعف جدی در مدیریت مخاطرات فضای مجازی و دلایلی که سبب وقوع اینگونه رخدادها در زیرساخت‌های حیاتی کشور می‌شود، موضوع تازه ای است که متولیان پاسخ مشخصی برای آن ارائه نکردند.

جزئیات این رخداد که متولیان حوزه امنیت سایبری کشور آن را حمله سایبری تشخیص داده‌اند هنوز اعلام نشده و این سوال مطرح است که این متولیان تا چه اندازه نسبت به چگونگی ساختار و ابعاد فنی شبکه هوشمند سوخت به عنوان یکی از زیرساخت‌های حیاتی مطلع هستند. کما اینکه برخی کارشناسان معتقدند که ساختار سامانه هوشمند سوخت که شبکه ای ایزوله و مستقل از شبکه اینترنت و اینترانت داخلی است، قابلیت هک شدن و حمله سایبری را ندارد.

 

حملات سایبری در شبکه سوخت کارآمد نیست

سیدمیثم سیدصالحی کارشناس فناوری اطلاعات در گفتگو با خبرنگار مهر، به تشریح ابعاد فنی ساختار سامانه هوشمند سوخت در پی اتفاقات اخیر و بروز اختلال در این سامانه پرداخت و به این سوال پاسخ داد که اختلالاتی که می‌تواند منجر به قطعی سامانه هوشمند سوخت شود از چه نوعی است و آیا شبکه هوشمند سوخت کشور اساساً قابل هک شدن است؟

وی با تاکید بر اینکه در تعاریف جرایم سایبری مفاهیمی مانند حمله (attack) و هک (hack) را باید از مفهوم خرابکاری (sabotage) و نفوذ (penetration not intrusion) جدا دانست، گفت: بسیاری از مسئولان که شناخت درستی از ساختار شبکه هوشمند سوخت نداشته در مورد آن اظهارنظر کرده و در اتفاق اخیر موضوع را به اشتباه به هک شدن نسبت داده‌اند.

این کارشناس افزود: این در حالی است که با توجه به اخبار حاشیه‌ای هفته اخیر و تهدیدات پوچ برخی کشورها، مفهوم هک برای مخاطب عام تداعی کننده اتفاقی شبیه به هک شبکه وزارت راه و توان مهاجم برای ورود به سیستم و اعمال تغییرات خواهد بود. در حالی که اتفاق به وجود آمده در شبکه سوخت تنها از طریق خرابکاری نفوذی‌هایی که حتی شاید توانسته‌اند به جمع کارکنان اداره کننده این شبکه نفوذ کنند، به وقوع پیوسته است. قریب به اتفاق کارشناسانی که شبکه سوخت را می‌شناسند، باور دارند که ساختار سامانه هوشمند سوخت به نوعی است که حملات سایبری به تنهایی برای ایجاد اختلال در خدمات شبکه، کارآمد نیستند.

وی پروژه سامانه هوشمند سوخت را بزرگترین پروژه پیمانکاری کشور در حوزه IT عنوان کرد که با وجود چالش‌های فراوان به دست متخصصان ایرانی ایجاد شده است و افزود: مناقصه نگهداری این شبکه نیز هر دو سال یکبار برگزار می‌شود و شرکت پیمانکار کاملاً بر اساس استانداردها و چارچوب‌هایی که شرکت پالایش و پخش و مناطق نفت در کشور تعیین می‌کند، عملیات نگهداری این شبکه را انجام می‌دهد.

سیدصالحی با اشاره به اجزای متعدد نگهداری شبکه سوخت رسانی کشور که از ارتباط برخی جایگاه‌ها با شبکه ماهواره‌ای، زمینی و شبکه ارتباط بی سیم و رادیویی تا تعمیرات دستگاه‌های کارتخوان و تعویض آنها، پشتیبانی و نگهداری رک و تجهیزات منصوبه در هر جایگاه سوخت رسانی و نیز تأمین نیروی فنی لازم برای حضور در مرکز داده شرکت پالایش و پخش، گسترده است، گفت: اما کلیه عملیات توسط شرکت پالایش و پخش مدیریت می‌شود.

 

ساختار شبکه هوشمند سوخت خودترمیم شونده است

وی افزود: شبکه هوشمند سوخت به لحاظ عملیاتی دارای ساختاری است که قابلیت هک شدن را منتفی می‌کند. معماری فرآیندهای اقدام در این شبکه بسیار شبیه ساختارهای آفلاین و دستی است اما بر بستر فناوری اطلاعات انجام می‌شود. یعنی به لحاظ جنس، شبیه ساختار مکانیکی است و همانطور که می‌دانید ساختار مکانیکی قابل هک نیست. ممکن است این ساختار قابل تخریب شدن باشد و باعث توقف عملیات شود، اما هک نمی‌شود.

سیدصالحی با اشاره به اینکه شبکه هوشمند سوخت حتی قابلیت خودترمیمی و بازیابی دارد، افزود: مدل داده شبکه، اطلاعاتی که در این شبکه رد و بدل می‌شود و جایگاه‌هایی که این اطلاعات را نگهداری می‌کنند به گونه‌ای است که این شبکه از هر نقطه‌ای که مورد آسیب واقع شود، قابلیت بازیابی و خودترمیمی دارد. به این معنی که حتی اگر یک جایگاه سوخت کلاً منفجر شده و سرورها و همه داده‌های آن از بین برود، دوباره به محض اینکه سرور بعدی جایگزین آن شود، کل شبکه خود را بازیابی می‌کند.

وی با اشاره به اظهارات مسئولان در خصوص اختلال به وجود آمده در سامانه هوشمند سوخت مبنی بر اینکه «خوشبختانه هیچ سخت افزاری آسیب ندیده و فقط دسترسی مردم قطع شده است» تصریح کرد: در این اظهارات به این موضوع توجه نشده که اهمیت سرویس به مراتب بالاتر از سخت افزار است و این مساله نشان می‌دهد که ما چقدر نسبت به اهمیت سرویس و در دسترس بودن آن در لایه متولیان و مسئولین ناآگاه هستیم.

 

در شبکه سوخت چه داده‌ای جابجا می‌شود؟

این کارشناس در پاسخ به این سوال که در شبکه سوخت چه داده‌ای جابجا می‌شود، گفت: در شبکه سوخت، داده میزان مصرف سوخت کشور از طریق کارت‌های سوختی که در اختیار مردم است، جابجا می‌شود. برای آنکه بتوان این داده را تخریب کرد، هم باید بانک اطلاعاتی اصلی و هم تمام اطلاعات روی جایگاه‌ها و اطلاعات روی کارت‌ها هم زمان از بین برود تا بتوان گفت که اطلاعات از بین رفته و این شبکه دیگر نمی‌تواند خود را بازیابی کند.

وی با اشاره به اینکه این شبکه عملاً تا زمانی که یکی از این پارامترها زنده است از بین نمی‌رود و هر کدام از این پارامترها اگر به تنهایی از بین بروند دوباره و به سرعت بازیابی خواهند شد، خاطرنشان کرد: نکته قابل توجه این است که شبکه سوخت تا به حال بارها مورد حملاتی از این جهت قرار گرفته اما هیچکدام از این حملات به خاطر همین ساختار، موفق نبوده است.

وی با اشاره به مدلی از اختلال که ممکن است در شبکه سوخت به وجود بیاید، افزود: مدلی از اختلال این است که روی آدرس یکتای سروری که ۴۳۰۰ جایگاه عرضه سوخت به صورت یک طرفه از آن به‌روزرسانی می‌شوند فایل به‌روزرسانی خراب باشد و یا تخریب شود. در این صورت در زمان به‌روزرسانی سرورها، شاهد قطع کل شبکه سوخت خواهیم بود. به نظر می‌رسد این مدل تنها مدلی است که می‌تواند به قطع کل شبکه منجر شود. این اتفاق در شبکه سوخت کشور پیش از این نیز اتفاق افتاده و سوابق آن موجود است. برای مثال در سال ۹۴ شب عید فطر اتفاقی اینچنینی رخ داد. به نحوی که ساعت ۳ بامداد، به‌روزرسانی انجام شد که فایل به‌روزرسانی خراب شده بود و سرورها پس از دریافت به‌روزرسانی، ریست شدند و فایل خراب باعث شد سرورهای جایگاه‌ها دیگر بالا نیامد و به واسطه آن، کل شبکه سوخت قطع شد.

سیدصالحی افزود: با اشکال در سرورها پمپ‌ها که نمی‌توانستند با سرور جایگاه، ارتباط برقرار کنند متوقف شدند و بر این اساس سوخت رسانی متوقف شد. در آن زمان راهکار حل مساله این بود که پیمانکار به هر سرور به صورت جداگانه مراجعه کرده و با فلش به صورت یک به یک سیستم عامل را روی سرور نصب و سرور را ریست کرده و شبکه مجدداً به شرایط قبلی خود بازگشت و سرویس دهی آن آغاز شد. در آن زمان شرکت پیمانکار ظرف مدت ۲۴ ساعت مشکل را حل کرد و ظرف مدت ۶ ساعت اول بیش از ۵۰ درصد جایگاه‌ها به حالت اولیه بازگشتند. سوال اینجاست که در مورد اخیر چرا آنقدر زمان بازگشت شبکه طول کشیده است؟

وی در پاسخ به این سوال که چگونه ممکن است فایل به‌روزرسانی سرورها خراب یا دستکاری شده باشد، گفت: این شبکه به جایی متصل نیست. تنها کامپیوتری که به آن نقطه یکتای سرور دسترسی دارد یک دستگاه کامپیوتر در شرکت پالایش و پخش تهران است. در مورد اخیر تنها اتفاقی که احتمال دارد رخ داده باشد این است که فایل به روزرسانی دستکاری شده باشد و آن فایل دستکاری شده توسط سیستم کپی شده و روی سرورهای جایگاه‌ها عمل کرده باشد.

 

مسئولان به اشتباه «هک شدن» را القا می‌کنند

این کارشناس سامانه‌های ارتباطی با تاکید بر اینکه به دستکاری فیزیکی که توسط عوامل انسانی روی داده است، به معنای آنچه در اذهان عمومی و تعاریف جرایم سایبری مطرح است، هک نمی‌گویند بلکه نوعی خرابکاری و یا نفوذ است، اظهار داشت: مسئولان در زمانی که دشمنان ما پیام‌های تهدید آمیز پوچ درباره حملات سایبری را مطرح می‌کنند، در حال القای این موضوع هستند که اجازه داده‌ایم در حیاتی ترین زیرسیستم‌های کشور یک شبکه خارجی نفوذ کند و آن را از کار بیاندازد.

سیدصالحی گفت: اینکه گفته می‌شود یک کشور خارجی به سرورهای ما وصل شده و سیستم حیاتی کشور را هک کرده، تنها باعث ایجاد حس ناامنی در جامعه می‌شود. در حالی که این شبکه اصلاً به اصطلاح رایج هک پذیر نیست و حتی مسئولان وزارت نفت هم از این مساله دفاع کرده و تاکید کردند که این سیستم اصلاً هک پذیر نیست. با این وجود مشخص نیست که اصرار برخی از مسئولان برای اینکه القا کنند که این شبکه هک شده است، به چه دلیل است. حتی اگر دقت کرده باشید در مورد اخیر هک شدن شبکه بانک مرکزی پاکستان علی رغم اینکه هکرها با نفوذ به سیستم ضمن قطع کلی خدمات، داده‌های بسیاری را از بین برده‌اند در تنظیم اخبار در بخش‌های مختلف خبری با توجه به ترجمه از خبر اصلی، از عبارت هک استفاده نشده و آن را حملات سایبری نامیدند.

 

نهادهای موازی اقدام مؤثری برای امنیت زیرساختها نداشتند

این کارشناس در پاسخ به اینکه چگونه می‌توان امنیت ساختارهای زیرساختی کشور را افزایش داد، اظهار داشت: متأسفانه چند نهاد موازی در فضای امنیت زیرساختهای کشور وجود دارد که به رغم تصویب سند ملی مقابله با حملات سایبری مصوب شورای عالی فضای مجازی، اقدام مؤثری برای فعال کردن سازوکارهای این سازمان‌ها و نهادها انجام نشده است.

وی با اشاره به مراکز افتا و ماهر و سازمان پدافند غیرعامل و پلیس فتا گفت: مطابق این سند مسئولیت سازمانها و نهادهای مذکور، بررسی و گزارش دهی است. ادعای تک تک آنها نیز این است که موارد را بررسی کرده‌اند و نقاط قوت و ضعف را اعلام کرده‌اند اما دستگاه‌ها به این هشدارها عمل نکرده‌اند. پس از بروز اتفاق نیز به دنبال گزارش دهی هستند. با این حال سوال اینجاست که بررسی بعد از وقوع اتفاق چه دردی را دوا می‌کند؟

سیدصالحی اضافه کرد: اصل ماجرا پیشگیری از وقوع رخداد است. اما در این سند، اختیار از سازمان پدافند غیرعامل که تنها مجموعه‌ای بوده که قدرت اجرایی داشته و می توانسته نسبت به رؤسای دستگاه‌ها و عاملان حوزه فنی مطالبه داشته باشد، گرفته شده و این اختیار به مرکز راهبردی افتای ریاست جمهوری منتقل شده است. این در حالی است که ساختار سازمان پدافند غیرعامل در تمام دستگاه‌های کشور توسعه یافته و می‌توانست در این زمینه مطالبه گر باشد و حتی در صورت نیاز، دستگاه را بابت اهمال در انجام وظیفه، به مراجع قضائی معرفی کند.

این کارشناس، مرکز افتای ریاست جمهوری را مجموعه‌ای اقتضایی برشمرد که قانونی برای تأسیس آن وجود ندارد و بر اساس مستندات ابرازی خود این مرکز در پایگاه اطلاع رسانی اش، این مرکز برای ایفای نقش حاکمیت در تأمین امنیت این حوزه و حفظ زیرساخت حیاتی کشور در مقابل حملات الکترونیکی، با مجوز رئیس جمهور وقت در سال ۸۲ تشکیل شده است.

 

آیا وظیفه افتا فقط گزارش دهی است؟

به گفته سیدصالحی، در چارچوب سند پیشگیری از حملات سایبری مصوب سال ۹۶ در دولت یازدهم، امنیت بخش زیرساخت‌های حیاتی از جمله انرژی و ثبت احوال به افتا واگذار شده است و سوال جدی این است که اقدام افتا برای جلوگیری از این اتفاق چه بوده و تا به حال چه کاری مطابق با سند ملی پیشگیری و مقابله با حوادث فضای مجازی انجام داده است. مرکز ملی فضای مجازی باید مطالبه کند که مطابق این سند، افتا و سایر سازمان‌ها چه کرده‌اند. این موضوع حتی باید از سوی رسانه‌ها هم مطالبه شود؛ آیا وظیفه این نهادها فقط گزارش دهی است؟

وی گفت: در این مصوبه ذکر شده که این نهادها باید فعالیت کنند و جلوی حوادث را بگیرند و پس از آنکه حادثه‌ای رخ داد نیز خروجی بدهند و جزئیات آن را اعلام کنند؛ اما متأسفانه این سازمان‌ها به لحاظ عملیاتی سازمان‌های عقیمی هستند و حتی این وظیفه از سازمانی مانند پدافند غیرعامل که قدرت عملیاتی دارد مطابق این سند، گرفته شده است.

سیدصالحی در پاسخ به این سوال که مرکز افتا مدعی است که بروز اختلال را در شبکه گزارش داده است، گفت: آیا این مرکز فقط گزارش تولید کرده و نتیجه گزارش این شده که حفره‌ها باز هستند؟ اتفاقاً شاید پیدا کردن حفره‌های آسیب پذیر روی سرورهای سامانه سوخت از طریق گزارش‌های مرکز افتا، باعث افشا شدن این آسیب‌ها شده باشد. به هر ترتیب زمانی که دیتایی در جایی منتشر می‌شود دیگر ۱۰۰ درصد محافظت شده نیست و کافی است عامل نفوذی بتواند به این اطلاعات دسترسی پیدا کند؛ و چون بلافاصله برای رفع آن اقدام نشده، آن اشکال شناخته شده و این درز در سیستم، می‌تواند منجر به آسیب در کل سامانه شود.

این کارشناس تاکید کرد: به طور کلی جلوگیری از وقوع چنین رویدادهایی با عدم موازی کاری در حوزه امنیت و ایجاد تمرکز در نهادهای عمل کننده، اعطای قدرت اجرایی در پیاده سازی و نظارت بر اجرای راهکارها و مطالبه از نهادهای متولی، ممکن خواهد بود.

۱۰ روز پس از بروز حملات سایبری به سیستم های رایانه‌ای وزارت راه و راه آهن، مرکز مدیریت افتا در اطلاعیه‌ای ساده انگاری و کم توجهی به هشدارهای امنیتی را عامل اصلی بروز این حملات عنوان کرد.

به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، کم توجهی به الزامات امنیتی ابلاغ شده از قبیل طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری و هشدارهای مرکز مدیریت راهبردی افتا، علت اصلی بروز حملات سایبری جمعه و شنبه گذشته به وزارت راه و شهرسازی و شرکت راه‌آهن بوده است.

طبق اعلام کارشناسان مرکز مدیریت راهبردی افتا، عملکرد ضعیف برخی دستگاه‌های دارای زیرساخت‌های حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدارهای افتا، آنها را در برابر حملات سایبری، کم‌دفاع و یا سیستم امنیت سایبری آنان را سست می‌کند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.

این بی توجهی‌ها موجب شده است تا برخی سازمانها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند؛ بر دسترسی‌های از راه دور خود کنترل مناسبی نداشته باشند و آسیب پذیری‌های اعلام شده را به موقع به‌روزرسانی نکنند.

نتایج بررسی‌های کارشناسان امنیت سایبری افتا نشان می‌دهد که مهاجمان توانسته‌اند به برخی از مدیریت سیستم‌ها، دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند.

نفوذ به سامانه‌های وزارت راه و شهرسازی و شرکت راه‌آهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملاً آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را حدود ۷ روز قبل از حادثه سایبری آماده کرده‌اند.

بر اساس نظر کارشناسان افتا، مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستم‌ها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیر سیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستم‌ها غیرفعال کرده بودند.

بررسی کارشناسان امنیت سایبری افتا نشان می‌دهد که به دلیل زمان بر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختارهای دیتا بسنده کرده‌اند.

مهاجم یا مهاجمان سایبری در صورتی که در حمله سایبری خود، کنترل سیستم را به دست گیرند، همه زیرساخت‌های IP را تخریب می‌کنند و بیشترین ضربه را وارد می‌کنند که خوشبختانه در حملات اخیر به دلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.

رعایت نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، به روز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.

مهاجم یا مهاجمان سایبری از آسیب‌پذیری‌های خطرناکی که در سیستم‌های عامل ویندوز کشف و از طریق مرکز افتا به دستگاه‌های دارای زیر ساخت حیاتی کشور برای ترمیم آنها در کوتاه‌ترین زمان، اطلاع رسانی دقیق شده بود، در برخی فرآیند نفوذ، بهره‌برداری کرده‌اند.

تغییر امتیازات و دسترسی‌های موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستم‌های وزارت راه و شهرسازی و شرکت راه‌آهن بوده است.

توصیه‌ها

مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمان‌های زیرساختی می‌خواهد تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را روی Firmware ، پورت‌های مدیریتی سرورها و تجهیزات ILO و IPMI سیستم‌های خود اعمال کنند.

لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیب‌پذیرها و وصله فوری آنها و جمع‌آوری و پایش لاگ و رویدادهای امنیتی مربوط به سامانه‌ها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیرساخت برشمرده شده است.

به‌روزرسانی مستمر آنتی‌ویروس سرور و کلاینت‌ها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بین‌المللی، جداسازی شبکه‌های سامانه‌های زیرساختی از سایر شبکه‌های غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری برشمرده شده است.

همچنین تغییر مستمر و دقیق گذرواژه همه حساب‌های کاربری دارای سطح دسترسی بالا در سامانه‌ها و تجهیزات شبکه، بازبینی دسترسی سطح ادمین‌های شبکه، غیرفعال سازی پورت‌های بلااستفاده و سرویس‌های غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانه‌های حیاتی از اقدام‌های پیشگیرانه برای نفوذ به سیستم‌های سازمانی اعلام شده است.

مرکز مدیریت راهبردی افتا تاکید کرده است که کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیرساخت موظف هستند، از دیتاهای سازمان خود، به طور منظم نسخه‌های پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.

مرکز افتا با اعلام اینکه مهاجمان سایبری برای دسترسی به اطلاعات سامانه‌های صنعتی به حملاتی نه چندان پیچیده، دست زده‌اند، هشدار داد که این سامانه ها از اینترنت دور نگه داشته شوند.

به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی افتا، هدف این حملات سایبری، کنترل پروسه‌های کنترلی نرم افزاری و سخت افزاری فناوری عملیاتی سامانه‌های صنعتی است.

بسیاری از این مهاجمان صرفاً در پی دسترسی یافتن به کنسول مدیریتی در تجهیزات فناوری عملیاتی هستند؛ کنسول‌هایی که برای آسان کردن مدیریت تنظیمات پیچیده این تجهیزات طراحی شده‌اند و عملاً مهاجم را قادر می‌کنند تا با دانش هرقدر اندک خود در حوزه این تجهیزات، مقادیر متغیرهای صنعتی را تغییر دهد.

این حملات سایبری در حالی رخ می‌دهد که در برهه‌ای، حمله به پروسه‌های کنترلی سامانه‌های صنعتی، به دلیل دشواری دسترسی به آنها پیچیده بود، اما اکنون مدتی است که در معرض قرار گرفتن این پروسه‌ها و وجود آسیب‌پذیری در آنها و به‌طورکلی گسترده‌تر شدن دامنه اهداف، اختلال در فناوری‌های اختصاصی صنعتی را تسهیل کرده است.

تعداد حملات ساده بر ضد محصولات حوزه فناوری عملیاتی (OT) روندی افزایشی دارد و هکرها با سطوح توانایی و منابع مختلف با استفاده از ابزارها و تکنیک‌های معمول برای دسترسی یافتن و رخنه کردن به سامانه‌های صنعتی، حملات خود را شدت بخشیده‌اند.

شبکه پنل‌های انرژی خورشیدی، سامانه‌های کنترل آب و سامانه‌های اتوماسیون ساختمان معروف به (BAS) نمونه‌هایی هستند که هدف این‌گونه حملات قرار گرفته‌اند.

زیرساخت‌های حیاتی در حالی در فهرست اهداف مهاجمان سایبری قرار دارند که از تکنیک‌هایی یکسان برای حمله به تجهیزات موسوم به اینترنت اشیا (IoT) در مراکز آکادمیک و منازل افراد استفاده می‌شود.

محققان شرکت امنیتی فایرآی معتقدند از جمله دلایل افزایش حمله به سامانه‌های فناوری عملیاتی، ورود مهاجمانی است که با گرایش‌های ایدئولوژیک، خودپرستی افراطی یا مالی برای ایجاد اختلال‌های هرچند کوچک به‌جای در اختیار گرفتن هسته زیرساخت، تقلا می‌کنند.

تجهیزات فناوری عملیاتی سامانه‌های صنعتی، از روش‌های مختلفی همچون سرویس‌های دسترسی از راه دور و بسترهای VNC ، طی چند سال گذشته، هدف هکرها قرار گرفته‌اند.

برخی مهاجمان کم‌تجربه نیز علی‌رغم دانش کم در خصوص اهدافشان بر روی بدنام کردن اهداف خود تمرکز دارند؛ برای مثال، در یکی از حملات ادعا شده بود که یک سامانه خط آهن در آلمان هک شده است. درحالی‌که دستاورد هکرها محدود به یک ایستگاه کنترلی مدل‌سازی قطارها بود، یا در نمونه‌ای دیگر مهاجمان مدعی هک سامانه سوخت یکی از کشورها شده بودند؛ درصورتی‌که فقط سامانه تهویه یک رستوران را هک کرده بودند.

کارشناسان مرکز مدیریت راهبردی افتا می‌گویند: آنچه که نباید از نظر متخصصان ، کارشناسان و مدیران IT مرتبط به سامانه‌های صنعتی، دور بماند عواقب بعضاً جبران‌ناپذیر و فاجعه‌بار حملات مخرب به تجهیزات فناوری عملیاتی (OT ) است، حمله باج‌افزاری اخیر به Colonial Pipeline است که به ایجاد بحران و کمبود سوخت در سراسر آمریکا منجر شد، نمونه‌ای از اثرات چنین حملاتی است.

به گفته محققان شرکت امنیتی فایرآی، برخی نهادها و سازمان‌های امنیتی و نظارتی آمریکا پیش‌تر نیز در خصوص حمله به بسترهای حیاتی OT هشدار داده بودند؛ این نهادها وجود دستگاه‌های قدیمی، اتصال به اینترنت و روش‌های پیشرفته حمله را عامل ظهور « یک طوفان تمام‌عیار» توصیف کرده‌اند.

کارشناسان مرکز مدیریت راهبردی افتا همچنین پیشنهاد کرده‌اند که تا حد امکان سامانه‌های فناوری عملیاتی از شبکه‌های متصل به اینترنت دور نگاه‌داشته شوند، شبکه مقاوم‌سازی و ممیزی‌های امنیتی شامل کشف دستگاه‌های غیرمجاز در دوره‌های زمانی مرتب انجام شود و اجزای سامانه‌های OT به نحوی پیکربندی شوند که در برابر اعمال مخرب در امان باشند.

مرکز افتا: سامانه‌های ویندوزی آلوده شده‌اند

سه شنبه, ۲۱ ارديبهشت ۱۴۰۰، ۰۴:۵۱ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتای ریاست جمهوری با اشاره به شناسایی یک حمله سایبری پیشرفته، نسبت به آلوده سازی سامانه های فعال با سیستم عامل ویندوز توسط این گروه مهاجمان سایبری هشدار داد.

به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی افتا، گروهی از مهاجمان سایبری از سال ۲۰۱۹ در کارزاری به نام TunnelSnake با به‌کارگیری حداقل یک روت‌کیت اختصاصی، به آلوده‌سازی سامانه‌های با سیستم‌عامل ویندوز اقدام کرده‌اند که این جاسوسی و سرقت اطلاعات همچنان ادامه دارد.

روت‌کیت‌ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم‌عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می‌دارند.

این روت‌کیت که منابع تحقیقاتی کسپرسکی آن را Moriya نام‌گذاری کرده‌اند یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه‌ای قربانی و ارسال فرمان‌های مورد نظر آنها قادر می‌سازد.

به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه می‌دهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند.

سطح هسته یا همان Kernel Space جایی است که هسته سیستم‌عامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.

کد مخرب Moriya فرمان‌های مهاجمان را از طریق بسته‌های دست‌کاری شده خاصی دریافت می‌کند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد.

این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان می‌دهد که آنان تلاش می‌کنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک‌ها) برای مدت‌ها بدون جلب‌توجه در شبکه قربانی ماندگار بمانند.

در کارزار TunnelSnake، برای از کار انداختن و متوقف کردن اجرای پروسه‌های ضدویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاه‌های آسیب‌پذیر، از ۴ ابزار دیگر کمک گرفته شده است.

تعداد سازمان‌هایی که کسپرسکی Moriya را در شبکه آنها شناسایی کرده، کمتر از ۱۰ مورد هستند و همه آنها سازمان‌های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده‌اند.

نشانه‌های آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا در دسترس است.

هشدار حمله سایبری به تجهیزات سازمانی کشور

چهارشنبه, ۱ ارديبهشت ۱۴۰۰، ۰۳:۱۵ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتا (امنیت فضای تبادل اطلاعات) اعلام کرد: در تجهیزات سازمانی پنج آسیب‌پذیری وجود دارد که هکرها برای نفوذ به شبکه‌های شرکتی و دولتی، در حال استفاده از آن‌ها هستند.

به‌گزارش روابط عمومی مرکز مدیریت راهبردی افتا (امنیت فضای تبادل اطلاعات) تمام این پنج آسیب‌پذیری کاملاً شناخته شده و از آنها در حملات مهاجمان دولتی و گروه‌های جرایم اینترنتی استفاده شده است.
هکرها به طور مکرر شبکه‌های سیستم‌های آسیب‌پذیری‌ شده را اسکن می‌کنند و در تلاش برای به‌دست‌آوردن اطلاعات احراز هویت برای دسترسی بیشتر هستند.
سه آژانس امنیتی و امنیت سایبری آمریکا، شامل آژانس امنیت سایبری و زیرساخت (CISA)، اداره تحقیقات فدرال (FBI) و آژانس امنیت ملی (NSA)، این هکرها را SVR خوانده‌اند.
بر اساس هشدار امنیتی مشترک آمریکا و انگلیس که در ژوئیه سال ۲۰۲۰ منتشر شد، SVR از چهار نوع از این آسیب‌پذیری‌ها برای هدف قراردادن و نفوذ به شبکه‌های شرکت‌های فعال در ساخت واکسن COVID-۱۹ استفاده کرده‌اند.
آژانس امنیت ملی آمریکا (NSA)  نیز در دسامبر سال ۲۰۲۰ به شرکت‌های آمریکایی هشدار داده بود که هکرهای روسی از آسیب‌پذیری VMWare بعنوان پنجمین باگ سوءاستفاده می‌کنند.
با استفاده از آسیب‌پذیری‌های ۵گانه جدید، مهاجمان ممکن است سعی کنند از یک نقطه‌ضعف در یک رایانه یا برنامه سمت اینترنت با استفاده از نرم‌افزار، داده‌ها یا دستورات، استفاده کنند تا رفتاری ناخواسته و یا پیش‌بینی‌نشده‌ای انجام دهند.
ممکن است مهاجمان از سرویس‌های از راه دور خارجی که برای دسترسی اولیه در شبکه استفاده می‌کنند، کمک بگیرند؛ سرویس‌های از راه دور مانند VPN ها، Citrix  و سایر مکانیزم‌های دسترسی به‌ویژه پروتکل ریموت دسکتاپ (RPD)  که به کاربران امکان می‌دهند از مکان‌های خارجی (اینترنت) به منابع شبکه سازمانی داخلی متصل شوند.

به متولیان امنیت سایبری شرکت‌ها و سازمان‌ها توصیه می‌شود با اولویت ویژه، شبکه‌های خود را از نظر شاخص سازش مربوط به هر پنج آسیب‌پذیری و تکنیک‌های تفصیلی بررسی کرده و اقدامات فوری را انجام دهند.  
برای مقابله با این نفوذهای سایبری ضروری است تا مدیران، متخصصان و کارشناسان IT دستگاه‌های زیرساختی، سیستم‌ها و محصولات را به‌روز نگه دارند و در به‌روزرسانی وقفه‌ای ایجاد نکنند، چرا که بسیاری از مهاجمان از آسیب‌پذیری‌های متعدد استفاده می‌کنند.
واحدهای IT زیرساخت‌ها باید قابلیت‌های مدیریت خارجی را غیرفعال کنند و یک مدیریت شبکه out-of-band را راه‌اندازی کنند.
کارشناسان مرکز مدیریت راهبردی افتا هم از مدیران، متخصصان و کارشناسان IT دستگاه‌های زیرساختی خواسته‌اند با فرض اینکه نفوذ اتفاق می‌افتد، برای فعالیت‌های پاسخگویی به حوادث، آماده باشند.  

در روزهای گذشته خبری در رسانه ها منتشر شد که بر اساس آن سایت رصد و پایش دولت الکترونیک هک شده است.

بدافزار «جوکر»دوباره آمد

شنبه, ۱۲ مهر ۱۳۹۹، ۰۴:۴۱ ب.ظ | ۰ نظر

مرکز افتا نسبت به فعالیت مجدد بدافزار «جوکر» که یکی از بزرگترین خانواده های بدافزارهای اندرویدی محسوب می شود هشدار داد و اعلام کرد: این بدافزار SMS و لیست تماس کاربران را سرقت می کند.

به گزارش معاونت بررسی مرکز افتا، جوکر (Joker Malware) یکی از بزرگترین خانواده‌های بدافزار است که به طور مداوم دستگاه‌های Android را هدف قرار می‌دهد. این بدافزار با ایجاد تغییر کد، روش‌های اجرایی یا تکنیک‌های بازیابی محموله، بار دیگر در گوگل پلی (Google play) ظاهر شده است.

محققان امنیتی تیم تحقیقاتی Zscaler ThreatLabZ بارگذاری منظم فایل‌های آلوده به بدافزار را در فروشگاه Google Play شناسایی کرده‌اند.

این امر باعث شد تا چگونگی دستیابی موفقیت‌آمیز جوکر به فرآیند ورود به Google Play مورد ارزیابی قرار گیرد.

در سپتامبر امسال، ۱۷ نمونه مختلف برنامه آلوده که به طور منظم در Google Play بارگذاری می‌شده، مورد شناسایی قرار گرفته و حدود ۱۲۰ هزار دانلود برای برنامه‌های مخرب انجام شده است.

محققان سه سناریوی مختلف در این آلودگی را بررسی کردند:

سناریو اول: برنامه مخرب URL C&C را برای دانلود مستقیم در برنامه جاسازی کرده و پس از نصب برنامه مخرب، برای دانلود با سرور C&C تماس می‌گیرد.

سناریو دوم: برنامه‌های مخرب stager payload را اضافه می‌کنند. وظیفه این stager payload این است که به راحتی payload URL نهایی را از کد بازیابی کرده و سپس دانلود و اجرا می‌کند.

سناریو سوم: برنامه‌های آلوده برای دانلود payload نهایی، payload دو مرحله‌ای دارند. برنامه آلوده Google Play مرحله اول payload را دانلود می‌کند که سپس مرحله دوم payload هم دانلود شده و در نهایت payload نهایی Joker را دانلود می‌کند.

در تمام سناریوها، Payload نهایی که دانلود می‌شود بدافزار Joker است و از کد رمزگذاری DES برای اجرای فعالیت‌های C&C استفاده می‌کند. 

به کاربران توصیه می‌شود که مجوز برنامه‌هایی که نصب می‌کنند را به خوبی بررسی کنند.

لیست نمونه‌هایی از این برنامه‌های مخرب در سایت مرکز مدیریت راهبردی افتای ریاست جمهوری آمده است.

براساس یک تحقیق جامع دانشگاهی که نتایج آن به‌تازگی منتشر شده در بیش از ۱۲ هزار و ۷۰۰ برنامه مبتنی بر سیستم عامل اندروید رفتارهایی مخفی و مشابه با عملکرد درب‌پشتی مهاجمان سایبری دیده می‌شود.

به گزارش معاونت بررسی مرکز افتا، برای کشف این رفتارهای بالقوه مخرب، محققان با توسعه ابزاری با نام InputScope که وظیفه آن تحلیل فیلدهای موسوم به ورودی (Input Field) است افزون بر ۱۵۰ هزار برنامه تحت سیستم عامل اندروید را مورد بررسی قرار داده‌اند.

در این تحقیق ۱۰۰ هزار برنامه که بیشترین نصب را از طریق انباره Play Store داشته‌اند، ۲۰ هزار برنامه میزبانی‌شده روی انباره‌های ثالث و بیش از ۳۰ هزار برنامه از قبل نصب شده روی دستگاه‌های سامسونگ ارزیابی شده‌اند.

نتیجه این بررسی وضعیت نگران‌کننده‌ای را به تصویر می‌کشد. ۱۲ هزار و ۷۰۶ مورد از این برنامه‌ها به‌نحوی شامل انواع رفتارهایی مشابه با بدافزارهای معروف به درب‌پشتی همچون استفاده از کلیدهای دسترسی مخفی، رمزهای عبور موسوم به Master و وجود فرامین مخفی بوده‌اند.

محققان می‌گویند این سازوکارهای درب‌پشتی مخفی به مهاجمان امکان می‌دهد که به‌طور غیرمجاز به حساب‌های کاربری دسترسی پیدا کنند. ضمن اینکه در صورت دسترسی فیزیکی مهاجم به دستگاهی که یکی از برنامه‌های مذکور بر روی آن نصب است امکان اجرای کد با سطح دسترسی بالا نیز از طریق فرامین مخفی موجود در فیلدهای ورودی فراهم می‌شود.

با بررسی دقیق‌تر چندین برنامه ویژه دستگاه‌های همراه، این محققان دریافته‌اند که برای مثال یک برنامه کنترل از راه دور (با ۱۰ میلیون نصب) شامل رمز عبور Master، قادر به بازگشایی دستگاهی است که در پی مفقود شدن، به‌صورت از راه دور توسط صاحب آن قفل شده است.

یا یک برنامه معروف قفل‌کننده صفحه نمایش (با ۵ میلیون نصب) از کلید دسترسی به‌منظور بازگردانی رمزهای عبور کاربر، از قفل خارج کردن صفحه نمایش و فراهم کردن دسترسی به سیستم استفاده می‌کند.

یک برنامه ارتباط زنده (با ۵ میلیون نصب)، نمونه‌ای دیگر از این برنامه‌ها است که سوءاستفاده از کلید دسترسی آنکه وظیفه کنترل ورود به کنسول مدیریتی برنامه را بر عهده دارد مهاجم را قادر به پیکربندی مجدد برنامه و دستیابی به قابلیت‌های اضافی آن می‌سازد.

این محققان به یک برنامه معروف مترجم (با یک میلیون نصب) نیز اشاره کرده‌اند که حاوی کلید مخفی جهت عبور از سد کنترل‌های پرداخت در سرویس‌های پیشرفته‌ای همچون حذف تبلیغات نمایش یافته در برنامه است.

بی‌تردید برخی از این موارد امنیت کاربر و داده‌های ذخیره شده روی دستگاه او را در معرض خطر قرار می‌دهند. تعدادی نیز موارد کم‌خطر یا امکاناتی موسوم به دیباگ هستند که احتمالاً به‌طور ناخواسته با عملکردی بالقوه مخرب در برنامه لحاظ شده‌اند.

در مجموع، این محققان بیش از ۶۸۰۰ برنامه روی Play Store، بیشتر از یک هزار مورد را روی انباره‌های ثالث و تقریباً ۴۸۰۰ برنامه که روی دستگاه‌های Samsung به‌صورت پیش‌فرض نصب شده‌اند را حاوی قابلیت درب‌پشتی مخفی معرفی کرده‌اند.

این افراد وجود این آسیب‌پذیری‌ها را به تمامی توسعه‌دهندگان برنامه‌هایی که حاوی رفتاری مخفی یا سازوکاری مشابه با درب‌پشتی هستند اعلام کرده‌اند. گرچه تمامی آنها اقدام به پاسخ‌دهی نکرده‌اند.

جزئیات بیشتر در خصوص این تحقیق، در مقاله‌ای علمی با عنوان «Automatic Uncovering of Hidden Behaviors FromInput Validation in Mobile Apps» توسط محققان دانشگاه‌های ایالتی اوهایو و نیویورک و مرکز آلمانی CISPA Helmholtz Center for Information Security ارائه شده است.

از آنجا که ابزار InputScore فیلدهای ورودی برنامه‌های مبتنی بر Android را تحلیل می‌کند، اطلاعاتی نیز در مورد پالایش‌ها و کنترل‌های اعمال شده از سوی توسعه‌دهندگان به‌منظور تشخیص کلمات غیرمجاز استخراج شده که به گفته این محققان ۴۰۲۸ مورد از برنامه‌های بررسی شده دارای فهرست سیاه بوده‌اند.

مرکز مدیریت راهبردی افتای ریاست جمهوری اخبار مربوط به حملات سایبری موفق به تاسیسات نفتی و زیرساخت‌های حیاتی ایران را تکذیب کرد.

به گزارش خبرگزاری مهر، مرکز مدیریت افتای ریاست جمهوری در اطلاعیه ای اعلام کرد: بر اساس رصدهای صورت گرفته برخلاف ادعاهای امروز رسانه های غربی حمله سایبری موفقی به تاسیسات نفتی و سایر زیرساخت های حیاتی کشور صورت نگرفته است.

مرکز مدیریت راهبردی افتا از همه خبرگزاری ها، سایت های خبری، نشریات و فعالان فضای مجازی خواست تا قبل از انتشار اینگونه اخبار، از طریق مراجع ذی‌صلاح از صحت آن‌ها اطمینان کامل حاصل کنند.

مرکز مدیریت راهبردی افتای ریاست جمهوری، طرح امن سازی زیرساخت‌های حیاتی را در قبال حملات سایبری تدوین و برای اجرا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، هدف این طرح که از امروز به تمامی دستگاه‌های زیرساختی کشور ابلاغ شده است، ارتقاء امنیت فضای تولید و تبادل اطلاعات هر سازمان و جلوگیری از بروز اختلال در ارائه سرویس‌های حیاتی آنهاست. 
رضا جواهری رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری در این باره گفت: مسئولیت امنیت سایبری در هر حوزه‌ی زیرساختی کشور با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود.
آقای جواهری افزود: با توجه به مخاطرات نوظهور درعرصه‌ی فناوری اطلاعات و ارتباطات، این طرح با بازنگری همه جانبه در نسخه ابلاغی اسفند ۱۳۹۲ با بیش از ۱۸ ماه کار مداوم، تحقیق، پژوهش، بررسی آسیب‌ها و توانمندی‌های سایبری و ارزیابی ظرفیت امنیت سایبری و صرف افزون بر ۷۲ هزار ساعت نفرکار تدوین نهایی و ابلاغ شده است.
وی تصریح کرد: نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری شامل الزامات امنیتی اولویت دار، نقشه راه اجرا و مدل ارزیابی بلوغ امنیتی است.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری گفت: این مرکز با دریافت بازخوردهای مختلف از زیرساخت‌های حیاتی، بخش خصوصی ارائه دهنده‌ی خدمات افتا و همچنین متخصصان فنی این حوزه، نسخه‌ی بازنگری شده این سند را تدوین کرده است تا سازمان‌ها به سوی نظم بخشی و ساماندهی فعالیت‌های تضمین  امنیت سایبری رهنمون شوند.
آقای جواهری گفت: هدف از الزامات طرح امن سازی، جهت دهی راهبردی به فعالیت‌های ملی در حوزه‌ی امنیت سایبری زیرساخت‌ها و ارائه‌ی یک نقشه راه برای توسعه‌ی همزمان امنیت سایبری در بخش‌های مختلف کشور است.
وی با اشاره به اهمیت مدیریت مخاطرات در طرح امن سازی زیرساخت‌های حیاتی در برابر حملات سایبری گفت: مدیریت مخاطرات در این طرح امن سازی، فرآیندی مستمر است که در آن تهدیدات و آسیب پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می ‌شوند تا با انجام اقدامات امن سازی، مخاطرات احتمالی سایبری مدیریت شوند.
آقای جواهری ضمن مقایسه این طرح با طرح امن سازی اسفند ۱۳۹۲ گفت: در طرح جدید به مدل بلوغ امن سازی توجه خاصی شده و برای اندازه گیری پیشرفت امن سازی، سطوح چهارگانه شاخص بلوغ در نظرگرفته شده است تا سازمان‌های دارای زیرساخت حیاتی بتوانند با سنجش سطح بلوغ امنیتی حوزه‌ی خود برای ارتقاء آن تلاش کنند.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری، اطلاعات موجود در هر دستگاه زیرساختی را جزء دارائی‌ها و سرمایه‌های ارزشمند کشور خواند و گفت: اجرای دقیق طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری می‌تواند امنیت لازم را برای تولید و تبادل اطلاعات به‌وجود آورد.
 

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به سرقت تصاویر شخصی کاربران توسط پیام‌رسان برخی گوشی‌های سامسونگ هشدار داد و از کاربران خواست دسترسی به حافظه گوشی را غیرفعال کنند.

به گزارش مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، تعدادی از کاربران پیام رسان برخی گوشی های سامسونگ اعلام کرده‌اند که تصاویر شخصی آنان به طور خودکار و مخفیانه به مخاطبانشان ارسال شده است.

برنامه پیام‌رسان سامسونگ به طور پیش‌فرض در تبلت ها و گوشی های هوشمند این برند کره‌ای نصب است.

عمده شاکیان ارسال مخفیانه تصاویرشان به دیگران، دارندگان گوشی های سامسونگ مدل‌های گالکسی اس ۹، اس۹ پلاس و نوت ۸ بوده است که در فروم های پشتیبانی رسمی سامسونگ و Reddit نسبت به ارسال بدون اجازه و مخفیانه تصاویر گوشی خود به دیگران، شکایت کرده‌اند.

نکته قابل توجه این است که تصاویر ارسالی در بخش پیام های ارسالی صاحب گوشی همراه سامسونگ مشاهده نمی‌شود و تصاویر به مخاطبان تصادفی ارسال می شود.

در ابتدا به نظر می رسید که این مشکل مربوط به سرویس دهنده T-Mobile است که این اپراتور هرگونه مداخله‌ای را در این باره رد کرده و این باگ در سایر سرویس دهنده ها مانند AT&T نیز مشاهده شده است.

سامسونگ از این مشکل آگاه شده و تیم فنی آن در حال برطرف کردن مشکل است.

مرکز مدیریت راهبردی افتای ریاست جمهوری توصیه کرد که افرادی که از برنامه پیام رسان پیش فرض گوشی سامسونگ استفاده می‌کنند، برای جلوگیری از ارسال مخفیانه عکس‌هایشان به دیگران بهتر است در بخش permissions دسترسی آن را به تصاویر و حافظه گوشی، غیرفعال کنند.