ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۵۵ مطلب با کلمه‌ی کلیدی «مرکز ماهر» ثبت شده است

تحلیل


مرکز "ماهر" در گزارشی به تحقیق و بررسی حول برنامه‌هایی که به ارائه خدمات جانبی به کاربران اینستاگرام می‌پردازند، پرداخته و در لابه‌لای گزارش خود، برآورد لو رفتن اطلاعات بیش از یک میلیون کاربر ایرانی اینستاگرام را کرده است.

به گزارش تسنیم یکی از شبکه‌های اجتماعی پرمخاطب در ایران، شبکه اشتراک عکس و ویدئوی "اینستاگرام" است و با توجه به همین امر، برنامه‌های زیادی با نام‌های "فالوئریاب"، "لایک بگیر"، "آنفالویاب" و عناوین مشابه برای ارائه خدمات جانبی به کاربران اینستاگرامی در مارکت‌های داخلی منتشر شده است.

همانطور که نام برنامه‌ها نشان می‌دهد، هدف آنها عمدتاً گرفتن فالوئر و لایک برای کاربران اینستاگرام است؛ پیش‌تر در مهر ماه سال جاری "مرکز ماهر" هشداری درباره این قبیل برنامه‌ها منتشر کرده بود اما اکنون اقدام به تکمیل آن کرده است.

در گزارش جدید این مرکز که مبتنی بر بررسی‌های فنی صورت گرفته، بیش از 200 برنامه اندرویدی که خدمات مرتبط با اینستاگرام ارائه می‌دهند از مارکت‌های داخلی جمع‌آوری و بررسی شده است.

از این میان حدود 100 برنامه برای ارائه خدمات نیاز به ورود به حساب اینستاگرام کاربر داشتند؛ در بین این برنامه‌ها بیش از 50 برنامه سارق اطلاعات کاربران شناسایی شده است.

این برنامه‌ها نام کاربری و رمز عبور اینستاگرامی کاربر را به روش‌های مختلف استخراج کرده و به سرور توسعه‌دهندگان ارسال می‌کردند؛ با توجه به آمار نصب‌های این برنامه‌ها به‌صورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامه‌ها قرار گرفته است.

بسیاری از برنامه‌های دیگر (از بین 100 برنامه) نیز باوجود اینکه به کاربران اطمینان می‌دادند که به رمز عبور آنها دسترسی ندارند اما با استفاده از روش‌هایی، رمز عبور را استخراج می‌کردند.

برای این دسته از برنامه‌ها، شواهدی از ارسال رمز عبور به سرور خود برنامه‌ها مشاهده نشده و به همین دلیل این برنامه‌ها در لیست برنامه‌های سارق به زعم مرکز ماهر قرار نگرفته‌اند.

متأسفانه از بین حدود 100 برنامه بررسی شده تقریبا نیمی از آنها سارق بودند و اکثر برنامه‌های باقیمانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج می‌کردند (هرچند شواهدی مبنی بر سرقت کامل یافت نشد) و از این نظر این برنامه‌ها در کل خطر بالایی دارند و بهتر است که فروشگاه‌های اندرویدی پیش از انتشار چنین برنامه‌هایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) بررسی دقیق‌تری داشته باشند.

در روند انتشار این گزارش، گفته شده در این تحقیق تمام برنامه‌های اندرویدی مارکت‌های داخلی بررسی نشده و فقط یک مجموعه 200 تایی از برنامه‌ها برای نمونه جمع‌آوری و تحلیل شدند؛ در نتیجه احتمالا برنامه‌های سارق دیگری نیز در مارکت‌ها حضور دارند.

بررسی 60 آنتی ویروس اندروییدی منتشر شده در مارکت های ایرانی نشان می دهد هیچ کدام از آنها از کاربران در برابر ویروس ها محافظت نمی کنند و با هدف ارسال تبلیغات برای یک میلیون کاربر شان ساخته شده اند.
فناوران - مرکز ماهر در گزارشی به بررسی آنتی ویروس های منتشر شده ویژه سیستم عامل اندرویید روی مارکت های ایرانی پرداخت. گزارشی که نشان دهنده سواستفاده از اعتماد کاربران است.
براساس این گزارش 60 آنتی ویروس با توجه به شباهت بالایی که به یکدیگر داشتند به هفت دسته تقسیم شدند. معنی این حرف این است که از 7 کد برنامه مشابه، 60 برنامه با اسامی متفاوت بیرون امده تا هرچه بیشتر کاربر جذب شود. 
نکته جالب دیگر این گزارش این است که عملکرد این آنتی ویروس ها شباهتی به عملکرد آنتی ویروس های معروف فعال در بازار ایران مانند Kaspersky، Avira و Avast ندارد. در واقع این 60 اپلیکیشن هیچ کدام عملکرد قابل قبول یک آنتی ویروس را ارایه نمی کنند و تقریبه همه چیز یک نمایش و ظاهرسازی است.
در این گزارش آمده است: برخی از یک پایگاه داده افلاین استفاده می کنند که آن را به روز رسانی نمی کنند، برخی نیز فقط موارد بسیار اولیه همچون مجوزهای برنامه ها و یا فرمت فایل های ذخیره شده روی دستگاه را بررسی می کنند که این موارد از یک برنامه با عنوان آنتی ویروس قابل قبول نیست. برخی از آنها هم اساسا کاری انجام نمی دهند و صرفا با ظاهرسازی کاربر را فریب می دهند که کار آنتی ویروس یا خنک کننده پردازنده را انجام می دهند.
مرکز ماهر در این گزارش آورده است که مجموعه این 60 آنتی ویروس یک میلیون نفر را فریب داده اند.
درواقع در این لیست اسامی چون «آنتی ویروس پیشرفته» با بیش از 200 هزار نصب و «ویروس پاک کن با امنیت بالا» با 50 هزار نصب تا «آنتی ویروس قدرتمند اریکه» با 100 نصب به چشم می خورد.
براساس گزارش مرکز ماهر تحلیل دسته های مختلف از آنتی ویروس های ایرانی منتشر شده در مارکت ها نشان می دهد که بسیاری از آنها بارها با اسامی مختلف و توسط افراد مختلف منتشر شده اند، از این رو می توان نتیجه گرفت که این برنامه ها از روی برنامه های open source ساخته شده و صرفا با تغییر آیکون منتشر شده اند. در اغلب موارد، هدف از این کار استفاده از سرویس های تبلیغاتی داخل این برنامه ها و درآمدزایی از طریق نمایش تبلیغ به کاربران است. استفاده از سرویس های تبلیغاتی مثل عدد و سرویس ارسال نوتیفیکیشن پوشه (برای ارسال تبلیغات نوتیفیکیشنی) در این برنامه ها رایج است.
نکته دیگر این که برخی از آنتی ویروس ها با کد یکسان بیش از 15 بار روی مارکت های ایرانی منتشر شده اند. متاسفانه بسیاری از این آنتی ویروس ها عملکرد درستی برای تشخیص بدافزارههای اندروییدی ندارند و همه هفت دسته ای که بررسی شدند یا کاملا بدون هیچ تحلیلی هستند و یا تحلیل بسیار ابتدایی دارند که قابل قبول نیست و نمی تواند از دستگاه  اندروییدی در برابر تهدیدات دفاع کند. 

سواستفاده جدید در پوشش استخراج ارزرمز

دوشنبه, ۳۰ مهر ۱۳۹۷، ۰۶:۱۵ ب.ظ | ۰ نظر

مرکز ماهر از افزایش چشمگیر پیام‌های فریبنده‌ در فضای مجازی با موضوع ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه خبر داد.

به گزارش خبرگزاری فارس، مرکز ماهر هشدار داد: مشاهدات اخیر حاکی از افزایش چشمگیر پیام‌های فریبنده‌ای است که در فضای مجازی برای ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه (عموما #‫بیت‌کوین) منتشر می‌شوند. این مجموعه‌ها نوعا از ساختار بازاریابی هرمی نیز استفاده می‌کنند تا از ارتباطات افراد برای افزایش گستره نفوذ خود بهره ببرند. مطالعات نشان می‌دهند که ادعاها و وعده های مطرح شده در اغلب موارد کذب بوده و این ابزارها علاوه بر احتمال آسیب زدن به سخت افزار رایانه‌ها می‌توانند سرمنشا مخاطرات جدی امنیتی باشند. به این ترتیب به کاربران و مدیران به طور جدی توصیه می‌شود که از عضویت در این شبکه ها پرهیز و ممانعت نمایند. 

بررسی‌های انجام شده نشان می‌دهد که برخلاف ادعاهای مطرح شده، از منظر اقتصادی و با توجه به انرژی الکتریکی صرف شده، انجام این کار با استفاده ازرایانه‌های معمول، حتی در صورتی که گرداننده شبکه هرمی و افراد بالادست چیزی از عایدات طلب نکنند، اقتصادی نخواهد بود. به همین دلیل در سطح جهان، انجام این امور به صورت قانونی (و نه با سرقت منابع دیگران) با تکیه بر سخت‌افزارهای خاص منظوره و با اتکا به پردازنده های گرافیکی پیشرفته انجام می‌گیرد.
ذکر این نکته حایز اهمیت است که با بیشتر شدن بار محاسباتی پردازنده‌ها برای استخراج ارزهای رمزپایه در رایانه‌های معمول و افزایش مصرف توان، دمای سیستم افزایش خواهد یافت و این خود سبب کاهش دوام دستگاه و احیانا آسیب به آن می‌شود. بنابراین حتی برای آزمایش نیز تصمیم به ورود به این شبکه‌های هرمی منطقی نیست.
همچنین اگرچه به دلیل تعدد این ابزارها فرصت تحلیل رفتاری همه آنها موجود نبوده است، اما نکته نگران‌کننده اصلی در این خصوص این است که با تکیه بر هر یک از روش های معمول برای انجام این امور به صورت هرمی ( اجرای برنامه‌های اجرایی ارایه شده یا نصب افزونه‌های معرفی شده در مرورگرهای وب) کاربر و شبکه میزبان او در معرض دسترسی فراهم آورنده این ابزارها یا سایر مهاجمین قرار می‌گیرند و این خود می‌تواند سرآغاز حملات جدی‌تر باشد. 
در خصوص کاربرانی که مالک رایانه یا بستر شبکه متصل به آن نیستند، عضویت در این شبکه‌های هرمی می‌تواند توام با جرایمی چون سوء استفاده از منابع عمومی یا خیانت در امانت نیز باشد.
به این ترتیب به کاربران و مدیران، مجددا توصیه اکید می‌شود که از ورود به این شبکه‌ها و نصب ابزارهای مرتبط با آنها پرهیز و ممانعت جدی به عمل آورند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به انتشار باج افزار خطرناک در کانالهای تلگرامی فارسی زبان هشدار داد.

مرکز ماهر با اشاره به انتشار باج افزار «Cybersccp» در کانال های تلگرامی فارسی زبان اعلام کرد: مشاهدات اخیر در فضای سایبری کشور مخصوصاً در پیام‌رسان تلگرام، حاکی از آن است که یک باج‌افزار از خانواده خطرناک شناخته شده HiddenTear با نام Cyber.exe در پوشش برنامه‌ای کاربردی با ادعای ساخت تصویر جعلی کارت ملی، کارت بانکی، شناسنامه و پاسپورت در حال انتشار است.

این باج افزار با پیامی به شرح زیر در حال انتشار است:

قربانیان که عموماً افراد مبتدی و با انگیزه جعل هویت هستند، پس از دریافت فایل Cyber.exe با حجم ۱.۴۲ مگابایت و اجرای آن بروی رایانه خود در محیط سیستم عامل ویندوز در معرض حمله باج افزاری قرار می گیرند.

بررسیها نشان می دهد که باج افزار مورد اشاره،تمام فایلهای موجود روی دسکتاپ قربانی را رمزگذاری کرده وپس از رمزگذاری، به ابتدای فایلها، عبارت Lock.اضافه می‌کند.حتی میانبرهای نرم‌افزارها نیز پس از حمله باج افزار، قابل اجرا نخواهند بود.سپس با تغییر پس زمینه دسکتاپ دو فایل به نامهای Lock.Cyber.exe وLock.desktop.ini نیز روی دسکتاپ ایجاد می کند.

باج افزار برای رمزگشایی فایلها، از قربانیان طلب ۰.۰۳ بیت کوین باج می‌کند.

به گزارش مهر مرکزماهر موکداً به کاربران در فضای مجازی متذکر می شود که از دریافت و اجرای فایلهای اجرایی از منابع ناشناخته پرهیز کنند؛ همچنین یادآور می‌شود که بر اساس قانون جرایم رایانه ای مصوب ۱۱ بهمن ۸۹ مجلس شورای اسلامی، هریک از فعالیتهای مورد ادعا در پوشش انگیزشی این بدافزار، جرایمی جدی بوده و مورد تعقیب قضایی قرار خواهد گرفت.

مرکز ماهر اعلام کرد: ساختار حملات باج افزاری به گونه ای است که با وجود رعایت تمام تمهیدات، در حال حاضر موثرترین راهکار پیشگیری، تهیه منظم نسخه پشتیبان از اطلاعات و نگهداری آنها بصورت آفلاین است

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات از کشف خانواده جدیدی از بدافزارهای جاسوسی خبر داده که از پروتکل اپلیکیشن تلگرام در سیستم عامل اندروید، سوءاستفاده می‌کند.

به گزارش خبرنگار مهر، خانواده جدیدی از RATها در بستر سیستم‌عامل اندروید پا به عرصه ظهور گذاشته‌اند که رفتاری تهاجمی داشته و با سوءاستفاده از پروتکل برنامه کاربردی تلگرام اقدام به تبادل داده با سرورهای C&C خود می‌کنند.

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات در این باره اعلام کرد: مهاجمان نوع جدیدی از RATهای اندرویدی را از طریق فروشگاه‌های اپلیکیشن (برنامه‌کاربردی) شخص ثالث، رسانه‌های اجتماعی و برنامه‌های پیام‌رسان توزیع کرده‌اند که نکته مهم در خصوص این نوع حمله تمرکز روی کاربران ایرانی است.

مطابق با این اعلام، مهاجمان برنامه آلوده خود را در قالب تکنیک‌های مهندسی اجتماعی نظیر برنامه‌های کاربردی دریافت ارز دیجیتال رایگان (بیت‌کوین)، اینترنت رایگان و افزایش دنبال‌کنندگان (Followers) در شبکه‌های اجتماعی اقدام به توزیع این RAT کرده اند.

این بدافزار در تمامی نسخه‌های سیستم‌عامل اندروید قابل اجرا ‌است.

محققان امنیتی موسسه ESET نیز با تایید شناسایی این خانواده جدید از بدافزار جاسوسی، عنوان کرده اند که این بدافزار از اکتبر سال ۲۰۱۷ میلادی انتشار یافته‌ و در تاریخ مارس سال ۲۰۱۸ کد منبع آن به‌صورت کاملا رایگان در کانال‌های هک پیام‌رسان تلگرام در دسترس عموم قرار داده شده است.

زمانی که برنامه آلوده نصب می‌شود با استفاده از تکنیک‌های مهندسی اجتماعی اقدام به دریافت مجوزهای مدیریتی می‌کند و پس از اتمام فرآیند نصب، یک پیغام جعلی با مضمون «برنامه قادر به اجرا روی دستگاه مورد نظر شما نیست» و در ظاهر پیغام «پایان مراحل پاک‌کردن» به صورت popup برای قربانی نمایش داده می‌شود.

نکته مهم در خصوص این بدافزار این است که پیغام پاک کردن برنامه نصب شده صرفا اقدام به حذف آیکون می‌کند و برنامه مخرب همچنان در دستگاه قربانی باقی خواهد ماند و بدین ترتیب دستگاه مورد نظر در سرور مهاجمان ثبت می‌شود.

این بدافزار شامل گستره وسیعی از قابلیت‌ها نظیر جاسوسی و استخراج فایل‌ها، شنود و رهگیری پیام‌های متنی و لیست مخاطبان، ارسال پیام متنی و برقراری تماس، ضبط صدا و تصویربرداری از صفحه نمایش، موقعیت جغرافیایی دستگاه و کنترل تنظیمات دستگاه است. 

این RAT که با نام HeroRat شناخته شده‌است به دسته‌های مختلفی نظیر پنل‌های برنزی (معادل ۲۵ دلار آمریکا)، نقره‌ای (۵۰ دلار آمریکا) و طلایی (۱۰۰ دلار آمریکا) تقسیم شده و کد منبع آن به قیمت ۶۰۰ دلار آمریکا به فروش رسیده است.

این بدافزار توسط ثابت افزار Xamarin توسعه داده شده است.

مهاجم با استفاده از قابلیت‌های Telegram bot اقدام به کنترل دستگاه آلوده می‌کند. به‌عنوان مثال، مهاجم می‌تواند دستگاه قربانی خود را به سادگی فشردن دکمه‌های تعبیه شده در نسخه‌ بدافزار، تحت کنترل خود در آورد.

این جاسوس افزار تبادل اطلاعات بین سرور C&C و داده‌های استخراج شده را به منظور جلوگیری از رصد ترافیک شبکه از طریق پروتکل تلگرام انجام می‌دهد.

توصیه های امنیتی برای پیشگیری از آلودگی به این بدافزار و سایر بدافزارهای مشابه

- نسبت به تفویض مجوزهای درخواستی توسط برنامه‌های کاربردی دقت لازم را داشته باشید.

- برنامه‌های کاربردی خود را از منابع و فروشگاه‌های معتبر دریافت کنید.

- نسخه سیستم‌عامل خود را به‌روز نگاه دارید.

- از ابزارهای رمزنگاری داده در دستگاه خود استفاده کنید.

- از داده‌های مهم خود پشتیبان تهیه کنید.

- یک برنامه ضد بدافزار در دستگاه خود نصب کنید.

منابع اعتباری طرح‌های ساخت ماهواره تامین شد

يكشنبه, ۱۳ خرداد ۱۳۹۷، ۰۲:۳۶ ب.ظ | ۰ نظر

رئیس سازمان فضایی ایران به پیشرفت طرح های ساخت ماهواره های بومی در این سازمان اشاره کرد و گفت: منابع اعتباری مورد نیاز این طرح ها برای امسال تامین شده است.

به گزارش ایرنا ازسازمان فضایی ایران، مرتضی براری روز یکشنبه در بازدید از برخی پروژه های طراحی و ساخت ماهواره های بومی افزود: اکنون چندین طرح ماهواره ای در دستور کار مراکز دانشگاهی و پژوهشی کشور قرار دارد که امید می رود امسال با تداوم روند کنونی پیشرفت کار، شاهد اتمام برخی از این طرح ها بوده و بقیه نیز در ابتدای سال آتی به پایان برسند.
وی ادامه داد: طرح های جدیدی نیز با توجه به برنامه راهبردی تدوین شده برای توسعه ماهواره های بومی تا افق چشم انداز 1404، برای امسال و سال های آتی تعریف و اجرایی خواهد شد تا در افق چشم انداز، شاهد تامین بخش عمده ای از نیازهای فضایی کشور از طریق ماهواره های بومی باشیم.
معاون وزیر ارتباطات با تاکید بر این نکته که روند کنونی اجرای طرح های ماهواره ای مورد رصد و پایش دایمی این سازمان است و روند کنونی پیشرفت کار می تواند جبران کننده بخشی از عقب ماندگی در این بخش باشد، یادآور شد: موضوع ساخت ماهواره های بومی به عنوان اولویت نخست برنامه توسعه فضایی کشور مد نظر سازمان فضایی و وزارت ارتباطات است.
براری با تاکید بر اینکه توسعه فناوری فضایی و تامین زیرساخت های مورد نیاز این بخش با جدیت در دستور کار سازمان فضایی قرار دارد، اظهار داشت: اکنون روند توسعه ماهواره های بومی کشور نه تنها در سطح دانشگاه ها و مراکز پژوهشی مجری پروژه ها جریان دارد،‌ بلکه این فعالیت ها منجر به شکل گیری طیف گسترده ای از شرکت های دانش بنیان شده که در امر طراحی و ساخت اجزا و نشانه های مورد استفاده در ماهواره ها فعالیت می کنند.
رئیس سازمان فضایی عنوان کرد: برخی از این شرکت ها محصولات خود را از مرحله تحقیق و توسعه گذرانده و وارد مرحله تجاری کرده اند که اقدامی حائز اهمیت است و سازمان فضایی ایران نیز از تجاری سازی محصولات دانش بنیان در این بخش حمایت می کند.
مرتضی براری بیست و ششم بهمن ماه پارسال گفت: سه نوع ماهواره در کشور مراحل توسعه و ساخت را طی می کند؛ دسته اول ماهواره های مخابراتی است که با ساخت ماهواره مصباح و پرتاب ماهواره امید، این خانواده شکل گرفته و با ماهواره های ناهید1 و ناهید2 در حال توسعه است.
رییس سازمان فضایی ایران افزود: گروه دوم، ماهواره های سنجشی است که فعالیت های تحقیقاتی آن با ساخت و پرتاب ماهواره های رصد، نوید و تدبیر با وضوح تصویر (رزولوشن) در سطح چند صد متر آغاز شده و اکنون با پروژه های دوستی، پیام، ظفر و سها که رزولوشنی چند ده متری دارند، ادامه می یابد.
به گفته براری، این پروژه ها تشکیل دهنده مراحل توسعه برای دستیابی به ماهواره های عملیاتی بوده و گام به گام کشور را به این قابلیت ها در عرصه فضایی نزدیک تر می کند.
وی اضافه کرد: دسته سوم نیز ماهواره های مکعبی و کوچک است که علاوه بر ایجاد بستر تجربه آموزی و آموزش نیروی انسانی متخصص، در آینده می تواند سرمنشاء تحولات جدی در این عرصه باشد.
براری ابراز امیدواری کرد که با توجه به برنامه ریزی های صورت گرفته و تلاش و همت مضاعف کارشناسان و متخصصان کشور، تا افق چشم انداز 1404 شاهد دستیابی کشور به ماهواره های حرفه ای و عملیاتی بومی باشیم.
به گزارش ایرنا، رئیس سازمان فضایی ایران ابتدای امسال اعلام کرد: برنامه توسعه فناوری فضایی کشور برای توسعه خدمات به شهروندان در دستور کار جدی این سازمان قرار دارد و از امسال اجرایی می شود.
وی افزود: یکی از خدماتی که امروز مردم ایران از آن بهره مند هستند، اما شاید اطلاع دقیق از خدمات بخش فضایی کشور ندارند، موضوع مخابرات ماهواره ای است؛ اکنون کشور با در اختیار داشتن ماهواره مخابراتی «ایرانست-21» خدمات متعددی به عموم مردم ارائه می دهد.

مرکز ماهر: فیلترشکن «جت فیلتر» را نصب نکنید

دوشنبه, ۷ خرداد ۱۳۹۷، ۰۲:۱۸ ب.ظ | ۰ نظر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای نسبت به انتشار بدافزارهای عبور از فیلترینگ تلگرام هشدار داد و اعلام کرد که این ویروسهای مخرب با هدف سوءاستفاده از کاربر، رواج یافته اند.

به گزارش خبرنگار مهر، پس از فیلتر شدن تلگرام بدافزارهای مختلفی تحت عنوان «تلگرام بدون فیلتر»، «فیلترشکن تلگرام» و غیره در فضای مجازی منتشر شده اند. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با بررسی این برنامه ها هشدار داد که این برنامه های نرم افزاری مخرب با فریب کاربر، اقدام به سوء استفاده از اطلاعات کاربر و یا استخراج ارز دیجیتال می کنند.

در این راستا این مرکز با بررسی فنی ۲ بدافزار «فیلترشکن تلگرام» و «جت فیلتر» اعلام کرد: برنامه «فیلترشکن تلگرام» از جمله برنامه‌های آماده‌ ای است که با توجه به کد آن، در مقاطع مختلف زمانی با عناوین مختلفی و برای سوءاستفاده‌های مختلف منتشر می‌شود. این برنامه توسط ۱۲ ضدویروس به عنوان بدافزار تشخیص داده شده است. این برنامه در تبلیغات گسترده در سطح تلگرام منتشر شده که نمونه ای از آن ۱۳۸ هزار بازدید داشته است.

این برنامه پس از نصب توسط کاربر مخفی شده و دستورات مخرب مختلفی (نصب بدافزار،عضویت در چند سامانه پیامکی و ...) را از طریق برنامه‌های پوش نوتیفیکیشن دریافت می‌کند.

بررسی ها نشان می دهد که نحوه استفاده مخرب این بدافزار از سرویسهای پوش نوتیفیکیشن این است که این برنامه قادر است هر برنامه یا بدافزار دیگری را نیز روی دستگاه کاربر نصب کند.

در همین حال برنامه «جت فیلتر» نیز یکی از بدافزارهایی است که اخیرا با توجه به فیلتر شدن تلگرام، در حال انتشار در کانالهای تلگرامی است. نام این برنامه درواقع Android System Web View است که پس از نصب با نام MainActivity روی دستگاه قرار می گیرد.

این بدافزار بدون آنکه کاربر متوجه شود، در پس زمینه اقدام به استخراج ارز دیجیتال مونرو کرده و از توانایی دستگاه سوءاستفاده می کند. متاسفانه در دستگاه موبایل همانند کامپیوتر، کاربر متوجه تغییرات ایجاد شده یا کندی نمی شود و احتمال اینکه متوجه این سوءاستفاده شود بسیار پایین است.

جزئیات بررسی فنی این دو ویروس مخرب در سایت مرکز ماهر وجود دارد.

بدافزار VPNFilter از ایران قربانی نگرفته است

يكشنبه, ۶ خرداد ۱۳۹۷، ۱۰:۱۸ ق.ظ | ۰ نظر

ایران با وجود انتشار بد افزار جدید وی.پی.ان فیلتر در سطح جهانی، بنا به اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای هنوز قربانی آن نشده است اما احتمال آلوده شدن به این نرم افزار مخرب وجود دارد.

به گزارش سازمان فناوری اطلاعات ایران، گزارش‌های جهانی حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی داشته‌است و این عدد نیز افزایش خواهد داشت.
گزارش سازمان فناوری اطلاعات ایران نشان می دهد تجهیزات و دستگاه‌های مدل های های مختلف شامل Linksys ،Mikrotik ، NETGEAR و TP-Link و همچنین تجهیزات ذخیره‌سازی QNAP در صورت بروز رسانی نشدن، مستعد آلودگی به این بدافزار هستند.
سازمان فناوری اطلاعات اعلام کرد: با توجه به استفاده‌ بالای مدل های های پیش گفته در کشور، ارائه دهندگان سرویسها، مدیران شبکه‌ها و کاربران نسبت به جلوگیری از آلودگی و ایمن‌سازی، اقدام های لازم را به عمل آورند.
براساس این گزارش، نوع دستگاه‌های آلوده به این بد‌افزار بیشتر از نوع دستگاه‌های بک بون (Backbone) هستند و قربانیان اصلی این بد‌افزار، کاربران و شرکت‌های رساننده خدمات اینترنتی«آی.اس.پی»( ISP )کوچک و متوسط است.
«بک بون» خطوط ارتباطی اینترنت در فواصل زیاد است که برای وصل شدن به خطوط با ظرفیت کمتر طراحی شده اند.

*تشریح عملکرد بدافزار
وی.پی.ان فیلتر(VPNFilter) یک بدافزار چند مرحله ای است که توانایی جمع‌آوری داده از دستگاه‌ قربانی و انجام حملات مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می‌آورد و بر خلاف بسیاری از بد‌افزارها روی دستگاه‌های آی.او.تی اینترنت اشیا (IOT) که با راه‌اندازی مجدد دستگاه از بین می‌روند، این بد‌افزار با راه‌اندازی مجدد از میان نخواهد رفت. هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است.
در مرحله اول، دستورات مختلف و گاهی تکراری برای استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه می‌شود. در این مرحله آدرس آی پی (IP) دستگاه برای استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار می‌گیرد.

*شناسایی قربانیان
سازمان فناوری اطلاعات اعلام کرد: بر اساس بررسی‌های انجام شده توسط آزمایشگاه‌ها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در همه مناطق فعال بوده است.
دستگاه‌های قربانیان پس از آلودگی شروع به پویش روی درگاه‌های23, 80, 2000 و 8080 پروتکل تی.سی.پی(TCP) می‌کنند و از این طریق قابل شناسایی است؛ دستگاه‌هایی که مداوم این 4 پورت را پایش می‌کنند مشکوک به آلودگی هستند.

* مقابله با آلودگی
گزارش سازمان فناوری اطلاعات تاکید دارد: به خاطر ماهیت دستگاه‌های آلوده شده و هم به سبب نوع آلودگی چندمرحله‌ای که امکان پاک کردن آن ‌را دشوار می‌کند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است؛ مشکل از آنجا آغاز می‌شود که بیشتر این دستگاه‌ها بدون هیچ دیواره‌ آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاه‌های آلوده شده دارای قابلیت‌های ضد ‌بد‌افزار داخلی نیز نیستند.
بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه‌ پژوهشی تالوس(Talos) حدود 100 امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که می‌تواند برای جلوگیری از انتشار این آلودگی به دستگاه‌های شناخته ‌شده مورد استفاده قرار گیرد.
بر اساس این گزارش، به کاربران پیشنهاد می شود که در صورت آلودگی، بازگردانی تنظیمات به حالت پیش‌فرض کارخانه منجر به حذف کدهای غیرمقیم می‌شود.
همچنین باید میان ‌افزارها و برخی تجهیزات به روز رسانی شوند و شرکت‌های ارائه دهنده‌ سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدام های لازم را اطلاع رسانی کنند.
این گزارش حاکیست، وی.پی.ان فیلتر یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به‌ کارگیری منابع قربانی است که به شدت در حال رشد است. این بد‌افزار ساختاری پیمانه‌ای دارد که به آن امکان افزودن قابلیت‌های جدید و سوء استفاده از ابزارهای کاربران را فراهم می‌کند. با توجه به استفاده بسیار زیاد از دستگاه‌هایی مورد حمله و دستگاه‌های اینترنت اشیا (IOT) بی توجهی به این تهدید ممکن است منجر به اختلال فلج کننده در بخش‌هایی از سرویس‌ها و خدمات شود.
در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه‌های متصل به اینترنت کشور بوده و هزینه بسیار زیاد برای تجهیز مجدد این دستگاه‌ها تحمیل می کند.
سازمان فناوری اطلاعات تاکید دارد که این بدافزار به راحتی قابل پاک کردن از دستگاه‌های آلوده نیست.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای بار دیگر با اعلام اطلاعیه ای، در مورد افزایش شدت حملات سایبری به سرورهای ایمیل در کشور، توضیح داد.

مرکز ماهر اول خردادماه با اعلام گزارشی نسبت به افزایش شدید حمله به سرویس دهنده‌های ایمیل سازمانی هشدار داد و توصیه کرد که مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند. همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد.

در این زمینه این مرکز بار دیگر توضیحات جدیدی به هشدار قبلی اضافه و اعلام کرد: ایمیل سرورهای مورد استفاده در سطح سازمان‌ها و شرکت‌ها در کشور از نظر نرم‌افزار و نحوه پیاده سازی بسیار متنوع هستند و نمی‌توان به سادگی ادعا کرد که اکثر سرویس دهنده‌ها متصل به active directory یا directory service های دیگر هستند.

در اطلاعیه منتشر شده اشاره‌ای به جزئیات و چگونگی پیاده سازی قابلیت Lockout‌ نشده است. در توصیه ارائه شده نیز منظور مسدود سازی دسترسی از طریق حساب ایمیل است. بدیهی است مدیران سیستم لازم است تنظیمات و توصیه‌های دریافتی را با مطابقت با نیازمندی‌ها و شرایط زیرساخت خود بکار ببندند.

متاسفانه همه سرویس دهنده‌های ایمیل مورد استفاده، قابلیت شناسایی و مسدودسازی آدرس های با تلاش ناموفق را ندارند. علاوه بر این با توجه به دسترسی مهاجمان به شبکه های بزرگ بات و IPهای متعدد با سوءاستفاده از این ظرفیت، مهاجم می تواند حمله brute force خود را با آدرس های متعدد ادامه دهد.

در هر صورت بدون شک تمام کاربران ترجیح خواهند داد حساب کاربری آنها در صورت وقوع حمله موقتا مسدود شود تا اینکه مورد نفوذ و سوءاستفاده‌ مهاجم قرار گیرد.

لازم است مدیران سیستم ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجه با اختلالات مشابه موضوع را به اطلاع مرکز ماهر برسانند.

به گزارش مهر، گفته شده است که حملات سایبری کشف شده از نفوذ به ایمیل سرورها در قالب brute force روی رمز عبور از طریق پروتکل‌های imap و pop۳ و نیز حمله DOS‌ از طریق ارسال دستورات پی‌درپی imap و pop۳ صورت می‌گیرد.

مرکز ماهر با اعلام گزارشی فوری در خصوص شناسایی حملات سایبری به سرویس دهنده های ایمیل سازمانی در کشور هشدار داد.

این مرکز اعلام کرد: پیرو گزارشات واصله از سطح کشور،‌ حملات به سمت سرویس دهنده‌های ‫ایمیل سازمانی افزایش شدیدی داشته است. این حملات در قالب brute force روی رمز عبور از طریق پروتکل‌های imap و pop۳ و نیز حمله DOS‌ از طریق ارسال دستورات پی‌درپی imap و pop۳ صورت می‌گیرد.

حملات فوق الذکر عمدتا از بلوک IP آدرس‌های زیر رصد شده است:

۹۲.۶۳.۱۹۳.۰/۲۴
۵.۱۸۸.۹.۰/۲۴

مرکز ماهر اکیدا توصیه کرده که مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند.

همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور موفق (account lockout) فعال باشد.

لازم است مدیران سیستم های سازمانی، ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجهه با اختلالات مشابه موضوع را به اطلاع مرکز ماهر برسانند.

کشف ابزار جاسوسی از گوشی‌های موبایل در ایران

دوشنبه, ۳۱ ارديبهشت ۱۳۹۷، ۰۲:۴۷ ب.ظ | ۰ نظر

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری از کشف دو ابزار جاسوسی برای دستگاه‌های اندرویدی و IOS خبر داد.

به گزارش خبرگزاری مهر، مرکز مدیریت راهبردی افتا اعلام کرد؛ بر اساس گزارش منتشر شده توسط Lookout Security مجموعه‌ای از ابزارهای جاسوسی مبتنی بر سیستم‌عامل اندروید و iOS تحت عنوان Stealth Mango و Tangelo کشف شده ‌است که این ابزارها بخشی از کمپین هدفمند جمع‌آوری اطلاعات هستند.

تحقیقات نشان می‌دهد عاملان این تهدید با استفاده از ابزارهای جاسوسی از دستگاه‌های موبایل مقامات دولتی، سران نظامی، پزشکان متخصص و شهروندان سوءاستفاده کرده‌اند.

تا به امروز شواهد نشان می‌دهد Stealth Mango کشورهای پاکستان، افغانستان، هندوستان، عراق، ایران و امارات متحده عربی را هدف قرار داده‌است. این ابزارها همچنین اقدام به بازیابی داده‌های حساس از اشخاص و گروه‌هایی در آمریکا، استرالیا و انگلستان کرده است.

با بررسی بیش از ۱۵ گیگابایت از داده‌های به‌دست آمده از دستگاه‌های آلوده مشخص شد که اطلاعات جمع‌آوری شده توسط این ابزارهای جاسوسی شامل مواردی از جمله نامه‌ها و ارتباطات دولتی درون سازمانی، جزئیاتی از اطلاعات سفر، تصاویری از اطلاعات هویتی و پاسپورت، اطلاعات مربوط به GPS دستگاه و تصاویر، اسناد پزشکی و قانونی و تصاویر از جلسات مقامات نظامی، دولتی و وابستگان دولتی از جمله کارکنان نظامی آمریکا می‌شوند.

مرکز مدیریت راهبردی افتا تاکید کرد: باید به این نکته توجه داشت که اطلاعات دقیقی از زمان گسترش Stealth Mango وجود ندارد اما براساس شواهد موجود، آخرین نسخه توسعه‌ داده شده در آوریل ۲۰۱۸ منتشر شده‌است.

گفتنی است که مهاجمان از طریق پیام‌های فیشینگ در فیسبوک اقدام به تشویق کاربران برای دانلود و نصب برنامه جاسوسی می کند. به عنوان مثال در یک سناریو از حمله یک کاربر جعلی پس از برقراری ارتباط با افراد، پیشنهادی مبنی بر برقراری تماس تصویری به کاربران می‌دهد و در همین راستا لینکی را برای قربانیان ارسال می کند.

به بیانی دیگر پس از نصب برنامه کاربردی پیشنهادی، بدافزار جاسوسی روی دستگاه قربانی مستقر می‌شود.  همچنین دسترسی فیزیکی به عنوان یکی دیگر از راه‌های آلوده‌سازی دستگاه‌ها به این بدافزار اعلام شده است.

در جدول زیر فهرستی از نام برنامه‌های کاربردی مخرب به همراه نام بسته آن‌ها مشاهده می‌شود.

اطلاعیه مرکز ماهر درباره تشدید یک حمله باج‌افزاری

سه شنبه, ۲۵ ارديبهشت ۱۳۹۷، ۱۰:۲۷ ق.ظ | ۰ نظر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به تشدید حملات باج افزاری از طریق پروتکل دسترسی از راه دور (RDP) در سازمانها و مراکز اداری هشدار داد.

مرکز ماهر در اطلاعیه ای اعلام کرد: درخواست های متعدد امداد از مرکز ماهر و تحلیل حوادث بوجود آمده در بعضی از سازمان ها در روزهای اخیر نشان داده است حملات باج‌افزاری از طریق نفوذ به سرویس پروتکل دسترسی از راه دور یا همان پروتکل RDP به شکل روز افزونی در حال افزایش است.

متاسفانه مشاهده می‌شود که در بعضی از سازمان‌ها و شرکت‌ها، هنوز حفاظت کافی در استفاده از پروتکل RDP انجام نگرفته است.قربانیان این حمله معمولا مراکزی هستند که برای ایجاد دسترسی به منظور دریافت پشتیبانی برای نرم‌افزارهای اتوماسیون (اداری، مالی، کتابخانه، آموزشی و ...) از این روش استفاده می کنند.

بررسی الگوی این حملات و مشاهدات بعمل آمده در امداد به ۲۴ مورد از رخدادهای باج‌افزاری اخیر که توسط پروتکل مذکور صورت گرفته است، نشان می دهد خسارت ناشی از آنها، بدون احتساب مبالغ احتمالی باج پرداخت شده توسط بعضی از قربانیان، به طور میانگین حدود ۹۰۰ میلیون ریال برای هر رخداد بوده است.

مرکز ماهر به کلیه سازمان‌ها، شرکت‌ها و مخصوصا مجموعه‌های پشتیبانی نرم‌افزارها توصیه اکید کرد که استفاده از سرویسRDP بر بستر اینترنت بسیار پر مخاطره بوده و راه را برای انجام بسیاری از حملات، مخصوصا حملات باج‌افزاری هموار می‌کند.

براین اساس پیشنهاد شده است که اقدامات زیر جهت پیشگیری از وقوع این حملات به صورت فوری در دستور کار مدیران فناوری اطلاعات سازمان ها و شرکت ها قرار گیرد.

۱- با توجه به ماهیت پروتکل RDP اکیداً توصیه می شود که این پروتکل بصورت امن و کنترل شده استفاده شود، مانند ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات؛ همچنین توصیه می شود از قرار دادن آدرس IP عمومی به صورت مستقیم روی سرویس دهنده ها خودداری شود.

۲- تهیه منظم نسخه های پشتیبان از اطلاعات روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله  و نگهداری اطلاعات پشتیبان بصورت غیر برخط.

۳- اجبار به انتخاب رمز عبور سخت و تغییر دوره ای آن توسط مدیران سیستمها.

۴- محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم.

۵- هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.

۶- توجه و بررسی فهرست کاربران سیستم ها و سطح دسترسی آنها.

۷- توصیه می‌شود در صورت بروز این حمله در سازمانها، مدیران فناوری اطلاعات ضمن اجتناب در پرداخت باج درخواستی سریعا با مرکز ماهر تماس گرفته شود.

هک سامانه «ای نماد» تکذیب شد

دوشنبه, ۱۰ ارديبهشت ۱۳۹۷، ۰۲:۲۵ ب.ظ | ۰ نظر

معاون امنیت سازمان فناوری اطلاعات ایران اخبار مربوط به هک سامانه نماد اعتماد الکترونیکی وزارت صنعت (Eنماد) را تکذیب کرد.

به گزارش خبرنگار مهر، هادی سجادی امروز در نشست خبری مدیران سازمان فناوری اطلاعات در پاسخ به سوالی مربوط به اخبار منتشر شده در خصوص هک سامانه دریافت نماد اعتماد الکترونیکی گفت: اخباری که در این زمینه منتشر شده است شایعه بوده و شواهد فنی در این زمینه ارائه نشده است.

وی گفت: ما در مرکز ماهر اطلاعی در خصوص هک این سامانه دریافت نکرده ایم.

وی با اشاره به اینکه در خصوص حملات سایبری که سالانه سیستم های کامپیوتری کشور را تهدید می کند، پایش کاملی صورت می گیرد، افزود: در مواردی که نیازمند اطلاع رسانی عمومی باشد، مرکز ماهر این اقدام را انجام می دهد.

وی تاکید کرد: آسیب پذیری های حوزه فضای سایبری سالانه بیش از هزاران مورد است و برخی سازمان ها هدف این حملات قرار می گیرند اما مواردی که دارای اهمیت بیشتری باشد و نیازمند اطلاع رسانی عمومی، آن را از طریق مرکز ماهر اعلام می کنیم و سایر موارد را تنها به اطلاع سازمان های مربوطه می رسانیم. در همین حال بررسی پیامدهای مربوط به امنیت سایبری و حملات احتمالی سایبری از دیگر اقداماتی است که توسط مرکز ماهر وابسته به سازمان فناوری اطلاعات ایران انجام می شود.

شناسایی قربانیان ایرانی حمله به سرورهای HP

شنبه, ۸ ارديبهشت ۱۳۹۷، ۱۲:۱۹ ب.ظ | ۰ نظر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از حمله باج افزاری به سرورهای متعلق به شرکت HP خبر داد که شماری از قربانیان آن در ایران شناسایی شده اند.

به گزارش خبرنگار مهر، مرکز ماهر نسبت به انتشار باج‌افزار با سوءاستفاده از درگاه مدیریتی iLO سرورهای شرکت HP هشدار داد.

این مرکز اعلام کرد: «طی ۲۴ ساعت  گذشته، رصد فضای مجازی نشان دهنده حملاتی مبتنی بر ‫آسیب‌پذیری‌ های موجود در سرویس ‫iLo سرورهای ‫HP بوده است.»

سرویس iLo یک درگاه مستقل فیزیکی است که برای مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده می‌ شود؛ این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه اندازی مجدد و دسترسی غیرمجاز را می‌دهد. حملات مذکور روی نسخه‌های مختلف مانند iLO ۲ و iLO ۳ و iLO ۴ مشاهده شده است.

مرکز ماهر تاکنون اقدامات کلی زیر را در رابطه با شناسایی این باج افزار به عمل آورده است:

۱. با اعلام حمله باج‌افزاری از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باج‌افزاری روی درگاه‌های iLO اطمینان حاصل شد.

۲. بررسی‌های بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.

۳. رصد فضای آدرس IP کشور وی درگاه‌های iLO انجام گرفت و سرورهای آسیب‌پذیر شناسایی شدند. همچنین با شماری از صاحبان این سرویس‌ روی بستر اینترنت که در معرض تهدید هستند تماس گرفته شده و هشدار لازم ارائه شد.

مرکز ماهر با تاکید بر اینکه بررسی‌ها در این خصوص ادامه دارد و جزئیات بیشتری در این خصوص منتشر خواهد شد، برخی توصیه‌های امنیتی ر به مدیران شبکه های فناوری اطلاعات سازمانها اعلام کرد:

۱. دسترسی درگاه‌های iLo از طریق شبکه‌ اینترنت روی سرورهای HP مسدود شود.

۲. توصیه اکید می شود در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به این‌گونه سرویس‌دهنده‌ها برقرار شود.

۳. در صورت مشاهده هرگونه موردی نظیر پیام باج‌خواهی در iLo Security Login Banner ، تغییر در Boot Order، بهم ریختگی یا پاک شدن بی دلیل پیکربندی و اطلاعات یا هر مورد مرتبط و مشکوک دیگر با مرکز ماهر تماس گرفته شود.

افزایش حملات فیشینگ به درگاه‌های بانکی کشور

سه شنبه, ۴ ارديبهشت ۱۳۹۷، ۰۲:۵۴ ب.ظ | ۰ نظر

مرکز ماهر از رشد حملات فیشینگ درگاه‌های پرداخت بانکی طی دو ماه گذشته، با انتشار‫ برنامکهای اندرویدی مخرب یا جعلی خبر داد.

به گزارش مرکز روابط عمومی و اطلاع رسانی وزارت ارتباطات و فناوری اطلاعات، این مرکز اعلام کرد بر اساس رصد صورت گرفته حملات ‫فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامکهای اندرویدی مخرب یا جعلی صورت گرفته است.

بر این اساس مرکز ماهر توصیه هایی را جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد کرده است:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها و همچنین حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر (لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد) از جمله پیشنهادهای مطرح شده است.

توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.

درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌  (بدون هرگونه تغییر در حروف) معتبر هستند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert@certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.

توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارایه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است

به آقای وزیر، اطلاعات جامعی نداده‌اند

يكشنبه, ۱۹ فروردين ۱۳۹۷، ۰۹:۴۹ ق.ظ | ۰ نظر

ایمان منصوری - تجربه نشان داده است که بهترین راهکار ما در مقابله با حملات سایبری واکنشی است. یاد گرفته‌ایم که اتفاقی رخ دهد و بعد سعی کنیم عکس‌العمل نشان دهیم.

اتفاقی که دیشب برای مراکز داده ما در سطح کشور رخ داد و بیش هزار سایت را تحت تاثیر قرار داد، رخداد کوچک و قابل گذشتی نیست. جناب آقای آذری جهرمی، وزیر محترم ارتباطات و فناوری اطلاعات به شما اطلاعات جامعی داده نشده است.

به گفته شما حملات در سطح گسترده دیشب انجام شده است در صورتیکه دو روز قبل از این، مرکز CERT ایالات متحده آمریکا اعلام کرد که زیرساخت حیاتی آمریکا مورد حمله وسیع سایبری قرار گرفته است و به نحوی اطلاع‌رسانی این حمله انجام شده بود. اگر اخبار به درستی رصد می‌شد ما نیز‌ می‌توانستیم آمادگی لازم برای مقابله با این حمله سایبری را داشته باشیم.

جناب وزیر، آسیب‌پذیری در پروتکل SMI سیسکو سال قبل اعلام شد و در ماه اکتبر گزارشی عمومی در سایت سیسکو و Rapid7 چاپ شد که نشان می‌داد حدود 3500 تجهیز سیسکو در ایران در معرض این حملات قرار دارند. چرا یک شرکت خارجی باید چندین ماه این آمار و ارقام را داشته باشد اما مراکز بالادستی از آن اطلاع نداشته باشند و در این مدت تحلیل مناسبی از خود نشان دهند؟ 

جناب وزیر 10 روز پیش شرکت EMBEDI گزارش کامل و جامع تحلیلی را ارایه داده بود و بلافاصله راه حل مقابله با آن در تمامی سایت‌ها ارایه شد اما چرا هیج بازتابی از آن در هیچ یک از مراکز آپا، ماهر و سایت‌های خبری ما نیست؟ باید مساله امنیت سایبری را کمی جدی‌تر بگیریم.

(منبع:فناوران)

وزیر ارتباطات: مراکز ماهر و داده ضعف داشتند

شنبه, ۱۸ فروردين ۱۳۹۷، ۰۱:۴۵ ب.ظ | ۰ نظر

وزیر ارتباطات با اشاره به بررسی حمله سایبری شب گذشته به مراکز داده در یک جلسه اضطراری اعلام کرد: عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است، ضعف در اطلاع رسانی مرکز ماهر به شرکتها و نیز ضعف در پیکره بندی مراکز داده وجود داشته است.

وزیر ارتباطات و فناوری اطلاعات در توییتر نوشت: ‏لحظاتی پیش جلسه اضطراری بررسی حمله شب گذشته خاتمه یافت و تا ساعاتی دیگر بیانیه رسمی نتایج از سوی روابط عمومی وزارت ارتباطات منتشر خواهد شد.
وی تاکید کرد: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بوده‌اند.
وزیر ارتباطات نوشت:حدود ۳۵۰۰ مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور متاثر از حمله شده‌اند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. ضعف در اطلاع رسانی مرکز ماهر به شرکتها و نیز ضعف در پیکره بندی مراکز داده وجود داشته است.

در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است.
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر-سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود.
در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند:
•  با استفاده از کپی پشتیبان قبلی،  اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
•  قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب  ندیده اند) انجام گردد.
•  رمز عبور قبلی تجهیز تغییر داده شود.
•  توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد.

متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.

 

ریشه حملات گسترده امشب به سوئیچهای Cisco

چندی پیش محققان امنیتی یک آسیب‎پذیری حیاتی در نرم‎افزارIOS و IOS XE سیسکو افشا کردند که به مهاجم از راه دور  اجازه می‏‌دهد کد دلخواه خود را اجرا نموده و کنترل کامل تجهیزات شبکه‏‌ی آسیب‎پذیر را به دست بگیرد و از این طریق مانع عبور ترافیک گردد.

محققان مجموعاً ۸.۵  میلیون دستگاه با پورت آسیب‏‌پذیر باز  در اینترنت یافتند.

این آسیب‌‏پذیری همچنین می‏‌تواند با تریگر نمودن یک حلقه نامحدود بر روی دستگاه آلوده منجر به حمله‌‏ی DoS گردد.

دستگاه های آلوده شده توسط این آسیب‌پذیری:

🔸Catalyst 4500 Supervisor Engines
🔸Catalyst 3850 Series
🔸Catalyst 3750 Series
🔸Catalyst 3650 Series
🔸Catalyst 3560 Series
🔸Catalyst 2960 Series
🔸Catalyst 2975 Series
🔸IE 2000
🔸IE 3000
🔸IE 3010
🔸IE 4000
🔸IE 4010
🔸IE 5000
🔸SM-ES2 SKUs
🔸SM-ES3 SKUs
🔸NME-16ES-1G-P
🔸SM-X-ES3 SKUs

⚠️سیسکو در ۲۸ مارس ۲۰۱۸  این آسیب‌‏پذیری را در تمام محصولات آلوده‌‏ی خود رفع نمود.

👈 کسانی که امشب گرفتار حملات شده بودند این هشدار Cisco را جدی نگرفته بودند.

نتیجه بررسی اپلیکیشن روبیکا توسط مرکز ماهر

چهارشنبه, ۸ فروردين ۱۳۹۷، ۰۱:۵۲ ب.ظ | ۰ نظر

در پی طرح  سوالات و مباحث مطرح شده در فضای مجازی در خصوص اپلیکیشنی با عنوان ((نرم افزار چند رسانه ای اندرویدی روبیکا)) و تاکید وزیر محترم ارتباطات و فناوری اطلاعات مبنی بر بررسی موضوع توسط مرکز ماهر، این اپلیکیشن مورد تحلیل دقیق این مرکز قرار گرفت. 
در بررسی آخرین نسخه ((۱.۰.۸)) از این برنامه مشاهده شد کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار گرفته است. دلیل این امر استفاده از واسط گرافیگی مبتنی بر Fragments پیاده سازی شده در نرم افزار تلگرام بوده و بخش عمده باقی مانده اساسا بی استفاده مانده است. از نظر عملکردی نیز قابلیت های شبکه های اجتماعی مشابه تلگرام در این نرم افزار پیاده سازی نشده است و صرفا خدمات ارائه شده توسط این اپلیکیشن براساس قابلیت WebView اندروید و شامل ارائه محتوای شماری از وب سایت ها است.
در نتیجه بر اساس بررسی صورت گرفته می توان بیان داشت که:
•    این نرم  افزار حریم خصوصی کاربران را نقض نمی کند.
•    این نرم  افزار دسترسی به محتوای اطلاعات سایر اپلیکیشن ها از جمله تلگرام را ندارد (اساسا با توجه به تکنولوژی application security sandbox سیستم عامل اندروید، اجرای اپلیکیشن ها در فضایی ایزوله انجام شده و برنامه ها امکان دسترسی مستقیم به داده های یکدیگر را ندارند)
•    کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار داده شده اما تنها از برخی کلاس های واسط گرافیکی آن در برنامه بهره برداری شده است و سایر قسمت ها قابل حذف هستند.
•    نسخه مورد بررسی اساسا قابلیت شبکه اجتماعی یا پیام رسان نظیر تلگرام را ارائه نمی کند.

در همین رابطه: وزیر ارتباطات: ابهامات اپلیکیشن روبیکا پیگیری می‌شود

تهدید سامانه‌های کنترل از دور سازمان‌های کشور

چهارشنبه, ۱ فروردين ۱۳۹۷، ۱۱:۵۳ ق.ظ | ۰ نظر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به شناسایی تهدید جدی سرویس دهنده‌های RDP (ریموت دسکتاپ) بر بستر شبکه اینترنت سازمانها، هشدار داد.

به گزارش خبرنگار مهر، سرویس RDP یا Remote Desktop Protocol قابلیت اتصال از راه دور یک کامپیوتر به کامپیوتر دیگر و کنترل دسکتاپ را برای سازمان ها فراهم می کند.

مرکز ماهر با انتشار گزارشی از شناسایی حملاتی بر بستر این سرویس در کشور و سوء استفاده از آدرسهای IP مرتبط با این پروتکل به سازمانها و شرکتها خبر و هشدار داده است.

این مرکز اعلام کرد: با توجه به تهدیدات گسترده ‌اخیر درباره سوءاستفاده و نفوذ از طریق پروتکل‌ RDP از جمله شناسایی آسیب‌پذیری CredSSP و انتشار باج‌افزارهای مختلف از طریق این پروتکل،‌ تمرکز بیشتری در رصد فعالیت‌ها و حملات بر این بستر از طریق شبکه «هانی‌نت مرکز ماهر» صورت گرفته است.

در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرس‌های IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و درحال تلاش برای آسیب‌رسانی و ورود به سامانه ها از طریق این پروتکل هستند.

اطلاع‌رسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IP ها از طریق مالکان آدرس‌های داخلی توسط مرکز ماهر درحال انجام است.

همچنین مکاتبه با مراکز ماهر کشورهای خارجی (CERT های ملی کشورهای خارجی) جهت مقابله در جریان است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای به کاربران تاکید کرده است که برای رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکل‌های دسترسی راه‌دور نظیر telnet و SSH روی شبکه اینترنت اکیدا خودداری کرده و درصورت نیاز، دسترسی به این سرویس‌ها را تنها بر بستر VPN و یا برای آدرس‌های مبداء مشخص و محدود برقرار کنند.