ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۶۳ مطلب با کلمه‌ی کلیدی «مرکز ماهر» ثبت شده است

تحلیل


مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از کشف ۳۰۰ نمونه از یک اپلیکیشن مخرب در فروشگاههای اندرویدی خبر داد که با دانلود خودکار روی دستگاه کاربر، قربانی می گیرد.

به گزارش خبرنگار مهر، مرکز ماهر در اطلاعیه‌ای از شناسایی بدافزارهای RTR خبر داد و هویت توسعه دهنده این بدافزارها را فاش کرد.

بدافزارهای ‫RTR دسته‌ای از بدافزارها هستند که توسط توسعه‌دهنده متخلفی با نام مستعار RTR منتشر شده‌اند. براساس بررسی‌های انجام شده از سوی مرکز ماهر، تاکنون بیش از ۳۰۰ نمونه از بدافزارهای RTR شناسایی شده است.

برخی از این بدافزارها در فروشگاه‌های اندرویدی کافه بازار، مایکت، گوگل پلی و ایران اپس منتشر شده‌اند و برخی دیگر از طریق تبلیغات تلگرامی و دانلود خودکار توسط دیگر برنامه‌ها روی دستگاه قربانیان قرار گرفته‌اند.

به‌طور کلی بدافزارهای RTR را می‌توان در ۵ شاخه مختلف دسته‌بندی کرد:

۱. بدافزارهای مخفی شونده که از نام‌های مستهجن برای جذب مخاطب استفاده می‌کنند.

۲. نسخه‌های جعلی و غیررسمی تلگرام که از آن‌ها برای فروش عضو، ارسال تبلیغات در گروه‌ها و … استفاده می‌کنند.

۳. برنامه‌های کاربردی که اغلب با استفاده از سرویس‌های ارسال هشدار، عملیات مخرب مختلفی روی دستگاه قربانی انجام می‌دهند.

۴. بدافزارهای ارزش‌افزوده، که برای چندین شرکت مختلف ارزش‌افزوده، بدافزارهای واسطی را منتشر کرده و از این طریق به عضوگیری برای این سرویس‌ها پرداخته‌اند.

۵. برنامه‌هایی همنام با برنامه‌های محبوب و معروف خارجی مانند برخی پیام‌رسان‌ها.

هویت توسعه دهنده این بدافزار در اینجا آمده است.

اپلیکیشن افزایش سرعت اینترنت را نصب نکنید

يكشنبه, ۸ ارديبهشت ۱۳۹۸، ۱۲:۱۸ ب.ظ | ۰ نظر

مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای نسبت به گسترش اپلیکیشن های جعلی «افزایش سرعت اینترنت» در فروشگاههای اندروید هشدار داد و اعلام کرد: ۱۲۷ هزار کاربر این اپ‌ها را نصب کردند.

‫به گزارش خبرگزاری مهر، مرکز ماهر با بررسی برنامه‌های اندرویدی «افزایش سرعت اینترنت» اعلام کرد: متأسفانه برنامک‌های متعددی تحت عنوان «افزایش سرعت اینترنت» در فروشگاه‌های برنامک‌های اندروید وجود دارند.

این اپلیکیشن ها با ظاهرسازی و ادعاهای دروغین سعی در ترغیب کاربران به نصب برنامک دارند اما هیچ‌کدام نمی‌توانند منجر به افزایش سرعت اینترنت شوند.

چرا که چنین کاری در دنیای واقعی عملی نیست. این اپلیکیشن ها به محض شروع اعلام می‌کنند که سرعت اینترنت پایین است، سپس با نمایش اعلان‌هایی و بعد از چند ثانیه، ادعا می‌کنند که سرعت اینترنت افزایش یافته است.

مرکز ماهر با بررسی اپلیکیشن های پر نصب (۲۹ برنامک با بیش از ۱۲۷ هزار کاربر) در این زمینه، اعلام کرد که این اپلیکیشن ها در پس‌زمینه هیچ کار مفیدی انجام نمی‌دهند و تنها با هدف نمایش تبلیغات و کنترل گوشی کاربر منتشر شده‌اند.

نفوذ به سرور یکی از تاکسی اینترنتی

جمعه, ۳۰ فروردين ۱۳۹۸، ۰۴:۱۹ ب.ظ | ۰ نظر

بنا بر گزارش‌های رسمی نفوذ به یکی از سرورهای یک شرکت حمل و نقل اینترنتی از طریق آدرس سایتی متعلق به کشور اوکراین تایید شده که در این نفوذ اطلاعات ۶۰ هزار راننده فعال مورد دسترسی غیرمجاز قرار گرفته است.

به گزارش فارس، اخیرا موضوع افشای اطلاعات رانندگان یک ناوگان حمل و نقل اینترنتی خبرساز شده است.

به تازگی مستنداتی از اطلاعات رانندگان این شرکت در فضای مجازی منتشر شده که نشان می‌دهد این اطلاعات از طریق نفوذ به سامانه اطلاعات مشتریان آن به دست آمده است.

وزیر ارتباطات و فناوری اطلاعات بروز این آسیب را تأیید کرد و اظهار داشت: گزارش منتشرشده درباره وجود آسیب‌پذیری در نگهداری اطلاعات یک شرکت حمل و نقل اینترنتی صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود که در امنیت اطلاعات کاربران جدی‌تر باشند.

این اطلاعات در وهله اول از سوی شرکت تأیید نشد اما چندی بعد این شرکت در اطلاعیه‌ای تکمیلی نفوذ به برخی سیستم‌های خود را پذیرفت و اعلام کرد هیچ‌گونه دسترسی به هیچ نوع اطلاعات مسافران مانند اطلاعات سفر، مبدا، مقصد و زمان سفر و اطلاعات هویتی صورت نگرفته است. تعدادی نفوذ با منشاء خارجی به سرورهای این شرکت شده که تنها یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس‌ آی پی متعلق به شرکت اوکراین قرار گرفته و فاکتورهای ۶۰ هزار راننده فعال برای حسابرسی مالیاتی در سال‌های ۹۵ و ۹۶ روی آن نگهداری می‌شدند.

در این اطلاعیه با اعلام این‌که منشاء و هدف اصلی این نفوذ خارجی مشخص نیست، تاکید شده همکاری تیم امنیت شرکت با پلیس فتا و مرکز ماهر در این زمینه ادامه دارد. این شرکت همچنین در این اطلاعیه خاطرنشان کرده طی هفته‌های اخیر این شرکت و سایر استارت‌آپ‌های ایرانی با محدودیت‌های ناشی از تحریم‌های فناوری مواجه بوده‌اند که علی‌رغم تمامی مشکلات ازجمله تحریم‌ها و تلاش گسترده برای نفوذ اینترنتی، هم‌چنان مصمم به ارائه خدمات‌رسانی مناسب به کاربران هستیم.

البته اشاره این شرکت به محدودیت‌های ناشی از تحریم در اطلاعیه گزارش نفوذ به سیستم‌هایش با انتقادهای کاربران مواجه شد و بسیاری از کاربران این شرکت برای استفاده کردن از محدودیت تحریم برای توجیه این نفوذ را غیرقابل قبول دانستند.

 

شرکت «تپ‌سی» هک شدن یکی از سرورهایش را تایید کرد

شرکت حمل و نقل اینترنتی«تپسی» با صدور اطلاعیه ای با تایید هک شدن یکی از سرورهای خود اعلام کرد: بخشی از اطلاعاتی که روز گذشته در اینترنت درز پیدا کرد مربوط به فاکتور سفرهای رانندگان این شرکت است.

به گزارش ایرنا، خبری روز گذشته درمورد هک شدن اطلاعات مربوط به یک شرکت حمل و نقل اینترنتی در ایران به دلیل امنیت پایین منتشر شد، این اطلاعات لو رفته شامل ده ها هزار صورت حساب که دارای اطلاعات شخصی نام، نام خانوادگی، شماره ملی و تاریخ صورت حساب‌ها مشترکان است.
شرکت حمل و نقل اینترنتی «تپ‌سی» با صدور اطلاعیه ای اعلام کرد: بخشی از اطلاعاتی که روز گذشته در اینترنت درز پیدا کرده، مربوط به فاکتور سفرهای رانندگان این شرکت است.
تپسی در این اطلاعیه یادآور شد: پس از بررسی‌های انجام شده توسط تیم امنیت تپ‌سی درخصوص ادعای لو رفتن اطلاعات توسط یک حساب توییتری، نتایج به اطلاع کاربران می‌رسد.
در ادامه این اطلاعیه آمده است: همان‌گونه که در اطلاعیه نخست نیز ذکر شد اولویت تپ‌سی حفاظت از اطلاعات کاربران است. بررسی‌های تپ‌سی هم ثابت کرد تأکید و سرمایه‌گذاری این شرکت بر حفاظت اطلاعات کاربران کاملاً به‌جا بوده و در شرایط حیاتی کاملاً موثر واقع شده و هیچ‌گونه دسترسی به هیچ نوع اطلاعات مسافران – مانند اطلاعات سفر، مبدا و مقصد و زمان سفر، اطلاعات هویتی صورت نگرفته است.
در اطلاعیه شرکت تپسی تصریح شده است: با بررسی دقیق‌تر موضوع، تیم امنیت تپ‌سی متوجه تلاش برای تعدادی نفوذ با منشا خارجی به سرورهای این شرکت شد که تنها یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس آی‌پی متعلق به کشور اوکراین قرار گرفته است که فاکتورهای 60 هزار راننده فعال جهت حسابرسی مالیاتی در سال‌های 1395و 1396 روی آن نگهداری می‌شدند.
منشا و هدف اصلی این نفوذ خارجی برای تپ‌سی مشخص نیست و همکاری تیم امنیت تپ‌سی با پلیس فتا و مرکز ماهر در این زمینه ادامه دارد.
طی هفته‌های اخیر تپ‌سی و سایر استارت‌آپ‌های ایرانی با محدودیت‌های ناشی از تحریم‌های فناوری مواجه بوده‌اند. به رغم تمامی مشکلات اعم از تحریم‌ها و تلاش گسترده برای نفوذ اینترنتی، تپ‌سی همچنان مصمم به ارایه خدمات باکیفیت، امن و مناسب به کاربران است.
 

تضمین امنیت روانی کاربران با تصویب لایحه صیانت از داده های شخصی

تهران- ایرنا- موضوع حفظ اطلاعات شخصی کاربران خدمات اینترنتی از دغدغه های همیشگی فعالان این عرصه بوده و هست و امید می رود تصویب لایحه صیانت از داده های شخصی افراد در آینده نزدیک، به بسیاری از این نگرانی ها پایان دهد.

به گزارش ایرنا صبح روز پنج شنبه خبری منتشر شد که حکایت از آسیب پذیری امنیتی یک شرکت حمل و نقل اینترنتی داشت. ظواهر نشان می داد که اطلاعات کاربران و رانندگان این شرکت در خطر افشا شدن هستند.مدیر کل حقوقی سازمان فناوری اطلاعات ایران معتقد است اگر لایحه صیانت از داده های شخصی که نزدیک 5ماه است در کمیسیون فرعی هیات دولت مطرح شده، زودتر تصویب شود، قطعا از پیش آمدن مسائل این چنین جلوگیری خواهد کرد.
یکی از گروه هایی که در حوزه امنیت سایبری فعالیت دارد، با توجه به سرچ های تخصصی، توانسته است ضعفی را در دیتا بیس مانگو (MongoDB یک پایگاه داده اپن سورس و رایگان) کشف کنند، ضعفی که نشان می دهد ظاهرا اطلاعات رانندگان یک تاکسی اینترنتی شامل کد ملی، نام، نام خانوادگی فاکتورها و... لو رفته است.
فارغ از این که این اطلاعات مربوط به کدام تاکسی اینترنتی بوده است، اگر بخواهیم از بعد حقوقی به آن نگاه کنیم، مدیر کل حقوقی سازمان فناوری ایران، جزو بهترین افرادی است که می تواند در این خصوص اظهار نظر کند.
«محمدجعفرنعناکار» در گفت و گوی اختصاصی با ایرنا گفت: ما در این مورد با چند چالش رو به رو هستیم که مدت هاست از سوی حقوقدان های حوزه آی تی پیگیری می شود. سازمان فناوری اطلاعات ایران و مراکز دیگر پیگیر این مسئله هستند اما برای رسیدن به نتیجه، نیاز است سازمان های مختلف به شکل جمعی به این مسئله ورود کنند.
تاکسی های اینترنتی در ایران همواره با مشکل مجوز رو به رو هستند؛ نعناکار با اشاره به این مسئله گفت: سوال اصلی این است که تاکسی های اینترنتی باید از چه نهادی مجوز دریافت کنند؟ چیزی که قانون در باب حوزه تاکسی های اینترنتی مطرح می کند این است که سازمان تاکسیرانی باید مجوز فعالیت آن ها را صادر کند.

** نقص جدی متوجه پلت فرم هاست
وی در ادامه گفت: هر نوع عملیات درون شهری که قرار است اتفاق بیفتد باید از سوی سازمان تاکسیرانی مورد بررسی قرار بگیرد و ممیزی های لازم در خصوص رانندگان، شیوه کار و پلتفرم اعمال شود. در واقع موضوع اصلی بحث در این حوزه، پلتفرم ها هستند که نقص های جدی متوجه آن هاست.
این کارشناس حقوقی ادامه داد: از آن جایی که پلتفرم های ارائه خدمات تاکسی اینترنتی اطلاعات راننده، بخشی از اطلاعات مسافر و نیز آدرس های افراد را دریافت و ضبط می کنند، نیاز است که روی شیوه کار آن ها بررسی هایی صورت بگیرد، بررسی هایی که موجب می شود هم امنیت این داده ها حفظ ،و هم کارکرد نرم افزارها تائید شود.
مدیرکل حقوقی سازمان فناوری اطلاعات با اشاره به این که مراکزی در ایران هستند که روی این مسائل کار می کنند، افزود: سازمان «افتا» که کار اصلی آن صدور گواهی های امنیت است و شورای عالی انفورماتیک سابق (در حال حاضر وظایف آن به سازمان فناوری اطلاعات ایران منتقل شده) که تاییدیه فنی نرم افزارها را صادر می کند و همین طور سازمان نظام صنفی رایانه ای کشور که به این پلتفرم ها گواهی فعالیت می دهد، مجموعه هایی هستند که روی چنین مسائلی کار می کنند.

** لایحه صیانت از داده های شخصی روی میز دولت
نعناکار در ادامه به یک نقص قانونی که باعث شده دستگاه ها نتوانند به خوبی روی فعالیت پلتفرم های اینترنتی نظارت کنند، اشاره کرد و گفت: از آذر ماه سال گذشته دایره حقوقی سازمان فناوری اطلاعات ایران با جدیت دنبال تصویب لایحه ای در این خصوص بوده است.
وی در توضیح این لایحه گفت: پیش نویس لایحه «صیانت از داده های شخصی افراد» سال گذشته در وزارت ارتباطات نوشته شد و متن آن به کمیسیون فرعی هیات دولت رفت.
حدود سیزده نهاد دولتی دیگر روی این لایحه بحث کردند و درباره آن نظراتی ارائه کردند.متن نهایی لایحه در حال حاضر آماده ارائه به کمیسیون اصلی است. زمانی که این لایحه با تصویب مجلس به شکل قانون در بیاید، می تواند نقش موثری در زمینه صیانت از داده های شخصی کاربران ایفا کند.
چیزی که خیلی مهم است و باید به آن توجه کرد، حلقه حقوقی است که نهادهای مرتبط در آن هماهنگی های لازم با یکدیگر را ندارند. متاسفانه برخی از نهادها حاضر نیستند با بقیه نهادها زیر یک چتر قرار بگیرند و قواعد کلی را یکسان سازی کنند، تا چرخه حقوقی در این حوزه کامل شود.
لایحه ای که نعناکار از آن صحبت می کند، یک لایحه قوی با استانداردهای بین المللی است: این لایحه داده های شخصی افراد را تعریف و مشخص می کند که هر نهادی باید به چه شکل به این داده ها دسترسی پیدا کنند و بر اساس چه استانداردی آن را نگهداری کنند، چه زمانی نوبت معدوم سازی داده ها می رسد و اگر این اطلاعات به هر طریق نشت کرد باید چطور با آن برخورد شود.
این لایحه می تواند به قانون مترقی ای تبدیل شود که هم اکنون در اتحادیه اروپا در حال اجراست و اجرایی شدن آن در ایران،قانون آی تی کشور را چند پله ارتقا ببخشد. چرا که این لایحه همگام با نظرات و کنش های بین المللی است. اگر کارهای مربوط به تصویب این لایحه هر چه زودتر انجام شود، می توان اقدامات تامینی را در نظر گرفت تا دیگر شاهد بروز نشت اطلاعات کاربران نباشیم.
مدیر کل حقوقی سازمان فناوری ایران در ادامه گفت: در این پازل که باید به مدد دیگر نهادها کامل شود سازمان فناوری اطلاعات ایران گواهی امنیتی و تاییدیه فنی نرم افزار ارائه می دهد، قسمت دیگر نهادهایی هستند که مجوز ارائه می دهند مانند اتحادیه کشوری کسب و کارهای مجازی که خودش نیز محل اشکال است.
مسئله به این شکل است که تاکسی های اینترنتی پس از دریافت مجوز از این اتحادیه، فعالیت شان را شروع می کنند. این در حالی است که متولی اصلی چنین پلتفرم هایی تاکسیرانی است.
سازمانی که چند روز قبل اولین مجوز در این حوزه را ارائه کرد و نشان داد این پروانه وجود دارد و پس از دریافت آن از سازمان تاکسیرانی، داده ها طبق استانداردهای خاص امنیت بین المللی به ایزوهایی که وجود دارد، نگهداری می شود. در حال حاضر شرکت های تاکسی اینترنتی این پروانه را ندارند و فعالیت شان به شیوه دیگری است.

 

ایران در فهرست حملات Roaming Mantis

جمعه, ۲۳ فروردين ۱۳۹۸، ۰۱:۳۷ ب.ظ | ۰ نظر

مرکز مدیریت افتا نسبت به آلودگی هزاران کاربر اینترنتی که هدف حملات بدافزاری Roaming Mantis قرار گرفتند، هشدار داد. ایران در لیست کشورهای هدف این حملات قرار دارد.

به گزارش معاونت بررسی مرکز افتا ی ریاست جمهوری، بدافزار Roaming Mantis برای اولین بار در مارچ ۲۰۱۸ مشاهده شد که به مسیریاب‌های ژاپنی نفوذ کرد و باعث انتقال کاربران به سایت‌های مخرب شد.

آخرین موج حملات این بدافزار بر گسترش لینک‌های فیشینگ از طریق پیامک تمرکز دارد که قربانیان این حملات در کشورهای روسیه، ژاپن، هند، بنگلادش، قزاقستان، آذربایجان، ایران و ویتنام قرار دارند.

بدافزارهای مرتبط با Roaming Mantis بیش از ۶۸۰۰ بار توسط پژوهشگران مشاهده شدند که این تعداد برای ۹۵۰ کاربر منحصر به فرد و در بازه ۲۵ فوریه تا ۲۰ مارچ ۲۰۱۹ است.

همراه با تکنیک دستکاری DNS که در گذشته انجام شده بود، مهاجمان از روش فیشینگ جدیدی با پیکربندی‌های موبایل مخرب استفاده کردند. مهاجمان از صفحات فرود جدیدی برای هدف قرار دادن دستگاه‌های iOS استفاده کردند که باعث نصب پیکربندی مخرب در iOS می‌شود. این پیکربندی باعث باز شدن سایت فیشینگ در مرورگر دستگاه‌های هدف می‌شود تا اطلاعات قربانیان جمع‌آوری شوند.

کاربران اندروید توسط بدافزارهایی آلوده شدند که Trend Micro آن را با نام XLoader و McAfee با نام MoqHao شناسایی می‌کنند.

در اواخر ماه فوریه ۲۰۱۹، کارشناسان یک URL را شناسایی کردند که مهاجمین از آن برای تغییر DNS مسیریاب استفاده کردند. این حمله تحت شرایطی موفق عمل می‌کند که هیچ احراز هویتی برای کنترل پنل مسیریاب وجود نداشته باشد، دستگاه یک نشست ادمین برای پنل مسیریاب داشته باشد و نام‌کاربری و گذرواژه پیش‌فرض برای مسیریاب تعیین شده باشد.

کارشناسان کسپرسکی هزاران مسیریاب را کشف کردند که از این طریق DNS آن‌ها به آدرس‌های مخرب تغییر یافته است. این نوع حمله توسط فایل sagawa.apk نیز انجام شده است.

در تصویر زیر کشورهای آلوده به همراه میزان آلودگی مشخص شده‌اند (اندروید):

مرکز افتا برای جلوگیری از نفوذ و آلودگی توسط این حملات، موارد زیر را توصیه کرده است:

• تغییر شناسه و گذرواژه‌های پیش‌فرض و اعمال وصله‌های امنیتی منتشر شده

• عدم دانلود فایل‌های APK از منابع نامعتبر توسط کاربران اندروید

• عدم نصب پیکربندی ثالث نامعتبر توسط کاربران iOS.

نشانه‌های آلودگی (IoC) و هاست‌های مخرب در سایت مرکز افتا قرار داده شده است

حمله به دوربین‌های نظارت تصویری کشور

جمعه, ۲۴ اسفند ۱۳۹۷، ۰۵:۲۲ ب.ظ | ۰ نظر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به افزایش شدید تلاش برای نفوذ به دوربین‌های نظارت تصویری در سطح کشور هشدار داد و اعلام کرد که تهران در صدر این حملات قرار دارد.

به گزارش خبرگزاری مهر، مرکز ماهر اعلام کرد که در روزهای گذشته، تلاش برای نفوذ به دوربین‌های نظارت تصویری از طریق پویش درگاه ۹۵۲۷ در سطح کشور به شدت افزایش پیدا کرده است.

این درگاه، مربوط به یک قابلیت مستند نشده دیباگ برخی دوربین‌های مدار بسته تحت IP است.

بیش از ۲ هزار دستگاه در جهان در حال پویش و رصد این دستگاه‌ها هستند.

بررسی‌های مرکز ماهر حاکی از آن است که در حال حاضر بیش از ۷۵۰۰ دستگاه در معرض این ضعف امنیتی در سطح کشور شناسایی شده است.

تهران با ۷۲.۴ درصد حملات، در صدر بیشترین آسیب پذیری ها قرار دارد.

مرکز ماهر از کاربران خواست که در صورت استفاده از دوربین‌های مداربسته تحت IP، از دسترسی حفاظت نشده این تجهیزات به اینترنت جلوگیری کنند.

این درگاه کاربرد ضروری نداشته و فقط برای عیب‌یابی محصول در زمان تولید فعال شده است

ایران هدف بیشترین حملات بدافزاری موبایل

دوشنبه, ۲۰ اسفند ۱۳۹۷، ۰۱:۳۶ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی افتای ریاست جمهوری با انتشار گزارشی از حملات سایبری به کاربران موبایل در سال ۲۰۱۸ و رشد دوبرابری آن نسبت به سال قبل، اعلام کرد: ایران دارای بیشترین حملات بوده است.

به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، حملات مهاجمان سایبری در سال گذشته میلادی به نسبت سال ۲۰۱۷ به کاربران موبایل نزدیک به دو برابر افزایش داشته و ایران دارای بیشترین حملات بوده است.

مهاجمان سایبری در سال ۲۰۱۸ با استفاده از نرم‌افزارهای مخرب ۱۱۶ و نیم میلیون بار به گوشی‌های موبایل حمله کرده اند که این تعداد در سال ۲۰۱۷ قریب به ۶۴ و نیم میلیون بار بوده است.

آزمایشگاه کسپرسکی در گزارشی اعلام کرد: با وجود این افزایش چشمگیر حمله به گوشی‌های موبایل، افزون بر ۵ میلیون بسته نمونه‌های بدافزار در طول سال گذشته میلادی شناسایی شدند.

مهاجمان در حمله به گوشی‌های تلفن همراه کاربران ایرانی از شایع‌ترین بدافزار موبایلی با نام تروجان اندرویدی Trojan.AndroidOS.Hiddapp استفاده کرده‌اند.

مهاجمان از روش‌های کاملاً تست شده مانند SMS اسپم استفاده کرده‌اند و به آزمایش تکنیک‌هایی مانند ربودن DNS نیز تمایل نشان داده‌اند، که قبلاً فقط برای حمله به پلتفرم‌های دسکتاپ استفاده می‌شد.

منتقل‌کننده‌ها (Trojan-Dropper) که برای دور زدن سیستم‌های تشخیص طراحی شده‌اند، حمله به حساب‌های بانکی از طریق دستگاه‌های تلفن‌همراه، برنامه‌هایی که می‌توانند توسط مجرمین سایبری برای ایجاد آسیب استفاده شوند مانند (RiskTool)، برنامه‌های تبلیغ‌افزار از محبوب‌ترین ابزارها و تکنیک‌های حمله مهاجمان به تلفن‌های همراه بوده است.

اگر چه تروجان‌های بانکی موبایل قبلاً سرویس‌های دسترسی به خدمات را هدف حمله قرار داده بودند، اما مهاجمین یک برنامه کاملاً قانونی و مجاز را در سال ۲۰۱۸، تحت‌کنترل گرفته و آن را مجبور به اجرای یک برنامه بانکداری برای انجام عملیات انتقال پول در دستگاه قربانی‌ها کردند.

در میان نمونه‌های بدافزار شناسایی‌شده توسط کسپرسکی در سال ۲۰۱۸، خطرناک‌ترین آنها Trojan.AndroidOS.Triada.dl و Trojan.AndroidOS.Dvmap.a، بودند که البته جزو گسترده‌ترین‌ها نبودند.

معاونت بررسی مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) اعلام کرد: تهدیدات موبایلی به طور مستمر در حال تکامل هستند و این توسعه تنها در تعداد بدافزارها نیست. افزایش حملات بدافزارهای موبایلی، اهمیت پیروی از نکات امنیتی این حوزه را بیش از پیش نمایان می‌کند.

عـلی اصلان شهلا - آی‌تی‌من-  روز گذشته در گزارش مفصلی و در گفت‌وگو با کارشناسان و مدیران زرین‌پال و علی‌بابا، از حمله گسترده DDoS به کسب و کارهای داخلی نوشتیم. اما تفاوت این حمله با حملات پیشین این بود که نه تنها منشا داخلی داشت که برای این حملات از تعداد بسیار زیادی از IPهای ایرانی استفاده می‌شد. معنی این حرف این است که بخش مهمی از دستگاه‌های موبایل و کامپیوتر ایرانی‌ها براثر نصب یک بدافزار، آلوده شده و تبدیل به زامبی‌هایی شده‌اند که با دستور یک گروه هکری، برای حمله به کسب و کارها، یا در آینده هر هدف دیگری، می‌توانند استفاده شوند.
در آن گزارش و براساس تحلیل کارشناسان نتیجه گرفتیم که تنها برنامه‌ای که اخیرا و به طور گسترده در موبایل‌ها و کامپیوترهای ایرانی ها نصب شده، ابزارهای دورزدن فیلترینگ تلگرام از قبیل فیلترشکن‌ها و پوسته‌های فارسی بوده است. در این گزارش امیر ناظمی رییس سازمان فناوری اطلاعات این نتیجه‌گیری را رد نمی‌کند اما با این حال می‌گوید مرکز ماهر در حال بررسی‌های بیشتر است. از سوی دیگر سجاد بنابی عضو هیات مدیره شرکت زیرساخت می‌گوید در حالی که روی Gateway اینترنت بین‌الملل سرویس DDoS Protection نصب شده اما چنین سرویسی روی شبکه ملی اطلاعات وجود ندارد تا بخش خصوصی بتواند در این حوزه فعال شود.
 
دستگاه‌های ایرانی زامبی شدند
امیر ناظمی معاون وزیر ارتباطات و رییس سازمان فناوری اطلاعات می‌گوید نوع و حجم حملات DDoS نسبت به گذشته در حملات اخیر تغییر کرده است. وی به خبرنگار فناوران گفت: فرضیه نخست در ابتدا این بود که حملات DDoS مثل سایر حملاتی که معمول است، به صورت هدفمند به یک کسب و کار صورت می‌گیرد. این حملات معمولا از یک رنج IP و از خارج از مشور انجام می‌گیرد.
وی ادامه داد: اما از آنجا که تعداد IPهای استفاده شده برای حملات DDoS بسیار زیاد است فرضه دوم و ظن قوی‌تر ما این است که بر اثر آلودگی ایجاد شده توسط یک اپلیکیشن، موبایل‌ها و کامپیوترهایی تبدیل به زامبی شده و به کسب و کارها حمله می‌کنند.
ناظمی در پاسخ به این سوال که ممکن است این بدافزار به عنوان فیلترشکن یا پوسته‌های فارسی تلگرام به صورت گسترده در موبایل‌ها و کامپیوترها توزیع شده باشند گفت: بله این موضوع یکی از احتمالات است ولی در حال بررسی‌های بیشتر و آماده کردن گزارشات تکمیلی هستیم.
رییس سازمان فناوری اطلاعات با بیان این که تاکنون دو کسب و کار به طور جدی مورد حمله قرار گرفته‌اند گفت: حدس زدیم که برخی دیگر از کسب و کارها به عنوان مقاصد بعدی مورد حمله قرار بگیرند و در این خصوص پیشگیری‌های لازم را انجام داده‌ایم.
وی در پاسخ به این سوال که چقدر این پیشگیری می‌تواند موثر باشد گفت: به هر حال این موضوعات به شبکه فشار می‌آرود و فعلا کنترل شده است. در هفته‌های گذشته نیز ما برای این که تشنجی در جامعه به وجود نیاید از رسانه‌ای کردن موضوع خودداری کردیم و خوشبختانه اکنون با شرایط بهتری به مقابله با این حملات پرداخته‌ایم.
معاون وزیر ارتباطات با بیان این که کسب و کارهایی که هدف قراره گرفتند کسب و کارهای بزرگی بوده و خوشبختانه با روال معمول امنیتی آشنا بودند گفت: هرکدام از کسب و کارهایی که مورد هدف قرار گرفتند فورا موضوع را به مرکز ماهر اعلام کنند. خوشبختانه با هماهنگی‌هایی که تا امروز صورت گرفته، این حملات مدیریت شده و حداقل کاربران چندان متوجه آن نشده‌اند.
ناظمی در پاسخ به این سوال که به نظر می‌رسد چه تعداد دستگاه کاربران ایرانی تبدیل به زامبی شده‌اند گفت: تعداد رنج IPها بسیار بالاست و از آنجا که بیشترین IPها متعلق به اپراتورهای موبایل است، به نظر می‌رسد این آلودگی از طریق یک اپلیکیشن روی موبایل صورت گرفته است.

 
بخش خصوصی سرویس DDoS Protection بدهد
سجاد بنابی عضو هیات مدیره شرکت زیرساخت در پاسخ به فناوران درباره این که آیا سرویس‌ DDoS Protection روی اینترنت ایران فعال است توضیح داد: بله براساس قانون روی Gateway اینترنت بین‌الملل این سرویس وجود دارد. علاوه بر این لینک‌هایی وجود دارد که از حفاظت بهتری برخوردارند و در هنگام حمله اخیر نیز با جابه‌جایی لینک‌ها، جلو حملات DDoS از خارج از کشور را گرفتیم.
وی با بیان این که در حملات اخیر تنها 24 ساعت حمله از خارج از کشور صورت گرفته و مابقی منشا داخلی دارد گفت: زیرساخت آمادگی این را دارد که روی شبکه ملی اطلاعات نیز سرویس DDoS Protection را راه‌اندازی کند. در داخل کشور عملا یک کسب و کار است و برخی FCPها هم همین الان اینترنت Protected با تعرفه گران‌تر از اینترنت معمولی ارایه می‌دهند. زیرساخت برای این که با بخش خصوصی رقابت نکند وارد حوزه Protection داخلی نشده است.
بنابی ادامه داد: اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد شرکت زیرساخت آماده سرمایه‌گذاری در این حوزه را دارد. ولی تا امروز حاکمیت چنین نظری را نداشته و ما هم تا امروز ابا داشتیم این پیشنهاد را بدهیم، چرا که DDoS Protection تجارت سودآوری است.

عضو هیات مدیره شرکت زیرساخت در پاسخ به این سوال که با توجه به این که گفته می‌شود بیشتر حملات از IPهای اپراتورها بوده آیا می‌توان نتیجه گرفت که دستگاه‌های آلوده شده روی شبکه موبایل هستند گفت: بیشتر پهنای باند کشور با توجه به کیفیت اینترنت موبایل، روی این شبکه است و خیلی‌ها در خانه‌شان از سیم‌کارت برای دسترسی به اینترنت استفاده می‌کنند.

 

در همین رابطه: حمله گسترده هکری از ایران به کسب‌وکارهای داخلی

علی اصلان شهلا - حملات DDoS یا Distributed Denial of Service، یکی از رایج ترین و قدیمی ترین نوع از حملات هکری در دنیا محسوب می شود. در این نوع حمله، حجم زیادی تقاضای کاذب به سمت سرور هدف یا قربانی صادر می شود که در نهایت باعث کندی و حتی از کار افتادن سرور می شود.

این حملات عموما از سمت خارج از کشور انجام می شود چرا که در صورت حمله از داخل، امکان شناسایی فرد مهاجم وجود دارد. در چند هفته اخیر اما برخی کسب و کارهای ایرانی زیر شدیدترین حملات DDoS بوده اند با این تفاوت که بخش مهمی از حملات، برخلاف روال مرسوم نه از خارج کشور که از داخل کشور و از سمت دستگاه های صدها هزار و حتی میلیون ها ایرانی انجام شده است.

در این گزارش در گفت وگو با مصطفی امیری مدیرعامل زرین پال و مسعود طباطبایی مدیر ارشد اجرایی علی بابا، دو سرویسی که تحت حملات شدید بوده اند، و همچنین جعفر محمدی عضو هیات مدیره سازمان نصر تهران، به بررسی و تحلیل این نوع حملات پرداخته ایم. بررسی کارشناسان و کسب و کارها نشان می دهد حجم بزرگ آلودگی، ناشی از نصب گسترده ابزارهای موسوم به دورزدن فیلتر تلگرام، از قبیل پوسته های فارسی و یا فیلترشکن ها بوده است. به این ترتیب میلیون ها کاربر آلوده ایرانی، به مانند زامبی هایی بی خبر از همه جا، حالا در اختیار گروه های هکری هستند تا به اهداف داخلی و در آینده حتی به اهداف خارجی حمله کنند. موضوعی که می تواند عوارض و بحران های بزرگی را برای کشور به همراه داشته باشد.


 تنوع و گستردگی زیاد حملات
زرین‌پال یکی از کسب و کارهایی است که در هفته‌های گذشته متحمل حملات شدیدی بوده است. مصطفی امیری ‌موسس و مدیرعامل زرین‌پال در این باره توضیح می‌دهد: حملات DDoS از 4 هفته پیش آغاز شد و حجم حملات رفته‌رفته افزایش یافت. البته فرد مهاجم نیز به طور مرتب با ما از طریق تلگرام در تماس است و جملات تهدید‌آمیز می‌گوید و درخواست باج می‌کند.
وی ادامه داد: کسی که این حملات را ترتیب داده روز اول درخواست یک بیت‌کوین کرد و تا امروز این درخواست به 5 بیت‌کوین رسیده است. البته از آنجا که حملات DDoS در این حجم و گستردگی و تنوع، هزینه‌بردار است، کار یک شخص نیست و قطعا از جایی تامین مالی می‌شود. 
امیری با بیان این که تجهیزات خود را برای مقابله با این تهدیدات ارتقا داده‌ایم گفت: دو هفته پیش حجم حملات DDos به 25 گیگابیت در ثانیه رسید، این در حالی است که پهنای باند یک دیتاسنتر مجهز در ایران 8 گیگابیت است. با این میزان از حجم حمله، به مدلی با مرکز ماهر دست یافتیم که اجازه بدهند پیش از آن که ترافیک خارج از کشور وارد شوند، ما از یک سرویس خارجی DDoS Protection استفاده کنیم که عملا این موضوع حجم بزرگی از حملات را کنترل کرد. مدیرعامل زرین‌پال ادامه داد: اما رفته‌رفته حجم و نوع حملات تغییر کرد. برای مثال یکی از حملات نزدیک، از 45 هزار IP ایرانی که عموما استفاده‌کننده اینترنت همراه‌اول، ایرانسل و رایتل بودند انجام شد که این بدان معنی است که یک بدافزار موبایل‌های مردم را آلوده کرده و از سمت آنها این حملات را انجام می‌دهد. با توجه به این که این اپراتورها IP اختصاصی در اختیار مشترکان نمی‌گذارند، می‌توان تخمین زد که حجم گوشی‌های آلوده شده، حداقل 10 برابر تعداد آی‌پی‌هاست.
وی با بیان این که احتمالا در ماه‌های آینده بحران‌های بزرگی پیش رو خواهد بود گفت: یک بدافزاری توسعه داده‌شده و روی موبایل‌های ایرانی‌ها به تعداد بسیار زیادی نصب شده است. اکنون حجم حملات خارجی به 40 گیگابیت در ثانیه و حجم حملات داخلی به 4 گیگابیت در ثانیه رسیده که ادامه این موضوع می‌تواند به زیرساخت‌ها صدمات جدی بزند.
امیری با بیان این برای مقابله با حملات با منشا داخلی بخشی از این حملات را به زیرساخت‌های ابرآروان منتقل کردیم گفت: متاسفانه این حجم و نوع از حملات در کار آنها نیز اختلال ایجاد کرده است. در واقع این حملات یک زنگ خطر بزرگ است و باید فکر علاج باشیم. به ویژه آن که ممکن است دستگاه‌های آلوده برای حمله به کشورهای دیگر استفاده شود که تبعات سنگینی برای کشورمان خواهد داشت.
وی با بیان این که چند برابر باجی که فرد مهاجم درخواست کرده برای مقابله هزینه کرده‌ایم گفت: باید برای مقابله با این باج‌افزار فکری فوری و اساسی کرد.


 40 روز زیر بارحمله
مسعود طباطبایی مدیر ارشد اجرایی علی بابا نیز در گفت‌وگو با فناوران با بیان این که در 40 روز گذشته زیربار حمله بوده‌اند گفت: حملات DDoS برای علی بابا اتفاق جدیدی نیست ولی این حجم و نوع حملات کاملا متمایز از تمامی حملات پیشین است.
وی با بیان این که فرد مهاجم در ایمیل با ما در ارتباط است گفت: او دانش بسیار خوبی دارد و در روز اول خواستار 6/0 بیت‌کوین باج بود که امروز این میزان به 10 بیت‌کوین رسیده است.
طباطبایی با بیان این که حملات در لایه‌های مختلف شبکه انجام شده و تنوع زیادی دارد گفت: یکی از حدس‌های ما این بود که این حملات کار رقباست چرا که حملات نوع اول و دوم هزینه‌بردار است. به علاوه این که فرد مهاجم به ما گفت اگر باج را پرداخت کنیم حاضر است به دو تا سرویس دیگر به درخواست ما حمله کند. ما به او گفتیم حاضریم برای مشاوره جهت تقویت سیستم‌های امنیتی پول بدهیم ولی حاضر به پرداخت باج نیستیم که خیلی عصبانی شد و فشار زیادی روی دیتاسنتر ما آورد که خوشبختانه با همکاری دوستان  در دیتاسنتر میزبان این مساله حل
 شد.
مدیر ارشد علی‌بابا با بیان این که مدتی از حجم حملات کاسته شد گفت: یک روز از 4 صبح حملات دوباره افزایش یافت و او ساعت 5 صبح ایمیل زد که یک هفته‌ای یک سفارش دیگر داشته و درگیر بوده و حالا دوباره برگشته و با لحنی عصبی از ما خواست «گدابازی» در نیاوریم و باج را پرداخت کنیم!
وی با بیان این که پیگیری‌ها با مرکز ماهر انجام شده ولی هنوز اتفاق خارق‌العاده‌ای در مقابله با این حملات نشده است گفت: شاید اگر با کسب‌وکارهایی که دچار این حملات شده‌اند متحد شویم بتوان کاری برای مقابله با این حملات انجام داد.


 لشگر زامبی‌ها در راهند
جعفر محمدی کارشناس فناوری اطلاعات و عضو هیات مدیره سازمان نظام صنفی رایانه‌ای استان تهران نیز با تایید این که در هفته‌های گذشته شاهد حملات گسترده DDoS به برخی کسب و کارهای داخلی بوده‌ایم گفت: این حملات معمولا از خارج از کشور اتفاق می‌افتد که با استفاده از سرویس DDoS Protection بییش از 60 تا 90 درصد این حملات شناسایی می‌شود، با این حال اگر حجم حملات از سمت خارج بسیار بزرگ باشد، همان درصد باقی‌مانده هم می‌تواند دردسرساز شود.
وی ادامه داد: این حملات عمدتا از خارج از کشور انجام می‌شد چرا که اگر در داخل کشور انجام شود،  به راحتی قابل شناسایی است و با فرد مهاجم سریعا برخورد می‌شود. اما اتفاقی که اخیرا افتاده این است که حملات نه از سمت یک رنج IP مشخص که از سمت صدها هزار و شاید حتی میلیون‌ها کاربر داخلی صورت می‌گیرد و این درحالی است که خود کاربر روحش خبردار نیست که از دستگاه موبایل یا کامپیوترش برای حملات استفاده شده و خود شخص هم به نوعی قربانی است.
عضو هیات مدیره سازمان نصر با بیان این که این حجم از آلودگی موبایل‌ها اخیرا اتفاق افتاده است گفت: بات‌نت‌ها برای حمله باید در قالب نرم‌افزارهایی روی سیستم نصب شوند که کنترل دسترسی به اینترنت را داشته باشند. شواهد نشان می‌دهد با توجه به فیلتر تلگرام، تنها برنامه‌هایی که به صورت گسترده روی سیستم میلیون‌ها ایرانی نصب شده‌اند، نرم‌افزارهای دورزدن فیلترینگ و فیلترشکن‌ها هستند. به ویژه آنکه این حملات از یک دیتاسنتر مشخص و یا یک مرجع نیست و از این‌رو شناسایی حمله‌کنندگان بسیار پیچیده و تعدادشان بسیار زیاد است. 
وی با بیان این که این حملات می‌تواند به شدت گسترش یابد گفت: ممکن است دستگاه‌های زیادی الوده شده باشند ولی گروه‌های هکری هنوز دستور حمله را صادر نکرده‌اند و فعلا به صورت خاموش در دستگاه‌های کاربران حضور دارند. درواقع این دستگاه‌ها به زامبی‌هایی تبدیل شده‌اند که هر لحظه ممکن است برای حمله به یک هدف از آنها به طور گسترده استفاده شود. محمدی با بیان این که ممکن است حمله‌کنندگان از دستگاه‌های کاربران ایرانی برای حمله به یک هدف خارجی استفاده کنند گفت: در این صورت تبعات سنگین بین‌المللی در انتظار کشور خواهد بود. 
وی با بیان این که یک زمانی کارشناسان به خاطر همین تهدیدات، علیه فیلتر تلگرام موضع می‌گرفتند اما به حمایت از پیام‌رسان خارجی متهم می‌شدند گفت: با کمی آینده‌نگری قابل پیش‌بینی بود که فیلتر تلگرام چه عواقبی می‌تواند داشته باشد، اما دوستان به این تصمیم اصرار داشته و آن را عملی کردند.  اتفاقی که عمدا یا سهوا، تبعات و بحران‌های جدی می‌تواند برای فضای مجازی کشور و کسب و کارهای اینترنتی دربر داشته باشد. (منبع:فناوران)

 

در همین رابطه: استفاده گسترده از IPهای ایرانی در حملات اخیر هکری

مرکز "ماهر" در گزارشی به تحقیق و بررسی حول برنامه‌هایی که به ارائه خدمات جانبی به کاربران اینستاگرام می‌پردازند، پرداخته و در لابه‌لای گزارش خود، برآورد لو رفتن اطلاعات بیش از یک میلیون کاربر ایرانی اینستاگرام را کرده است.

به گزارش تسنیم یکی از شبکه‌های اجتماعی پرمخاطب در ایران، شبکه اشتراک عکس و ویدئوی "اینستاگرام" است و با توجه به همین امر، برنامه‌های زیادی با نام‌های "فالوئریاب"، "لایک بگیر"، "آنفالویاب" و عناوین مشابه برای ارائه خدمات جانبی به کاربران اینستاگرامی در مارکت‌های داخلی منتشر شده است.

همانطور که نام برنامه‌ها نشان می‌دهد، هدف آنها عمدتاً گرفتن فالوئر و لایک برای کاربران اینستاگرام است؛ پیش‌تر در مهر ماه سال جاری "مرکز ماهر" هشداری درباره این قبیل برنامه‌ها منتشر کرده بود اما اکنون اقدام به تکمیل آن کرده است.

در گزارش جدید این مرکز که مبتنی بر بررسی‌های فنی صورت گرفته، بیش از 200 برنامه اندرویدی که خدمات مرتبط با اینستاگرام ارائه می‌دهند از مارکت‌های داخلی جمع‌آوری و بررسی شده است.

از این میان حدود 100 برنامه برای ارائه خدمات نیاز به ورود به حساب اینستاگرام کاربر داشتند؛ در بین این برنامه‌ها بیش از 50 برنامه سارق اطلاعات کاربران شناسایی شده است.

این برنامه‌ها نام کاربری و رمز عبور اینستاگرامی کاربر را به روش‌های مختلف استخراج کرده و به سرور توسعه‌دهندگان ارسال می‌کردند؛ با توجه به آمار نصب‌های این برنامه‌ها به‌صورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامه‌ها قرار گرفته است.

بسیاری از برنامه‌های دیگر (از بین 100 برنامه) نیز باوجود اینکه به کاربران اطمینان می‌دادند که به رمز عبور آنها دسترسی ندارند اما با استفاده از روش‌هایی، رمز عبور را استخراج می‌کردند.

برای این دسته از برنامه‌ها، شواهدی از ارسال رمز عبور به سرور خود برنامه‌ها مشاهده نشده و به همین دلیل این برنامه‌ها در لیست برنامه‌های سارق به زعم مرکز ماهر قرار نگرفته‌اند.

متأسفانه از بین حدود 100 برنامه بررسی شده تقریبا نیمی از آنها سارق بودند و اکثر برنامه‌های باقیمانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج می‌کردند (هرچند شواهدی مبنی بر سرقت کامل یافت نشد) و از این نظر این برنامه‌ها در کل خطر بالایی دارند و بهتر است که فروشگاه‌های اندرویدی پیش از انتشار چنین برنامه‌هایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) بررسی دقیق‌تری داشته باشند.

در روند انتشار این گزارش، گفته شده در این تحقیق تمام برنامه‌های اندرویدی مارکت‌های داخلی بررسی نشده و فقط یک مجموعه 200 تایی از برنامه‌ها برای نمونه جمع‌آوری و تحلیل شدند؛ در نتیجه احتمالا برنامه‌های سارق دیگری نیز در مارکت‌ها حضور دارند.

بررسی 60 آنتی ویروس اندروییدی منتشر شده در مارکت های ایرانی نشان می دهد هیچ کدام از آنها از کاربران در برابر ویروس ها محافظت نمی کنند و با هدف ارسال تبلیغات برای یک میلیون کاربر شان ساخته شده اند.
فناوران - مرکز ماهر در گزارشی به بررسی آنتی ویروس های منتشر شده ویژه سیستم عامل اندرویید روی مارکت های ایرانی پرداخت. گزارشی که نشان دهنده سواستفاده از اعتماد کاربران است.
براساس این گزارش 60 آنتی ویروس با توجه به شباهت بالایی که به یکدیگر داشتند به هفت دسته تقسیم شدند. معنی این حرف این است که از 7 کد برنامه مشابه، 60 برنامه با اسامی متفاوت بیرون امده تا هرچه بیشتر کاربر جذب شود. 
نکته جالب دیگر این گزارش این است که عملکرد این آنتی ویروس ها شباهتی به عملکرد آنتی ویروس های معروف فعال در بازار ایران مانند Kaspersky، Avira و Avast ندارد. در واقع این 60 اپلیکیشن هیچ کدام عملکرد قابل قبول یک آنتی ویروس را ارایه نمی کنند و تقریبه همه چیز یک نمایش و ظاهرسازی است.
در این گزارش آمده است: برخی از یک پایگاه داده افلاین استفاده می کنند که آن را به روز رسانی نمی کنند، برخی نیز فقط موارد بسیار اولیه همچون مجوزهای برنامه ها و یا فرمت فایل های ذخیره شده روی دستگاه را بررسی می کنند که این موارد از یک برنامه با عنوان آنتی ویروس قابل قبول نیست. برخی از آنها هم اساسا کاری انجام نمی دهند و صرفا با ظاهرسازی کاربر را فریب می دهند که کار آنتی ویروس یا خنک کننده پردازنده را انجام می دهند.
مرکز ماهر در این گزارش آورده است که مجموعه این 60 آنتی ویروس یک میلیون نفر را فریب داده اند.
درواقع در این لیست اسامی چون «آنتی ویروس پیشرفته» با بیش از 200 هزار نصب و «ویروس پاک کن با امنیت بالا» با 50 هزار نصب تا «آنتی ویروس قدرتمند اریکه» با 100 نصب به چشم می خورد.
براساس گزارش مرکز ماهر تحلیل دسته های مختلف از آنتی ویروس های ایرانی منتشر شده در مارکت ها نشان می دهد که بسیاری از آنها بارها با اسامی مختلف و توسط افراد مختلف منتشر شده اند، از این رو می توان نتیجه گرفت که این برنامه ها از روی برنامه های open source ساخته شده و صرفا با تغییر آیکون منتشر شده اند. در اغلب موارد، هدف از این کار استفاده از سرویس های تبلیغاتی داخل این برنامه ها و درآمدزایی از طریق نمایش تبلیغ به کاربران است. استفاده از سرویس های تبلیغاتی مثل عدد و سرویس ارسال نوتیفیکیشن پوشه (برای ارسال تبلیغات نوتیفیکیشنی) در این برنامه ها رایج است.
نکته دیگر این که برخی از آنتی ویروس ها با کد یکسان بیش از 15 بار روی مارکت های ایرانی منتشر شده اند. متاسفانه بسیاری از این آنتی ویروس ها عملکرد درستی برای تشخیص بدافزارههای اندروییدی ندارند و همه هفت دسته ای که بررسی شدند یا کاملا بدون هیچ تحلیلی هستند و یا تحلیل بسیار ابتدایی دارند که قابل قبول نیست و نمی تواند از دستگاه  اندروییدی در برابر تهدیدات دفاع کند. 

سواستفاده جدید در پوشش استخراج ارزرمز

دوشنبه, ۳۰ مهر ۱۳۹۷، ۰۶:۱۵ ب.ظ | ۰ نظر

مرکز ماهر از افزایش چشمگیر پیام‌های فریبنده‌ در فضای مجازی با موضوع ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه خبر داد.

به گزارش خبرگزاری فارس، مرکز ماهر هشدار داد: مشاهدات اخیر حاکی از افزایش چشمگیر پیام‌های فریبنده‌ای است که در فضای مجازی برای ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه (عموما #‫بیت‌کوین) منتشر می‌شوند. این مجموعه‌ها نوعا از ساختار بازاریابی هرمی نیز استفاده می‌کنند تا از ارتباطات افراد برای افزایش گستره نفوذ خود بهره ببرند. مطالعات نشان می‌دهند که ادعاها و وعده های مطرح شده در اغلب موارد کذب بوده و این ابزارها علاوه بر احتمال آسیب زدن به سخت افزار رایانه‌ها می‌توانند سرمنشا مخاطرات جدی امنیتی باشند. به این ترتیب به کاربران و مدیران به طور جدی توصیه می‌شود که از عضویت در این شبکه ها پرهیز و ممانعت نمایند. 

بررسی‌های انجام شده نشان می‌دهد که برخلاف ادعاهای مطرح شده، از منظر اقتصادی و با توجه به انرژی الکتریکی صرف شده، انجام این کار با استفاده ازرایانه‌های معمول، حتی در صورتی که گرداننده شبکه هرمی و افراد بالادست چیزی از عایدات طلب نکنند، اقتصادی نخواهد بود. به همین دلیل در سطح جهان، انجام این امور به صورت قانونی (و نه با سرقت منابع دیگران) با تکیه بر سخت‌افزارهای خاص منظوره و با اتکا به پردازنده های گرافیکی پیشرفته انجام می‌گیرد.
ذکر این نکته حایز اهمیت است که با بیشتر شدن بار محاسباتی پردازنده‌ها برای استخراج ارزهای رمزپایه در رایانه‌های معمول و افزایش مصرف توان، دمای سیستم افزایش خواهد یافت و این خود سبب کاهش دوام دستگاه و احیانا آسیب به آن می‌شود. بنابراین حتی برای آزمایش نیز تصمیم به ورود به این شبکه‌های هرمی منطقی نیست.
همچنین اگرچه به دلیل تعدد این ابزارها فرصت تحلیل رفتاری همه آنها موجود نبوده است، اما نکته نگران‌کننده اصلی در این خصوص این است که با تکیه بر هر یک از روش های معمول برای انجام این امور به صورت هرمی ( اجرای برنامه‌های اجرایی ارایه شده یا نصب افزونه‌های معرفی شده در مرورگرهای وب) کاربر و شبکه میزبان او در معرض دسترسی فراهم آورنده این ابزارها یا سایر مهاجمین قرار می‌گیرند و این خود می‌تواند سرآغاز حملات جدی‌تر باشد. 
در خصوص کاربرانی که مالک رایانه یا بستر شبکه متصل به آن نیستند، عضویت در این شبکه‌های هرمی می‌تواند توام با جرایمی چون سوء استفاده از منابع عمومی یا خیانت در امانت نیز باشد.
به این ترتیب به کاربران و مدیران، مجددا توصیه اکید می‌شود که از ورود به این شبکه‌ها و نصب ابزارهای مرتبط با آنها پرهیز و ممانعت جدی به عمل آورند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به انتشار باج افزار خطرناک در کانالهای تلگرامی فارسی زبان هشدار داد.

مرکز ماهر با اشاره به انتشار باج افزار «Cybersccp» در کانال های تلگرامی فارسی زبان اعلام کرد: مشاهدات اخیر در فضای سایبری کشور مخصوصاً در پیام‌رسان تلگرام، حاکی از آن است که یک باج‌افزار از خانواده خطرناک شناخته شده HiddenTear با نام Cyber.exe در پوشش برنامه‌ای کاربردی با ادعای ساخت تصویر جعلی کارت ملی، کارت بانکی، شناسنامه و پاسپورت در حال انتشار است.

این باج افزار با پیامی به شرح زیر در حال انتشار است:

قربانیان که عموماً افراد مبتدی و با انگیزه جعل هویت هستند، پس از دریافت فایل Cyber.exe با حجم ۱.۴۲ مگابایت و اجرای آن بروی رایانه خود در محیط سیستم عامل ویندوز در معرض حمله باج افزاری قرار می گیرند.

بررسیها نشان می دهد که باج افزار مورد اشاره،تمام فایلهای موجود روی دسکتاپ قربانی را رمزگذاری کرده وپس از رمزگذاری، به ابتدای فایلها، عبارت Lock.اضافه می‌کند.حتی میانبرهای نرم‌افزارها نیز پس از حمله باج افزار، قابل اجرا نخواهند بود.سپس با تغییر پس زمینه دسکتاپ دو فایل به نامهای Lock.Cyber.exe وLock.desktop.ini نیز روی دسکتاپ ایجاد می کند.

باج افزار برای رمزگشایی فایلها، از قربانیان طلب ۰.۰۳ بیت کوین باج می‌کند.

به گزارش مهر مرکزماهر موکداً به کاربران در فضای مجازی متذکر می شود که از دریافت و اجرای فایلهای اجرایی از منابع ناشناخته پرهیز کنند؛ همچنین یادآور می‌شود که بر اساس قانون جرایم رایانه ای مصوب ۱۱ بهمن ۸۹ مجلس شورای اسلامی، هریک از فعالیتهای مورد ادعا در پوشش انگیزشی این بدافزار، جرایمی جدی بوده و مورد تعقیب قضایی قرار خواهد گرفت.

مرکز ماهر اعلام کرد: ساختار حملات باج افزاری به گونه ای است که با وجود رعایت تمام تمهیدات، در حال حاضر موثرترین راهکار پیشگیری، تهیه منظم نسخه پشتیبان از اطلاعات و نگهداری آنها بصورت آفلاین است

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات از کشف خانواده جدیدی از بدافزارهای جاسوسی خبر داده که از پروتکل اپلیکیشن تلگرام در سیستم عامل اندروید، سوءاستفاده می‌کند.

به گزارش خبرنگار مهر، خانواده جدیدی از RATها در بستر سیستم‌عامل اندروید پا به عرصه ظهور گذاشته‌اند که رفتاری تهاجمی داشته و با سوءاستفاده از پروتکل برنامه کاربردی تلگرام اقدام به تبادل داده با سرورهای C&C خود می‌کنند.

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات در این باره اعلام کرد: مهاجمان نوع جدیدی از RATهای اندرویدی را از طریق فروشگاه‌های اپلیکیشن (برنامه‌کاربردی) شخص ثالث، رسانه‌های اجتماعی و برنامه‌های پیام‌رسان توزیع کرده‌اند که نکته مهم در خصوص این نوع حمله تمرکز روی کاربران ایرانی است.

مطابق با این اعلام، مهاجمان برنامه آلوده خود را در قالب تکنیک‌های مهندسی اجتماعی نظیر برنامه‌های کاربردی دریافت ارز دیجیتال رایگان (بیت‌کوین)، اینترنت رایگان و افزایش دنبال‌کنندگان (Followers) در شبکه‌های اجتماعی اقدام به توزیع این RAT کرده اند.

این بدافزار در تمامی نسخه‌های سیستم‌عامل اندروید قابل اجرا ‌است.

محققان امنیتی موسسه ESET نیز با تایید شناسایی این خانواده جدید از بدافزار جاسوسی، عنوان کرده اند که این بدافزار از اکتبر سال ۲۰۱۷ میلادی انتشار یافته‌ و در تاریخ مارس سال ۲۰۱۸ کد منبع آن به‌صورت کاملا رایگان در کانال‌های هک پیام‌رسان تلگرام در دسترس عموم قرار داده شده است.

زمانی که برنامه آلوده نصب می‌شود با استفاده از تکنیک‌های مهندسی اجتماعی اقدام به دریافت مجوزهای مدیریتی می‌کند و پس از اتمام فرآیند نصب، یک پیغام جعلی با مضمون «برنامه قادر به اجرا روی دستگاه مورد نظر شما نیست» و در ظاهر پیغام «پایان مراحل پاک‌کردن» به صورت popup برای قربانی نمایش داده می‌شود.

نکته مهم در خصوص این بدافزار این است که پیغام پاک کردن برنامه نصب شده صرفا اقدام به حذف آیکون می‌کند و برنامه مخرب همچنان در دستگاه قربانی باقی خواهد ماند و بدین ترتیب دستگاه مورد نظر در سرور مهاجمان ثبت می‌شود.

این بدافزار شامل گستره وسیعی از قابلیت‌ها نظیر جاسوسی و استخراج فایل‌ها، شنود و رهگیری پیام‌های متنی و لیست مخاطبان، ارسال پیام متنی و برقراری تماس، ضبط صدا و تصویربرداری از صفحه نمایش، موقعیت جغرافیایی دستگاه و کنترل تنظیمات دستگاه است. 

این RAT که با نام HeroRat شناخته شده‌است به دسته‌های مختلفی نظیر پنل‌های برنزی (معادل ۲۵ دلار آمریکا)، نقره‌ای (۵۰ دلار آمریکا) و طلایی (۱۰۰ دلار آمریکا) تقسیم شده و کد منبع آن به قیمت ۶۰۰ دلار آمریکا به فروش رسیده است.

این بدافزار توسط ثابت افزار Xamarin توسعه داده شده است.

مهاجم با استفاده از قابلیت‌های Telegram bot اقدام به کنترل دستگاه آلوده می‌کند. به‌عنوان مثال، مهاجم می‌تواند دستگاه قربانی خود را به سادگی فشردن دکمه‌های تعبیه شده در نسخه‌ بدافزار، تحت کنترل خود در آورد.

این جاسوس افزار تبادل اطلاعات بین سرور C&C و داده‌های استخراج شده را به منظور جلوگیری از رصد ترافیک شبکه از طریق پروتکل تلگرام انجام می‌دهد.

توصیه های امنیتی برای پیشگیری از آلودگی به این بدافزار و سایر بدافزارهای مشابه

- نسبت به تفویض مجوزهای درخواستی توسط برنامه‌های کاربردی دقت لازم را داشته باشید.

- برنامه‌های کاربردی خود را از منابع و فروشگاه‌های معتبر دریافت کنید.

- نسخه سیستم‌عامل خود را به‌روز نگاه دارید.

- از ابزارهای رمزنگاری داده در دستگاه خود استفاده کنید.

- از داده‌های مهم خود پشتیبان تهیه کنید.

- یک برنامه ضد بدافزار در دستگاه خود نصب کنید.

منابع اعتباری طرح‌های ساخت ماهواره تامین شد

يكشنبه, ۱۳ خرداد ۱۳۹۷، ۰۲:۳۶ ب.ظ | ۰ نظر

رئیس سازمان فضایی ایران به پیشرفت طرح های ساخت ماهواره های بومی در این سازمان اشاره کرد و گفت: منابع اعتباری مورد نیاز این طرح ها برای امسال تامین شده است.

به گزارش ایرنا ازسازمان فضایی ایران، مرتضی براری روز یکشنبه در بازدید از برخی پروژه های طراحی و ساخت ماهواره های بومی افزود: اکنون چندین طرح ماهواره ای در دستور کار مراکز دانشگاهی و پژوهشی کشور قرار دارد که امید می رود امسال با تداوم روند کنونی پیشرفت کار، شاهد اتمام برخی از این طرح ها بوده و بقیه نیز در ابتدای سال آتی به پایان برسند.
وی ادامه داد: طرح های جدیدی نیز با توجه به برنامه راهبردی تدوین شده برای توسعه ماهواره های بومی تا افق چشم انداز 1404، برای امسال و سال های آتی تعریف و اجرایی خواهد شد تا در افق چشم انداز، شاهد تامین بخش عمده ای از نیازهای فضایی کشور از طریق ماهواره های بومی باشیم.
معاون وزیر ارتباطات با تاکید بر این نکته که روند کنونی اجرای طرح های ماهواره ای مورد رصد و پایش دایمی این سازمان است و روند کنونی پیشرفت کار می تواند جبران کننده بخشی از عقب ماندگی در این بخش باشد، یادآور شد: موضوع ساخت ماهواره های بومی به عنوان اولویت نخست برنامه توسعه فضایی کشور مد نظر سازمان فضایی و وزارت ارتباطات است.
براری با تاکید بر اینکه توسعه فناوری فضایی و تامین زیرساخت های مورد نیاز این بخش با جدیت در دستور کار سازمان فضایی قرار دارد، اظهار داشت: اکنون روند توسعه ماهواره های بومی کشور نه تنها در سطح دانشگاه ها و مراکز پژوهشی مجری پروژه ها جریان دارد،‌ بلکه این فعالیت ها منجر به شکل گیری طیف گسترده ای از شرکت های دانش بنیان شده که در امر طراحی و ساخت اجزا و نشانه های مورد استفاده در ماهواره ها فعالیت می کنند.
رئیس سازمان فضایی عنوان کرد: برخی از این شرکت ها محصولات خود را از مرحله تحقیق و توسعه گذرانده و وارد مرحله تجاری کرده اند که اقدامی حائز اهمیت است و سازمان فضایی ایران نیز از تجاری سازی محصولات دانش بنیان در این بخش حمایت می کند.
مرتضی براری بیست و ششم بهمن ماه پارسال گفت: سه نوع ماهواره در کشور مراحل توسعه و ساخت را طی می کند؛ دسته اول ماهواره های مخابراتی است که با ساخت ماهواره مصباح و پرتاب ماهواره امید، این خانواده شکل گرفته و با ماهواره های ناهید1 و ناهید2 در حال توسعه است.
رییس سازمان فضایی ایران افزود: گروه دوم، ماهواره های سنجشی است که فعالیت های تحقیقاتی آن با ساخت و پرتاب ماهواره های رصد، نوید و تدبیر با وضوح تصویر (رزولوشن) در سطح چند صد متر آغاز شده و اکنون با پروژه های دوستی، پیام، ظفر و سها که رزولوشنی چند ده متری دارند، ادامه می یابد.
به گفته براری، این پروژه ها تشکیل دهنده مراحل توسعه برای دستیابی به ماهواره های عملیاتی بوده و گام به گام کشور را به این قابلیت ها در عرصه فضایی نزدیک تر می کند.
وی اضافه کرد: دسته سوم نیز ماهواره های مکعبی و کوچک است که علاوه بر ایجاد بستر تجربه آموزی و آموزش نیروی انسانی متخصص، در آینده می تواند سرمنشاء تحولات جدی در این عرصه باشد.
براری ابراز امیدواری کرد که با توجه به برنامه ریزی های صورت گرفته و تلاش و همت مضاعف کارشناسان و متخصصان کشور، تا افق چشم انداز 1404 شاهد دستیابی کشور به ماهواره های حرفه ای و عملیاتی بومی باشیم.
به گزارش ایرنا، رئیس سازمان فضایی ایران ابتدای امسال اعلام کرد: برنامه توسعه فناوری فضایی کشور برای توسعه خدمات به شهروندان در دستور کار جدی این سازمان قرار دارد و از امسال اجرایی می شود.
وی افزود: یکی از خدماتی که امروز مردم ایران از آن بهره مند هستند، اما شاید اطلاع دقیق از خدمات بخش فضایی کشور ندارند، موضوع مخابرات ماهواره ای است؛ اکنون کشور با در اختیار داشتن ماهواره مخابراتی «ایرانست-21» خدمات متعددی به عموم مردم ارائه می دهد.

مرکز ماهر: فیلترشکن «جت فیلتر» را نصب نکنید

دوشنبه, ۷ خرداد ۱۳۹۷، ۰۲:۱۸ ب.ظ | ۰ نظر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای نسبت به انتشار بدافزارهای عبور از فیلترینگ تلگرام هشدار داد و اعلام کرد که این ویروسهای مخرب با هدف سوءاستفاده از کاربر، رواج یافته اند.

به گزارش خبرنگار مهر، پس از فیلتر شدن تلگرام بدافزارهای مختلفی تحت عنوان «تلگرام بدون فیلتر»، «فیلترشکن تلگرام» و غیره در فضای مجازی منتشر شده اند. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با بررسی این برنامه ها هشدار داد که این برنامه های نرم افزاری مخرب با فریب کاربر، اقدام به سوء استفاده از اطلاعات کاربر و یا استخراج ارز دیجیتال می کنند.

در این راستا این مرکز با بررسی فنی ۲ بدافزار «فیلترشکن تلگرام» و «جت فیلتر» اعلام کرد: برنامه «فیلترشکن تلگرام» از جمله برنامه‌های آماده‌ ای است که با توجه به کد آن، در مقاطع مختلف زمانی با عناوین مختلفی و برای سوءاستفاده‌های مختلف منتشر می‌شود. این برنامه توسط ۱۲ ضدویروس به عنوان بدافزار تشخیص داده شده است. این برنامه در تبلیغات گسترده در سطح تلگرام منتشر شده که نمونه ای از آن ۱۳۸ هزار بازدید داشته است.

این برنامه پس از نصب توسط کاربر مخفی شده و دستورات مخرب مختلفی (نصب بدافزار،عضویت در چند سامانه پیامکی و ...) را از طریق برنامه‌های پوش نوتیفیکیشن دریافت می‌کند.

بررسی ها نشان می دهد که نحوه استفاده مخرب این بدافزار از سرویسهای پوش نوتیفیکیشن این است که این برنامه قادر است هر برنامه یا بدافزار دیگری را نیز روی دستگاه کاربر نصب کند.

در همین حال برنامه «جت فیلتر» نیز یکی از بدافزارهایی است که اخیرا با توجه به فیلتر شدن تلگرام، در حال انتشار در کانالهای تلگرامی است. نام این برنامه درواقع Android System Web View است که پس از نصب با نام MainActivity روی دستگاه قرار می گیرد.

این بدافزار بدون آنکه کاربر متوجه شود، در پس زمینه اقدام به استخراج ارز دیجیتال مونرو کرده و از توانایی دستگاه سوءاستفاده می کند. متاسفانه در دستگاه موبایل همانند کامپیوتر، کاربر متوجه تغییرات ایجاد شده یا کندی نمی شود و احتمال اینکه متوجه این سوءاستفاده شود بسیار پایین است.

جزئیات بررسی فنی این دو ویروس مخرب در سایت مرکز ماهر وجود دارد.

بدافزار VPNFilter از ایران قربانی نگرفته است

يكشنبه, ۶ خرداد ۱۳۹۷، ۱۰:۱۸ ق.ظ | ۰ نظر

ایران با وجود انتشار بد افزار جدید وی.پی.ان فیلتر در سطح جهانی، بنا به اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای هنوز قربانی آن نشده است اما احتمال آلوده شدن به این نرم افزار مخرب وجود دارد.

به گزارش سازمان فناوری اطلاعات ایران، گزارش‌های جهانی حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی داشته‌است و این عدد نیز افزایش خواهد داشت.
گزارش سازمان فناوری اطلاعات ایران نشان می دهد تجهیزات و دستگاه‌های مدل های های مختلف شامل Linksys ،Mikrotik ، NETGEAR و TP-Link و همچنین تجهیزات ذخیره‌سازی QNAP در صورت بروز رسانی نشدن، مستعد آلودگی به این بدافزار هستند.
سازمان فناوری اطلاعات اعلام کرد: با توجه به استفاده‌ بالای مدل های های پیش گفته در کشور، ارائه دهندگان سرویسها، مدیران شبکه‌ها و کاربران نسبت به جلوگیری از آلودگی و ایمن‌سازی، اقدام های لازم را به عمل آورند.
براساس این گزارش، نوع دستگاه‌های آلوده به این بد‌افزار بیشتر از نوع دستگاه‌های بک بون (Backbone) هستند و قربانیان اصلی این بد‌افزار، کاربران و شرکت‌های رساننده خدمات اینترنتی«آی.اس.پی»( ISP )کوچک و متوسط است.
«بک بون» خطوط ارتباطی اینترنت در فواصل زیاد است که برای وصل شدن به خطوط با ظرفیت کمتر طراحی شده اند.

*تشریح عملکرد بدافزار
وی.پی.ان فیلتر(VPNFilter) یک بدافزار چند مرحله ای است که توانایی جمع‌آوری داده از دستگاه‌ قربانی و انجام حملات مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می‌آورد و بر خلاف بسیاری از بد‌افزارها روی دستگاه‌های آی.او.تی اینترنت اشیا (IOT) که با راه‌اندازی مجدد دستگاه از بین می‌روند، این بد‌افزار با راه‌اندازی مجدد از میان نخواهد رفت. هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است.
در مرحله اول، دستورات مختلف و گاهی تکراری برای استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه می‌شود. در این مرحله آدرس آی پی (IP) دستگاه برای استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار می‌گیرد.

*شناسایی قربانیان
سازمان فناوری اطلاعات اعلام کرد: بر اساس بررسی‌های انجام شده توسط آزمایشگاه‌ها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در همه مناطق فعال بوده است.
دستگاه‌های قربانیان پس از آلودگی شروع به پویش روی درگاه‌های23, 80, 2000 و 8080 پروتکل تی.سی.پی(TCP) می‌کنند و از این طریق قابل شناسایی است؛ دستگاه‌هایی که مداوم این 4 پورت را پایش می‌کنند مشکوک به آلودگی هستند.

* مقابله با آلودگی
گزارش سازمان فناوری اطلاعات تاکید دارد: به خاطر ماهیت دستگاه‌های آلوده شده و هم به سبب نوع آلودگی چندمرحله‌ای که امکان پاک کردن آن ‌را دشوار می‌کند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است؛ مشکل از آنجا آغاز می‌شود که بیشتر این دستگاه‌ها بدون هیچ دیواره‌ آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاه‌های آلوده شده دارای قابلیت‌های ضد ‌بد‌افزار داخلی نیز نیستند.
بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه‌ پژوهشی تالوس(Talos) حدود 100 امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که می‌تواند برای جلوگیری از انتشار این آلودگی به دستگاه‌های شناخته ‌شده مورد استفاده قرار گیرد.
بر اساس این گزارش، به کاربران پیشنهاد می شود که در صورت آلودگی، بازگردانی تنظیمات به حالت پیش‌فرض کارخانه منجر به حذف کدهای غیرمقیم می‌شود.
همچنین باید میان ‌افزارها و برخی تجهیزات به روز رسانی شوند و شرکت‌های ارائه دهنده‌ سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدام های لازم را اطلاع رسانی کنند.
این گزارش حاکیست، وی.پی.ان فیلتر یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به‌ کارگیری منابع قربانی است که به شدت در حال رشد است. این بد‌افزار ساختاری پیمانه‌ای دارد که به آن امکان افزودن قابلیت‌های جدید و سوء استفاده از ابزارهای کاربران را فراهم می‌کند. با توجه به استفاده بسیار زیاد از دستگاه‌هایی مورد حمله و دستگاه‌های اینترنت اشیا (IOT) بی توجهی به این تهدید ممکن است منجر به اختلال فلج کننده در بخش‌هایی از سرویس‌ها و خدمات شود.
در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه‌های متصل به اینترنت کشور بوده و هزینه بسیار زیاد برای تجهیز مجدد این دستگاه‌ها تحمیل می کند.
سازمان فناوری اطلاعات تاکید دارد که این بدافزار به راحتی قابل پاک کردن از دستگاه‌های آلوده نیست.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای بار دیگر با اعلام اطلاعیه ای، در مورد افزایش شدت حملات سایبری به سرورهای ایمیل در کشور، توضیح داد.

مرکز ماهر اول خردادماه با اعلام گزارشی نسبت به افزایش شدید حمله به سرویس دهنده‌های ایمیل سازمانی هشدار داد و توصیه کرد که مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند. همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد.

در این زمینه این مرکز بار دیگر توضیحات جدیدی به هشدار قبلی اضافه و اعلام کرد: ایمیل سرورهای مورد استفاده در سطح سازمان‌ها و شرکت‌ها در کشور از نظر نرم‌افزار و نحوه پیاده سازی بسیار متنوع هستند و نمی‌توان به سادگی ادعا کرد که اکثر سرویس دهنده‌ها متصل به active directory یا directory service های دیگر هستند.

در اطلاعیه منتشر شده اشاره‌ای به جزئیات و چگونگی پیاده سازی قابلیت Lockout‌ نشده است. در توصیه ارائه شده نیز منظور مسدود سازی دسترسی از طریق حساب ایمیل است. بدیهی است مدیران سیستم لازم است تنظیمات و توصیه‌های دریافتی را با مطابقت با نیازمندی‌ها و شرایط زیرساخت خود بکار ببندند.

متاسفانه همه سرویس دهنده‌های ایمیل مورد استفاده، قابلیت شناسایی و مسدودسازی آدرس های با تلاش ناموفق را ندارند. علاوه بر این با توجه به دسترسی مهاجمان به شبکه های بزرگ بات و IPهای متعدد با سوءاستفاده از این ظرفیت، مهاجم می تواند حمله brute force خود را با آدرس های متعدد ادامه دهد.

در هر صورت بدون شک تمام کاربران ترجیح خواهند داد حساب کاربری آنها در صورت وقوع حمله موقتا مسدود شود تا اینکه مورد نفوذ و سوءاستفاده‌ مهاجم قرار گیرد.

لازم است مدیران سیستم ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجه با اختلالات مشابه موضوع را به اطلاع مرکز ماهر برسانند.

به گزارش مهر، گفته شده است که حملات سایبری کشف شده از نفوذ به ایمیل سرورها در قالب brute force روی رمز عبور از طریق پروتکل‌های imap و pop۳ و نیز حمله DOS‌ از طریق ارسال دستورات پی‌درپی imap و pop۳ صورت می‌گیرد.

مرکز ماهر با اعلام گزارشی فوری در خصوص شناسایی حملات سایبری به سرویس دهنده های ایمیل سازمانی در کشور هشدار داد.

این مرکز اعلام کرد: پیرو گزارشات واصله از سطح کشور،‌ حملات به سمت سرویس دهنده‌های ‫ایمیل سازمانی افزایش شدیدی داشته است. این حملات در قالب brute force روی رمز عبور از طریق پروتکل‌های imap و pop۳ و نیز حمله DOS‌ از طریق ارسال دستورات پی‌درپی imap و pop۳ صورت می‌گیرد.

حملات فوق الذکر عمدتا از بلوک IP آدرس‌های زیر رصد شده است:

۹۲.۶۳.۱۹۳.۰/۲۴
۵.۱۸۸.۹.۰/۲۴

مرکز ماهر اکیدا توصیه کرده که مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند.

همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور موفق (account lockout) فعال باشد.

لازم است مدیران سیستم های سازمانی، ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجهه با اختلالات مشابه موضوع را به اطلاع مرکز ماهر برسانند.

کشف ابزار جاسوسی از گوشی‌های موبایل در ایران

دوشنبه, ۳۱ ارديبهشت ۱۳۹۷، ۰۲:۴۷ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری از کشف دو ابزار جاسوسی برای دستگاه‌های اندرویدی و IOS خبر داد.

به گزارش خبرگزاری مهر، مرکز مدیریت راهبردی افتا اعلام کرد؛ بر اساس گزارش منتشر شده توسط Lookout Security مجموعه‌ای از ابزارهای جاسوسی مبتنی بر سیستم‌عامل اندروید و iOS تحت عنوان Stealth Mango و Tangelo کشف شده ‌است که این ابزارها بخشی از کمپین هدفمند جمع‌آوری اطلاعات هستند.

تحقیقات نشان می‌دهد عاملان این تهدید با استفاده از ابزارهای جاسوسی از دستگاه‌های موبایل مقامات دولتی، سران نظامی، پزشکان متخصص و شهروندان سوءاستفاده کرده‌اند.

تا به امروز شواهد نشان می‌دهد Stealth Mango کشورهای پاکستان، افغانستان، هندوستان، عراق، ایران و امارات متحده عربی را هدف قرار داده‌است. این ابزارها همچنین اقدام به بازیابی داده‌های حساس از اشخاص و گروه‌هایی در آمریکا، استرالیا و انگلستان کرده است.

با بررسی بیش از ۱۵ گیگابایت از داده‌های به‌دست آمده از دستگاه‌های آلوده مشخص شد که اطلاعات جمع‌آوری شده توسط این ابزارهای جاسوسی شامل مواردی از جمله نامه‌ها و ارتباطات دولتی درون سازمانی، جزئیاتی از اطلاعات سفر، تصاویری از اطلاعات هویتی و پاسپورت، اطلاعات مربوط به GPS دستگاه و تصاویر، اسناد پزشکی و قانونی و تصاویر از جلسات مقامات نظامی، دولتی و وابستگان دولتی از جمله کارکنان نظامی آمریکا می‌شوند.

مرکز مدیریت راهبردی افتا تاکید کرد: باید به این نکته توجه داشت که اطلاعات دقیقی از زمان گسترش Stealth Mango وجود ندارد اما براساس شواهد موجود، آخرین نسخه توسعه‌ داده شده در آوریل ۲۰۱۸ منتشر شده‌است.

گفتنی است که مهاجمان از طریق پیام‌های فیشینگ در فیسبوک اقدام به تشویق کاربران برای دانلود و نصب برنامه جاسوسی می کند. به عنوان مثال در یک سناریو از حمله یک کاربر جعلی پس از برقراری ارتباط با افراد، پیشنهادی مبنی بر برقراری تماس تصویری به کاربران می‌دهد و در همین راستا لینکی را برای قربانیان ارسال می کند.

به بیانی دیگر پس از نصب برنامه کاربردی پیشنهادی، بدافزار جاسوسی روی دستگاه قربانی مستقر می‌شود.  همچنین دسترسی فیزیکی به عنوان یکی دیگر از راه‌های آلوده‌سازی دستگاه‌ها به این بدافزار اعلام شده است.

در جدول زیر فهرستی از نام برنامه‌های کاربردی مخرب به همراه نام بسته آن‌ها مشاهده می‌شود.

اطلاعیه مرکز ماهر درباره تشدید یک حمله باج‌افزاری

سه شنبه, ۲۵ ارديبهشت ۱۳۹۷، ۱۰:۲۷ ق.ظ | ۰ نظر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به تشدید حملات باج افزاری از طریق پروتکل دسترسی از راه دور (RDP) در سازمانها و مراکز اداری هشدار داد.

مرکز ماهر در اطلاعیه ای اعلام کرد: درخواست های متعدد امداد از مرکز ماهر و تحلیل حوادث بوجود آمده در بعضی از سازمان ها در روزهای اخیر نشان داده است حملات باج‌افزاری از طریق نفوذ به سرویس پروتکل دسترسی از راه دور یا همان پروتکل RDP به شکل روز افزونی در حال افزایش است.

متاسفانه مشاهده می‌شود که در بعضی از سازمان‌ها و شرکت‌ها، هنوز حفاظت کافی در استفاده از پروتکل RDP انجام نگرفته است.قربانیان این حمله معمولا مراکزی هستند که برای ایجاد دسترسی به منظور دریافت پشتیبانی برای نرم‌افزارهای اتوماسیون (اداری، مالی، کتابخانه، آموزشی و ...) از این روش استفاده می کنند.

بررسی الگوی این حملات و مشاهدات بعمل آمده در امداد به ۲۴ مورد از رخدادهای باج‌افزاری اخیر که توسط پروتکل مذکور صورت گرفته است، نشان می دهد خسارت ناشی از آنها، بدون احتساب مبالغ احتمالی باج پرداخت شده توسط بعضی از قربانیان، به طور میانگین حدود ۹۰۰ میلیون ریال برای هر رخداد بوده است.

مرکز ماهر به کلیه سازمان‌ها، شرکت‌ها و مخصوصا مجموعه‌های پشتیبانی نرم‌افزارها توصیه اکید کرد که استفاده از سرویسRDP بر بستر اینترنت بسیار پر مخاطره بوده و راه را برای انجام بسیاری از حملات، مخصوصا حملات باج‌افزاری هموار می‌کند.

براین اساس پیشنهاد شده است که اقدامات زیر جهت پیشگیری از وقوع این حملات به صورت فوری در دستور کار مدیران فناوری اطلاعات سازمان ها و شرکت ها قرار گیرد.

۱- با توجه به ماهیت پروتکل RDP اکیداً توصیه می شود که این پروتکل بصورت امن و کنترل شده استفاده شود، مانند ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات؛ همچنین توصیه می شود از قرار دادن آدرس IP عمومی به صورت مستقیم روی سرویس دهنده ها خودداری شود.

۲- تهیه منظم نسخه های پشتیبان از اطلاعات روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله  و نگهداری اطلاعات پشتیبان بصورت غیر برخط.

۳- اجبار به انتخاب رمز عبور سخت و تغییر دوره ای آن توسط مدیران سیستمها.

۴- محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم.

۵- هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.

۶- توجه و بررسی فهرست کاربران سیستم ها و سطح دسترسی آنها.

۷- توصیه می‌شود در صورت بروز این حمله در سازمانها، مدیران فناوری اطلاعات ضمن اجتناب در پرداخت باج درخواستی سریعا با مرکز ماهر تماس گرفته شود.