ITanalyze

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای بار دیگر با اعلام اطلاعیه ای، در مورد افزایش شدت حملات سایبری به سرورهای ایمیل در کشور، توضیح داد.

مرکز ماهر اول خردادماه با اعلام گزارشی نسبت به افزایش شدید حمله به سرویس دهنده‌های ایمیل سازمانی هشدار داد و توصیه کرد که مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند. همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد.

در این زمینه این مرکز بار دیگر توضیحات جدیدی به هشدار قبلی اضافه و اعلام کرد: ایمیل سرورهای مورد استفاده در سطح سازمان‌ها و شرکت‌ها در کشور از نظر نرم‌افزار و نحوه پیاده سازی بسیار متنوع هستند و نمی‌توان به سادگی ادعا کرد که اکثر سرویس دهنده‌ها متصل به active directory یا directory service های دیگر هستند.

در اطلاعیه منتشر شده اشاره‌ای به جزئیات و چگونگی پیاده سازی قابلیت Lockout‌ نشده است. در توصیه ارائه شده نیز منظور مسدود سازی دسترسی از طریق حساب ایمیل است. بدیهی است مدیران سیستم لازم است تنظیمات و توصیه‌های دریافتی را با مطابقت با نیازمندی‌ها و شرایط زیرساخت خود بکار ببندند.

متاسفانه همه سرویس دهنده‌های ایمیل مورد استفاده، قابلیت شناسایی و مسدودسازی آدرس های با تلاش ناموفق را ندارند. علاوه بر این با توجه به دسترسی مهاجمان به شبکه های بزرگ بات و IPهای متعدد با سوءاستفاده از این ظرفیت، مهاجم می تواند حمله brute force خود را با آدرس های متعدد ادامه دهد.

در هر صورت بدون شک تمام کاربران ترجیح خواهند داد حساب کاربری آنها در صورت وقوع حمله موقتا مسدود شود تا اینکه مورد نفوذ و سوءاستفاده‌ مهاجم قرار گیرد.

لازم است مدیران سیستم ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجه با اختلالات مشابه موضوع را به اطلاع مرکز ماهر برسانند.

به گزارش مهر، گفته شده است که حملات سایبری کشف شده از نفوذ به ایمیل سرورها در قالب brute force روی رمز عبور از طریق پروتکل‌های imap و pop۳ و نیز حمله DOS‌ از طریق ارسال دستورات پی‌درپی imap و pop۳ صورت می‌گیرد.

مرکز ماهر با اعلام گزارشی فوری در خصوص شناسایی حملات سایبری به سرویس دهنده های ایمیل سازمانی در کشور هشدار داد.

این مرکز اعلام کرد: پیرو گزارشات واصله از سطح کشور،‌ حملات به سمت سرویس دهنده‌های ‫ایمیل سازمانی افزایش شدیدی داشته است. این حملات در قالب brute force روی رمز عبور از طریق پروتکل‌های imap و pop۳ و نیز حمله DOS‌ از طریق ارسال دستورات پی‌درپی imap و pop۳ صورت می‌گیرد.

حملات فوق الذکر عمدتا از بلوک IP آدرس‌های زیر رصد شده است:

۹۲.۶۳.۱۹۳.۰/۲۴
۵.۱۸۸.۹.۰/۲۴

مرکز ماهر اکیدا توصیه کرده که مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند.

همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور موفق (account lockout) فعال باشد.

لازم است مدیران سیستم های سازمانی، ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجهه با اختلالات مشابه موضوع را به اطلاع مرکز ماهر برسانند.

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری از کشف دو ابزار جاسوسی برای دستگاه‌های اندرویدی و IOS خبر داد.

به گزارش خبرگزاری مهر، مرکز مدیریت راهبردی افتا اعلام کرد؛ بر اساس گزارش منتشر شده توسط Lookout Security مجموعه‌ای از ابزارهای جاسوسی مبتنی بر سیستم‌عامل اندروید و iOS تحت عنوان Stealth Mango و Tangelo کشف شده ‌است که این ابزارها بخشی از کمپین هدفمند جمع‌آوری اطلاعات هستند.

تحقیقات نشان می‌دهد عاملان این تهدید با استفاده از ابزارهای جاسوسی از دستگاه‌های موبایل مقامات دولتی، سران نظامی، پزشکان متخصص و شهروندان سوءاستفاده کرده‌اند.

تا به امروز شواهد نشان می‌دهد Stealth Mango کشورهای پاکستان، افغانستان، هندوستان، عراق، ایران و امارات متحده عربی را هدف قرار داده‌است. این ابزارها همچنین اقدام به بازیابی داده‌های حساس از اشخاص و گروه‌هایی در آمریکا، استرالیا و انگلستان کرده است.

با بررسی بیش از ۱۵ گیگابایت از داده‌های به‌دست آمده از دستگاه‌های آلوده مشخص شد که اطلاعات جمع‌آوری شده توسط این ابزارهای جاسوسی شامل مواردی از جمله نامه‌ها و ارتباطات دولتی درون سازمانی، جزئیاتی از اطلاعات سفر، تصاویری از اطلاعات هویتی و پاسپورت، اطلاعات مربوط به GPS دستگاه و تصاویر، اسناد پزشکی و قانونی و تصاویر از جلسات مقامات نظامی، دولتی و وابستگان دولتی از جمله کارکنان نظامی آمریکا می‌شوند.

مرکز مدیریت راهبردی افتا تاکید کرد: باید به این نکته توجه داشت که اطلاعات دقیقی از زمان گسترش Stealth Mango وجود ندارد اما براساس شواهد موجود، آخرین نسخه توسعه‌ داده شده در آوریل ۲۰۱۸ منتشر شده‌است.

گفتنی است که مهاجمان از طریق پیام‌های فیشینگ در فیسبوک اقدام به تشویق کاربران برای دانلود و نصب برنامه جاسوسی می کند. به عنوان مثال در یک سناریو از حمله یک کاربر جعلی پس از برقراری ارتباط با افراد، پیشنهادی مبنی بر برقراری تماس تصویری به کاربران می‌دهد و در همین راستا لینکی را برای قربانیان ارسال می کند.

به بیانی دیگر پس از نصب برنامه کاربردی پیشنهادی، بدافزار جاسوسی روی دستگاه قربانی مستقر می‌شود.  همچنین دسترسی فیزیکی به عنوان یکی دیگر از راه‌های آلوده‌سازی دستگاه‌ها به این بدافزار اعلام شده است.

در جدول زیر فهرستی از نام برنامه‌های کاربردی مخرب به همراه نام بسته آن‌ها مشاهده می‌شود.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به تشدید حملات باج افزاری از طریق پروتکل دسترسی از راه دور (RDP) در سازمانها و مراکز اداری هشدار داد.

مرکز ماهر در اطلاعیه ای اعلام کرد: درخواست های متعدد امداد از مرکز ماهر و تحلیل حوادث بوجود آمده در بعضی از سازمان ها در روزهای اخیر نشان داده است حملات باج‌افزاری از طریق نفوذ به سرویس پروتکل دسترسی از راه دور یا همان پروتکل RDP به شکل روز افزونی در حال افزایش است.

متاسفانه مشاهده می‌شود که در بعضی از سازمان‌ها و شرکت‌ها، هنوز حفاظت کافی در استفاده از پروتکل RDP انجام نگرفته است.قربانیان این حمله معمولا مراکزی هستند که برای ایجاد دسترسی به منظور دریافت پشتیبانی برای نرم‌افزارهای اتوماسیون (اداری، مالی، کتابخانه، آموزشی و ...) از این روش استفاده می کنند.

بررسی الگوی این حملات و مشاهدات بعمل آمده در امداد به ۲۴ مورد از رخدادهای باج‌افزاری اخیر که توسط پروتکل مذکور صورت گرفته است، نشان می دهد خسارت ناشی از آنها، بدون احتساب مبالغ احتمالی باج پرداخت شده توسط بعضی از قربانیان، به طور میانگین حدود ۹۰۰ میلیون ریال برای هر رخداد بوده است.

مرکز ماهر به کلیه سازمان‌ها، شرکت‌ها و مخصوصا مجموعه‌های پشتیبانی نرم‌افزارها توصیه اکید کرد که استفاده از سرویسRDP بر بستر اینترنت بسیار پر مخاطره بوده و راه را برای انجام بسیاری از حملات، مخصوصا حملات باج‌افزاری هموار می‌کند.

براین اساس پیشنهاد شده است که اقدامات زیر جهت پیشگیری از وقوع این حملات به صورت فوری در دستور کار مدیران فناوری اطلاعات سازمان ها و شرکت ها قرار گیرد.

۱- با توجه به ماهیت پروتکل RDP اکیداً توصیه می شود که این پروتکل بصورت امن و کنترل شده استفاده شود، مانند ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات؛ همچنین توصیه می شود از قرار دادن آدرس IP عمومی به صورت مستقیم روی سرویس دهنده ها خودداری شود.

۲- تهیه منظم نسخه های پشتیبان از اطلاعات روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله  و نگهداری اطلاعات پشتیبان بصورت غیر برخط.

۳- اجبار به انتخاب رمز عبور سخت و تغییر دوره ای آن توسط مدیران سیستمها.

۴- محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم.

۵- هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.

۶- توجه و بررسی فهرست کاربران سیستم ها و سطح دسترسی آنها.

۷- توصیه می‌شود در صورت بروز این حمله در سازمانها، مدیران فناوری اطلاعات ضمن اجتناب در پرداخت باج درخواستی سریعا با مرکز ماهر تماس گرفته شود.

معاون امنیت سازمان فناوری اطلاعات ایران اخبار مربوط به هک سامانه نماد اعتماد الکترونیکی وزارت صنعت (Eنماد) را تکذیب کرد.

به گزارش خبرنگار مهر، هادی سجادی امروز در نشست خبری مدیران سازمان فناوری اطلاعات در پاسخ به سوالی مربوط به اخبار منتشر شده در خصوص هک سامانه دریافت نماد اعتماد الکترونیکی گفت: اخباری که در این زمینه منتشر شده است شایعه بوده و شواهد فنی در این زمینه ارائه نشده است.

وی گفت: ما در مرکز ماهر اطلاعی در خصوص هک این سامانه دریافت نکرده ایم.

وی با اشاره به اینکه در خصوص حملات سایبری که سالانه سیستم های کامپیوتری کشور را تهدید می کند، پایش کاملی صورت می گیرد، افزود: در مواردی که نیازمند اطلاع رسانی عمومی باشد، مرکز ماهر این اقدام را انجام می دهد.

وی تاکید کرد: آسیب پذیری های حوزه فضای سایبری سالانه بیش از هزاران مورد است و برخی سازمان ها هدف این حملات قرار می گیرند اما مواردی که دارای اهمیت بیشتری باشد و نیازمند اطلاع رسانی عمومی، آن را از طریق مرکز ماهر اعلام می کنیم و سایر موارد را تنها به اطلاع سازمان های مربوطه می رسانیم. در همین حال بررسی پیامدهای مربوط به امنیت سایبری و حملات احتمالی سایبری از دیگر اقداماتی است که توسط مرکز ماهر وابسته به سازمان فناوری اطلاعات ایران انجام می شود.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از حمله باج افزاری به سرورهای متعلق به شرکت HP خبر داد که شماری از قربانیان آن در ایران شناسایی شده اند.

به گزارش خبرنگار مهر، مرکز ماهر نسبت به انتشار باج‌افزار با سوءاستفاده از درگاه مدیریتی iLO سرورهای شرکت HP هشدار داد.

این مرکز اعلام کرد: «طی ۲۴ ساعت  گذشته، رصد فضای مجازی نشان دهنده حملاتی مبتنی بر ‫آسیب‌پذیری‌ های موجود در سرویس ‫iLo سرورهای ‫HP بوده است.»

سرویس iLo یک درگاه مستقل فیزیکی است که برای مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده می‌ شود؛ این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه اندازی مجدد و دسترسی غیرمجاز را می‌دهد. حملات مذکور روی نسخه‌های مختلف مانند iLO ۲ و iLO ۳ و iLO ۴ مشاهده شده است.

مرکز ماهر تاکنون اقدامات کلی زیر را در رابطه با شناسایی این باج افزار به عمل آورده است:

۱. با اعلام حمله باج‌افزاری از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باج‌افزاری روی درگاه‌های iLO اطمینان حاصل شد.

۲. بررسی‌های بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.

۳. رصد فضای آدرس IP کشور وی درگاه‌های iLO انجام گرفت و سرورهای آسیب‌پذیر شناسایی شدند. همچنین با شماری از صاحبان این سرویس‌ روی بستر اینترنت که در معرض تهدید هستند تماس گرفته شده و هشدار لازم ارائه شد.

مرکز ماهر با تاکید بر اینکه بررسی‌ها در این خصوص ادامه دارد و جزئیات بیشتری در این خصوص منتشر خواهد شد، برخی توصیه‌های امنیتی ر به مدیران شبکه های فناوری اطلاعات سازمانها اعلام کرد:

۱. دسترسی درگاه‌های iLo از طریق شبکه‌ اینترنت روی سرورهای HP مسدود شود.

۲. توصیه اکید می شود در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به این‌گونه سرویس‌دهنده‌ها برقرار شود.

۳. در صورت مشاهده هرگونه موردی نظیر پیام باج‌خواهی در iLo Security Login Banner ، تغییر در Boot Order، بهم ریختگی یا پاک شدن بی دلیل پیکربندی و اطلاعات یا هر مورد مرتبط و مشکوک دیگر با مرکز ماهر تماس گرفته شود.

مرکز ماهر از رشد حملات فیشینگ درگاه‌های پرداخت بانکی طی دو ماه گذشته، با انتشار‫ برنامکهای اندرویدی مخرب یا جعلی خبر داد.

به گزارش مرکز روابط عمومی و اطلاع رسانی وزارت ارتباطات و فناوری اطلاعات، این مرکز اعلام کرد بر اساس رصد صورت گرفته حملات ‫فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامکهای اندرویدی مخرب یا جعلی صورت گرفته است.

بر این اساس مرکز ماهر توصیه هایی را جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد کرده است:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها و همچنین حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر (لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد) از جمله پیشنهادهای مطرح شده است.

توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.

درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌  (بدون هرگونه تغییر در حروف) معتبر هستند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert@certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.

توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارایه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است

ایمان منصوری - تجربه نشان داده است که بهترین راهکار ما در مقابله با حملات سایبری واکنشی است. یاد گرفته‌ایم که اتفاقی رخ دهد و بعد سعی کنیم عکس‌العمل نشان دهیم.

اتفاقی که دیشب برای مراکز داده ما در سطح کشور رخ داد و بیش هزار سایت را تحت تاثیر قرار داد، رخداد کوچک و قابل گذشتی نیست. جناب آقای آذری جهرمی، وزیر محترم ارتباطات و فناوری اطلاعات به شما اطلاعات جامعی داده نشده است.

به گفته شما حملات در سطح گسترده دیشب انجام شده است در صورتیکه دو روز قبل از این، مرکز CERT ایالات متحده آمریکا اعلام کرد که زیرساخت حیاتی آمریکا مورد حمله وسیع سایبری قرار گرفته است و به نحوی اطلاع‌رسانی این حمله انجام شده بود. اگر اخبار به درستی رصد می‌شد ما نیز‌ می‌توانستیم آمادگی لازم برای مقابله با این حمله سایبری را داشته باشیم.

جناب وزیر، آسیب‌پذیری در پروتکل SMI سیسکو سال قبل اعلام شد و در ماه اکتبر گزارشی عمومی در سایت سیسکو و Rapid7 چاپ شد که نشان می‌داد حدود 3500 تجهیز سیسکو در ایران در معرض این حملات قرار دارند. چرا یک شرکت خارجی باید چندین ماه این آمار و ارقام را داشته باشد اما مراکز بالادستی از آن اطلاع نداشته باشند و در این مدت تحلیل مناسبی از خود نشان دهند؟ 

جناب وزیر 10 روز پیش شرکت EMBEDI گزارش کامل و جامع تحلیلی را ارایه داده بود و بلافاصله راه حل مقابله با آن در تمامی سایت‌ها ارایه شد اما چرا هیج بازتابی از آن در هیچ یک از مراکز آپا، ماهر و سایت‌های خبری ما نیست؟ باید مساله امنیت سایبری را کمی جدی‌تر بگیریم.

(منبع:فناوران)

وزیر ارتباطات با اشاره به بررسی حمله سایبری شب گذشته به مراکز داده در یک جلسه اضطراری اعلام کرد: عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است، ضعف در اطلاع رسانی مرکز ماهر به شرکتها و نیز ضعف در پیکره بندی مراکز داده وجود داشته است.

وزیر ارتباطات و فناوری اطلاعات در توییتر نوشت: ‏لحظاتی پیش جلسه اضطراری بررسی حمله شب گذشته خاتمه یافت و تا ساعاتی دیگر بیانیه رسمی نتایج از سوی روابط عمومی وزارت ارتباطات منتشر خواهد شد.
وی تاکید کرد: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بوده‌اند.
وزیر ارتباطات نوشت:حدود ۳۵۰۰ مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور متاثر از حمله شده‌اند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. ضعف در اطلاع رسانی مرکز ماهر به شرکتها و نیز ضعف در پیکره بندی مراکز داده وجود داشته است.

در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است.
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر-سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود.
در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد.
جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند:
•  با استفاده از کپی پشتیبان قبلی،  اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد.
•  قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب  ندیده اند) انجام گردد.
•  رمز عبور قبلی تجهیز تغییر داده شود.
•  توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد.

متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.

ریشه حملات گسترده امشب به سوئیچهای Cisco

چندی پیش محققان امنیتی یک آسیب‎پذیری حیاتی در نرم‎افزارIOS و IOS XE سیسکو افشا کردند که به مهاجم از راه دور  اجازه می‏‌دهد کد دلخواه خود را اجرا نموده و کنترل کامل تجهیزات شبکه‏‌ی آسیب‎پذیر را به دست بگیرد و از این طریق مانع عبور ترافیک گردد.

محققان مجموعاً ۸.۵  میلیون دستگاه با پورت آسیب‏‌پذیر باز  در اینترنت یافتند.

این آسیب‌‏پذیری همچنین می‏‌تواند با تریگر نمودن یک حلقه نامحدود بر روی دستگاه آلوده منجر به حمله‌‏ی DoS گردد.

دستگاه های آلوده شده توسط این آسیب‌پذیری:

🔸Catalyst 4500 Supervisor Engines
🔸Catalyst 3850 Series
🔸Catalyst 3750 Series
🔸Catalyst 3650 Series
🔸Catalyst 3560 Series
🔸Catalyst 2960 Series
🔸Catalyst 2975 Series
🔸IE 2000
🔸IE 3000
🔸IE 3010
🔸IE 4000
🔸IE 4010
🔸IE 5000
🔸SM-ES2 SKUs
🔸SM-ES3 SKUs
🔸NME-16ES-1G-P
🔸SM-X-ES3 SKUs

⚠️سیسکو در ۲۸ مارس ۲۰۱۸  این آسیب‌‏پذیری را در تمام محصولات آلوده‌‏ی خود رفع نمود.

👈 کسانی که امشب گرفتار حملات شده بودند این هشدار Cisco را جدی نگرفته بودند.

در پی طرح  سوالات و مباحث مطرح شده در فضای مجازی در خصوص اپلیکیشنی با عنوان ((نرم افزار چند رسانه ای اندرویدی روبیکا)) و تاکید وزیر محترم ارتباطات و فناوری اطلاعات مبنی بر بررسی موضوع توسط مرکز ماهر، این اپلیکیشن مورد تحلیل دقیق این مرکز قرار گرفت. 
در بررسی آخرین نسخه ((۱.۰.۸)) از این برنامه مشاهده شد کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار گرفته است. دلیل این امر استفاده از واسط گرافیگی مبتنی بر Fragments پیاده سازی شده در نرم افزار تلگرام بوده و بخش عمده باقی مانده اساسا بی استفاده مانده است. از نظر عملکردی نیز قابلیت های شبکه های اجتماعی مشابه تلگرام در این نرم افزار پیاده سازی نشده است و صرفا خدمات ارائه شده توسط این اپلیکیشن براساس قابلیت WebView اندروید و شامل ارائه محتوای شماری از وب سایت ها است.
در نتیجه بر اساس بررسی صورت گرفته می توان بیان داشت که:
•    این نرم  افزار حریم خصوصی کاربران را نقض نمی کند.
•    این نرم  افزار دسترسی به محتوای اطلاعات سایر اپلیکیشن ها از جمله تلگرام را ندارد (اساسا با توجه به تکنولوژی application security sandbox سیستم عامل اندروید، اجرای اپلیکیشن ها در فضایی ایزوله انجام شده و برنامه ها امکان دسترسی مستقیم به داده های یکدیگر را ندارند)
•    کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار داده شده اما تنها از برخی کلاس های واسط گرافیکی آن در برنامه بهره برداری شده است و سایر قسمت ها قابل حذف هستند.
•    نسخه مورد بررسی اساسا قابلیت شبکه اجتماعی یا پیام رسان نظیر تلگرام را ارائه نمی کند.

در همین رابطه: وزیر ارتباطات: ابهامات اپلیکیشن روبیکا پیگیری می‌شود

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به شناسایی تهدید جدی سرویس دهنده‌های RDP (ریموت دسکتاپ) بر بستر شبکه اینترنت سازمانها، هشدار داد.

به گزارش خبرنگار مهر، سرویس RDP یا Remote Desktop Protocol قابلیت اتصال از راه دور یک کامپیوتر به کامپیوتر دیگر و کنترل دسکتاپ را برای سازمان ها فراهم می کند.

مرکز ماهر با انتشار گزارشی از شناسایی حملاتی بر بستر این سرویس در کشور و سوء استفاده از آدرسهای IP مرتبط با این پروتکل به سازمانها و شرکتها خبر و هشدار داده است.

این مرکز اعلام کرد: با توجه به تهدیدات گسترده ‌اخیر درباره سوءاستفاده و نفوذ از طریق پروتکل‌ RDP از جمله شناسایی آسیب‌پذیری CredSSP و انتشار باج‌افزارهای مختلف از طریق این پروتکل،‌ تمرکز بیشتری در رصد فعالیت‌ها و حملات بر این بستر از طریق شبکه «هانی‌نت مرکز ماهر» صورت گرفته است.

در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرس‌های IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و درحال تلاش برای آسیب‌رسانی و ورود به سامانه ها از طریق این پروتکل هستند.

اطلاع‌رسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IP ها از طریق مالکان آدرس‌های داخلی توسط مرکز ماهر درحال انجام است.

همچنین مکاتبه با مراکز ماهر کشورهای خارجی (CERT های ملی کشورهای خارجی) جهت مقابله در جریان است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای به کاربران تاکید کرده است که برای رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکل‌های دسترسی راه‌دور نظیر telnet و SSH روی شبکه اینترنت اکیدا خودداری کرده و درصورت نیاز، دسترسی به این سرویس‌ها را تنها بر بستر VPN و یا برای آدرس‌های مبداء مشخص و محدود برقرار کنند.

مرکز ماهر با اعلام ۱۱ اقدام پیشگیرانه برای حوادث احتمالی فضای مجازی در تعطیلات نوروزی، نسبت به نفوذ، سرقت اطلاعات و تخریب در زیرساختهای فناوری اطلاعات و ارتباطات در این ایام هشدار داد.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با انتشار توصیه های امنیتی خطاب به مدیران فناوری اطلاعات سازمانها و شرکتها، نسبت به احتمال بروز حوادث در فضای مجازی در ایام نوروز هشدار داد.

مرکز ماهر تاکید کرد که ایام تعطیل مخصوصا تعطیلات طولانی، فرصتی مناسب برای مهاجمان جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت های فناوری اطلاعات و ارتباطات است. از این رو پیشنهاد می شود تا اقداماتی به شرح زیر برای کسب آمادگی بیشتر و پیشگیری ازحوادث در دستور کار سازمانها و شرکتها قرار گیرد.

۱. تعیین نفرات مسئول جهت پیگیری تهدیدات و مشکلات احتمالی و هماهنگی با مرکز ماهر

۲. سرکشی به سامانه ها، بررسی عملکرد سرورها و گزارش های امنیتی در تعداد نوبت های متوالی در ایام تعطیلات نوروز 

۳. بررسی کامل رخدادنماها (فایل های ثبت وقایع) در سامانه ها و تجهیزات فناوری سازمانها، از جمله سرویس دهنده ها، آنتی ویروس ها، دیواره های آتش و بررسی موارد مشکوک مخصوصا تلاش های ناموفق جهت ورود به سامانه ها، انواع حملات تشخیص و پیگیری شده و دسترسی های موفق در ساعات غیر متعارف

۴. غیرفعال سازی و یا خاموش کردن سامانه ها و خدمات دهنده هایی که در این ایام تعطیلات نیاز به ارائه خدمات آنها وجود ندارد. این موضوع بخصوص در مورد سامانه های مرتبط با اینترنت از اولویت بیشتری برخوردار است.

۵. غیرفعال سازی ارتباطات شبکه غیرضروری به ویژه شبکه های wifi 

۶. محدودسازی و یا قطع پروتکل های دسترسی از راه دور (rdp و ssh ) و در صورت نیاز حفاظت از این قبیل دسترسی ها با بهره گیری از ارتباطات vpn امن

۷. بررسی کیفیت و در صورت نیاز به تغییر دادن کلمات ورود به سامانه ها قبل از آغاز تعطیلات و رعایت نکات امنیتی در تعیین کلمه عبور، تعیین و تنظیم تعداد دفعات برای تلاش ناموفق ورود و مخصوصا دقت کافی در زمان مجاز استفاده از رمز عبور برای دسترسی از راه دور 

۸. به روزرسانی سیستم های عامل، نرم افزارها و سخت افزارهای امنیتی 

۹. تهیه نسخه پشتیبان از سامانه ها و اطلاعات به ویژه پایگاه های داده و تست عملکرد صحیح پشتیبان های تهیه شده قبل از آغاز تعطیلات 

۱۰. هوشیاری و پیگیری اخبار حوزه امنیت اطلاعات به منظور آگاه شدن از تهدیدهای بالقوه و در صورت نیاز انجام اقدامات تامینی در طی مدت تعطیلات  

۱۱.  گزارش کردن هرگونه مورد مشکوک برای دریافت خدمات تخصصی امدادی ویژه از مرکز ماهر با پست الکترونیکی cert@certcc.ir و یا شماره تماس های مندرج در وبسایت این مرکز به آدرس www.certcc.ir و نیز مراکز تخصصی آپا (آگاهی رسانی و پشتیبانی) که در این ایام آماده به کشیک هستند.

مرکز ماهر اعلام کرد: درباره گزارش منتشرشده از حمله سایبری به وبسایت ها و پورتال های خبری سوءبرداشت شده است.

به گزارش خبرنگار مهر، در پی حمله سایبری ۲۱ بهمن ماه به تعدادی از پورتال‌ها و وب‌سایت‌های خبری در کشور، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با بررسی جوانب این اتفاق، جزئیات فنی آن را در گزارشی در این لینک اعلام کرد.

هم اکنون این مرکز درباره گزارش منتشر شده از نتایج بررسی‌های فنی درخصوص حمله سایبری به وب سایت ها و پورتال های خبری کشور، نکات جدیدی را اعلام کرده است.

۱. ضعف امنیتی مورد سوءاستفاده قرار گرفته توسط مهاجم به این سایت ها در لایه کاربردی وب و سامانه مدیریت محتوا (CMS) بوده و هیچ‌گونه آسیب‌پذیری و نقص امنیتی در مراکز داده‌ میزبان سایت‌های آسیب‌دیده مشاهده نشده است.

همچنین مورد ذکر شده درباره عدم همکاری مرکز داده تبیان، ناشی از ضعف در همکاری و تعامل بموقع برای حل مشکل بوده و ادعای نادرست بعضی از رسانه ها در  این خصوص تکذیب می شود. خوشبختانه با برقراری ارتباط مناسب، این نقیصه نیز مرتفع شده است.

۲. در گزارش منتشر شده، یکی از ۵ آدرس IP‌ مهاجم متعلق به کشور بلغارستان بوده که به اشتباه به نام انگلستان ذکر شده است. این مورد در نسخه جدید گزارش نیز اصلاح شده است.

۳. در گزارش این مرکز صرفا به آدرس‌های IP مهاجم و کشورهای مالک آنها اشاره شده و هیچگونه اظهارنظری نسبت به هویت و ملیت فرد یا افراد بهره بردار از این آدرس‌ها جهت نفوذ به وب‌سایت‌ها صورت نگرفته است.

۴. در برخی از رسانه‌ها نام برخی از شرکت‌های تولید کننده CMS داخلی مطرح شده که فاقد صحت است. با بررسی‌های انجام شده آسیب‌پذیری مورد سوءاستفاده شناسایی و مرتفع شده است.

۵. ذکر این نکته ضروری است که وجود آسیب‌پذیری و نقص امنیتی در محصولات نرم‌افزاری و سخت‌افزاری امری اجتناب ناپذیر است. اما لازم است که تولیدکنندگان نرم‌افزار و مدیران راهبر سیستم‌ها حساسیت و سرمایه‌گذاری مناسبی در مقوله امنیت سایبری در نظر گیرند.

۶. متاسفانه برخی از افراد مدعی شدند فایل pdf گزارش مرکز ماهر آلوده به بدافزار بوده که اینگونه ادعاها از اساس کذب است. با توجه به انتشار عمومی این فایل، بررسی و صحت سنجی این ادعای بی اساس توسط کارشناسان داخلی و خارجی به سادگی قابل انجام است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای جزییات حمله سایبری شب گذشته به برخی وبسایت های خبری را تشریح و اعلام کرد: تهدید اخیر کماکان برای این سایت ها وجود دارد.

به گزارش خبرنگار مهر، در پی حمله سایبری شب گذشته به برخی وبسایت های خبری از جمله وبسایت روزنامه قانون، روزنامه آرمان و روزنامه ستاره صبح، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با انتشار گزارشی جزییات این حمله سایبری و اهداف آن را تشریح کرد.

این مرکز اعلام کرد در  آستانه برگزاری راهپیمایی باشکوه ۲۲ بهمن ماه در روز شنبه ۲۱ بهمن ماه حدود ساعت ۸ تا ۱۰ شب اخباری در خصوص حمله به تعدادی از پورتال ها و وبسایت های خبری منتشر شد که این موضوع باعث ایجاد نگرانی هایی در سطح جامعه شده است.

مرکز ماهر وزارت ارتباطات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص به عمل آورده است.

بر اساس بررسی های صورت گرفته وبسایت های خبری که مورد حمله قرار گرفته اند شامل روزنامه قانون، روزنامه آرمان و روزنامه ستاره صبح بوده که در مرکز داده (دیتا سنتر) تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند. بر این اساس گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم های هدف کرده و در این فرآیند مشخص شد تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل با سرویس دهنده وب IIS و زبان برنامه نویسی ASP.Net توسعه داده شده اند.

شرکت تولیدکننده نرم افزار این سامانه ها مجری بیش از ۳۰ وبسایت خبری (از جمله وبسایت های مورد حمله قرار گرفته) در کشور است که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کرده اند.

مرکز ماهر اعلام کرد تهدید اخیر کماکان برای این سایت ها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب در این زمینه اعمال شود.

این مرکز همچنین با اشاره به اقدامات فنی اولیه در خصوص این حمله سایبری اعلام کرد: شناسایی دارایی های مرتبط با این سامانه ها برای تحلیل دقیق، از دسترس خارج کردن سامانه هایی که مورد حمله قرار گرفته اند برای بازیابی و حذف تغییرات در محتوای پیام ها، تغییر و غیرفعال سازی نام کاربری اشتراکی و پیش فرض تمامی سامانه ها و کپی کامل از تمامی فایل های ثبت وقایع از جمله اقدامات صورت گرفته است.

مرکز ماهر اعلام کرد: پس از دریافت فایل های ثبت وقایع از حملات انجام شده از سرویس دهنده ها با تحلیل و بررسی تاریخچه حملات و آسیب پذیری ها، حجم بالایی از فایل ها مورد تحلیل و آنالیز قرار گرفت و IP مبدا حملات استخراج شد که مشخص شد این حملات از ۵ IP از کشورهای انگلستان و آمریکا بوده است.

مرکز ماهر همچنین اعلام کرد: شواهد موجود در فایل های ثبت وقایع نشان می دهد که مهاجمان از دو روز قبل پس از کشف آسیب پذیری ها، در تلاش برای نفود با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعاتی نظیر نام کاربری و کلمات عبور، در پایگاه داده سامانه های فوق بوده اند. همچنین تمامی فعالیت ها و عملیات مخرب برای کشف آسیب پذیری و نفوذ به سامانه ها متعلق به آ درس های IP حمله کننده، استخراج و بررسی شد.

این مرکز با بیان اینکه تمامی سایت های خبری مورد حمله دارای نام کاربری و کلمه عبور پیش فرض یکسان توسط شرکت پشتیبان بوده است اضافه کرد: در بررسی ها مشخص شد که متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا همان نام کاربری و کلمه عبور استفاده شده در سایت ها بوده و این موارد نشان می دهد که متاسفانه حداقل موارد امنیتی در مدیریت این سایت ها رعایت نشده است.

این مرکز از اطلاع رسانی به تمامی دارندگان و استفاده کنندگان محصول شرکت مورد هدف، کشف ماژول ها و بخش های آسیب پذیر در سایت های مورد حمله و اطلاع به پشتیبان برای وصله امنیتی سریع و نیز هشدارها و راهنمایی های لازم برای حفاظت و مقاوم سازی سرویس دهنده خبر داد.

به گزارش مهر، جزییات بیشتر بررسی های فنی این حمله سایبری در سایت خبری مرکز ماهر به نشانی certcc.ir قرار داده شده است.

گزارش ها نشان می دهد در هنگام استفاده از برخی برنامه ها و سایت های ایرانی، کاربران قربانی بیت کوین ماینر (سواستفاده از توان پردازشی رایانه قربانی برای استحصال بیت کوین) می شوند.
فناوران – در حال حاضر برخی کانال های تلگرامی مدعی هستند که برنامه های کامپیوتری موجود در بازار را یافته اند که هم زمان با نصب برنامه، نرم افزار بیت کوین ماینر روی رایانه قربانی نصب می کند.
در همین حال مرکز ماهر نیز با انتشار اطلاعیه ای این موضوع را رسما تایید و اعلام کرد برخی سایت ها از توان پردازشی رایانه بازدیدکنندگان برای استحصال بیت کوین سواستفاده می کنند.
به نظر می رسد با بالا رفتن شدید قیمت بیت کوین، جرایم در این حوزه رو به افزایش است.

 بیت کوین ماینر روی آنتی ویروس
یک کانال تلگرامی اخیرا با انتشار مدارکی مدعی شده است که برخی فروشندگان آنتی ویروس ESET این محصول را با قیمت بسیار پایین در بازار عرضه می کنند. همین موضوع کنجکاوی صاحب کانال را برانگیخته و او با بررسی فایل های موجود در سی دی این آنتی ویروس، به این نتیجه رسیده است که همراه با ESET، یک نرم افزار دیتاماینر نیز روی کامپیوتر قربانی نصب می شود.
براساس این گزارش آنتی ویروس های ESET در برخی موارد با قیمت تنها 1000 تا 1500 تومان در بازار به فروش می رسند در حالی که قیمت این محصول در سایتی مانند آمازون حدود 32 دلار است. مدیر این کانال تلگرامی گفته است که مدارک لازم را به مرکز ماهر و مرکز توسعه رسانه های دیجیتال نیز ارایه داده اما به دلیل آن که اقدامی روی این موضوع صورت نگرفته است، به ناچار این مدارک را در تلگرام منتشر کرده است.
مسوول بخش صیانت و بازرسی مرکز رسانه های دیجیتال وزارت ارشاد در پاسخ به فناوران در این باره گفت: این ادعاها به ما نیز اعلام شده است و ما نیز برای بررسی بیشتر موضوع را به پلیس فتا گزارش کردیم. اما از آنجا که پلیس فتا پاسخی به ما نداد، ما نیز اجازه ادامه فعالیت به فروشندگان این محصول را دادیم.
وی درباره دلیل ارزانی این محصول گفت: به هر حال این ها لایسنس هایی است که برای چندین کامپیوتر کپی می شوند و شرکت ها در رقابت با هم قیمت را بیش از اندازه پایین می آورند.
در تماس خبرنگار فناوران با مرکز ماهر، مدیران این مرکز حاضر به گفت وگو در این باره نشدند اما یک مقام آگاه در این مرکز به ما اعلام کرد که اصل ماجرا صحیح است و در حال بررسی های بیشتر همراه با پلیس فتا هستند.

 بیت کوین ماینر روی سایت ها
در عین حال مرکز ماهر در اطلاعیه ای با عنوان «هشدار مهم»‫ درخصوص سوءاستفاده برخی سایت ها از توان پردازشی رایانه بازدیدکنندگان استحصال بیت کوین هشدار داد.
در اطلاعیه مرکز ماهر آمده است: مشاهدات اخیر نشان داده است که شماری از سایت های داخلی وخارجی با سوءاستفاده از توان پردازشی رایانه بازدیدکنندگان خود اقدام به استحصال bitcoin یا سایر ارزهای مجازی می نمایند. این رفتار از دید کاربر به صورت افزایش درصد فعالیت پردازنده و کند شدن سرعت رایانه در هنگام مراجعه به صفحات یک سایت مشخص نمایان می شود. البته در این موارد، با بسته شدن صفحه سایت در مرورگر، اضافه بار پردازنده نیز متوقف شده و درواقع آلودگی پایداری روی سیستم عامل صورت نمی پذیرد.
این اطلاعیه افزوده است: این اقدام با قرارگیری اسکریپت های جاوااسکریپت استحصال بیت کوین در صفحات سایت توسط ادمین یا مهاجمین نفوذ کرده به سایت صورت می پذیرد. نمونه هایی از نحوه قرارگیری این اسکریپت ها نیز در تصاویر ارایه شده است.
در پایان این  اطلاعیه آمده است: «لازم است مدیران سایت های داخلی توجه داشته باشند مسوولیت قانونی این اقدامات بر عهده آنها است. همچنین کاربران می توانند در صورت مشاهده چنین سایت هایی موارد را جهت پیگیری به اطلاع مرکز ماهر برسانند».
این در حالی است که مرکز ماهر تاکنون هیچ کدام از سایت های خاطی را معرفی نکرده و حتی درباره برخورد با سایت هایی که جرم شان اثبات شده، توضیحی ارایه نکرده است. 

مرکز ماهر در مورد انتشار بدافزاری با نام فیلترشکن «آمدنیوز» و ادعای انتساب آن به نهادهای دولتی هشدار داد.

به گزارش خبرنگار مهر، در پی انتشار بدافزاری با نام فیلترشکن «آمدنیوز» در بین کاربران سیستم عامل اندروید موبایل و ادعای انتساب آن به نهادهای دولتی مرکز مدیریت امداد و عملیات رخدادهای رایانه ای (ماهر) با بررسی فنی این نرم افزار مخرب اطلاعیه ای صادر کرد.

این مرکز اعلام کرد: این نرم افزار مخرب هیچ گونه ارتباطی با نهادهای دولتی نداشته و جزئیات تحلیل آن را ارائه داد.

بر اساس اعلام مرکز ماهر، فیلترشکن «آمدنیوز» دارای ساختار و طراحی ابتدایی و ساده بوده و پس از اجرا به تمام مخاطبان کاربر پیامکی حاوی لینک دریافت این فایل را ارسال می کند و سپس همه مخاطبان کاربر را حذف خواهد کرد. به جز این عملکرد، این بدافزارهیچ قابلیت و عملکرد دیگری ندارد.

در همین حال این اپلیکیشن هیچ گونه ارتباط اینترنتی نداشته و قابلیت سرقت اطلاعات و تماس با سرورهای کنترلی را نیز ندارد.

مرکز ماهر اعلام کرد: لینک ارسالی این اپلیکیشن توسط پیامک در بستر سرویس ابری شرکت آمازون بوده و در حال حاضر غیرفعال شده است.

جزئیات بیشتر از بررسی فنی این نرم افزار مخرب و ماهیت و چگونگی عملکرد آن در سایت مرکز ماهر در دسترس کاربران قرار دارد.

مرکز ماهر موضوع حمله بدافزاری در پوشش یک فیلترشکن که با سوءاستفاده از ناآگاهی کاربران موبایل در حال انتشار است را تایید کرد.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) در اطلاعیه ای اعلام کرد: مطالب انعکاس یافته در رسانه‌ها و مشاهدات در فضای سایبری کشور حاکی از آن است که بدافزاری در پوشش یک فیلترشکن با سوءاستفاده از ناآگاهی کاربران سیستم عامل اندروید در حال انتشار است که این موضوع تایید می شود.

مرکز ماهر با تایید این موضوع، درباره مدل این حمله بدافزاری توضیح داد: تحلیل‌های فنی روی کد مهاجم نشان می‌دهند که حمله این بدافزار، با دریافت یک پیامک فریبنده که مدعی ارائه فیلترشکن از طریق یک آدرس وب است، آغاز می‌شود. با کلیک کردن کاربر روی لینک مذکور، بدافزار روی تلفن قربانی دانلود می‌شود.

درهمین حال از کاربر در زمان نصب فیلترشکن، مجوز دسترسی به مواردی از جمله فهرست مخاطبین و خدمات پیامک اخذ می‌شود. در ادامه بدافزار، لینک انتشار خود را برای تمام افراد موجود در فهرست مخاطبان ازطریق پیامک ارسال می‌کند و پس از آن از فهرست مخاطبان حذف می‌شود.

مرکز ماهر به کاربران توصیه کرد که برای پیشگیری از این حمله و حملات مشابه از دانلود و نصب برنامه‌های خارج از بازارهای اپلیکیشن معتبر پرهیز کنند و در زمان نصب برنامه‌ها به دسترسی‌های تقاضا شده از سوی آن‌ها دقت بیشتری داشته باشند.

به کارگیری برنامه‌های ضد ویروس روی تلفن‌های همراه و تهیه پشتیبان از اطلاعات ارزشمند نیز به عنوان یک سیاست کلی در مقابله با بدافزارها توصیه می‌شود.

محققان نوع جدیدی تبلیغ‌افزار از دسته‌ی OSX.Pirrit کشف کردند که کنترل کامل رایانه‌ی Mac کاربر را به هکرها و مجرمان سایبری می‌‌دهد و منجر به سرقت اطلاعات حساب بانکی افراد می شود.

به گزارش مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای 'ماهر'، تبلیغ‌‌‌افزار OSX.Pirrit سیستم‌عامل Mac X را هدف قرار می‌دهد و در گذشته نیز این بدافزار هزاران رایانه‌ی Mac را در سراسر جهان آلوده کرده است. تبلیغ‌افزارها معمولاً مهاجمان را قادر می‌سازند تا رایانه‌ی کاربر را از کار بیندازند، اما این بدافزار نه تنها رایانه‌های Mac را با تبلیغ‌افزار بمباران می کند بلکه جاسوسی کاربران را نیز می‌کند و همچنین با رسیدن به دسترسی سطح بالاتر، هکرها را قادر می‌سازد تا از این بدافزار به‌منظور دستیابی به اطلاعات ورود به حساب بانکی کاربر استفاده کنند.
سازندگان OSX.Pirrit از اشتباهات قبلی خود درس گرفته‌اند و برخلاف نسخه‌های قدیمی آن، که از افزونه‌ی مخرب مرورگرها استفاده و حتی کارگزار پروکسی را به‌منظور ربودن اطلاعات مرورگر بر روی ماشین قربانی نصب می‌کردند، در این نوع جدید از OSX.Pirrit، از زبان اسکریپ‌نویسی اپل (AppleScript) استفاده می‌کنند و این بدافزار بدین منظور از AppleScript استفاده می‌کند که کد جاوا اسکریپت را مستقیماً به مرورگر تزریق نماید.
از آنجا که OSX.Pirrit با رسیدن به مجوزهای ریشه اجرا می‌شود، اجرای خودکاری (autorun) تولید و در هر بار نصب نام جدیدی را برای خود ایجاد می‌کند و علاوه‌براین، هیچ دستورالعمل حذفی وجود ندارد و برخی از اجزای آن به گونه‌ای تغییر ظاهر می‌دهند که قانونی و از طرف اپل به نظر می‌آیند.
OSX.Pirrit توسط شرکتی به نام TargetingEdge ایجاد شده است و این شرکت تا به حال چندین نامه به شرکت تحقیقاتی Cybereason، که به بدافزار بودن محصول آن‌ها پی برده، فرستاده و از آن‌ها خواسته است که مانع از انتشار خبر بدافزاربودن محصولشان شوند.
حدود 28 موتور آنتی‌ویروس دیگر در Virus Total نیز این نرم‌افزار را در رده‌ی بدافزارها دسته‌بندی کرده‌اند؛ TargetingEdge ادعا می‌کند که محصولی قانونی را برای کاربران Mac توسعه داده است و نرم‌افزارش بدافزار نبوده و دارای هیچ ویژگی بدافزاری نیست.
کلوین موری، محقق امنیتی در Webroot گفته است کاربران باید هرگونه تغییری در تنظیمات جستجو یا مرورگر دستگاهشان را به مدیر گزارش دهند و همچنین آن‌ها باید بدانند که این تغییر می‌تواند تنها بخشی از یک مشکل بزرگ‌تر باشد و علاوه‌براین، لازم است مدیران اقدامات امنیتی معمولی ازجمله به‌روزرسانی نرم‌افزار، آنتی‌ویروس و آموزش کاربر را انجام دهند و کاربر و مدیر باید بدانند که لازم است تمرکز بیشتری بر روی OSX صورت گیرد، زیرا روز‌به‌‌روز آسیب‌پذیری‌های امنیتی بیشتری از آن آشکار می‌شود.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با معرفی یک نرم افزار مقابله با هکرها، از امکان هک مهاجمانی که به شبکه های کامپیوتری نفوذ می کنند، خبر داد.

به گزارش خبرنگار مهر، مرکز ماهر با معرفی نرم افزار جدید طراحی شده توسط Cymmetria که MazeHunter نامگذاری شده است، اعلام کرد:این نرم افزار امکان مقابله بیشتر با هکرهایی را که به شبکه نفوذ کرده و کنترل دستگاهها را در دست می گیرند فراهم کرده است. این موسسه آن را هک قانونی (legal hackback) می داند و در کنار ابزار تولید شده یک چارچوب را به سازمانها پیشنهاد می کند که تعیین می کند چه عکس العملهای قانونی را می توانند در برابر مهاجمان شبکه خود داشته باشند و هر کدام چه ریسکی را تحمیل خواهد کرد.

ایده طراحی این ابزار از درخواست های دو شرکت بزرگ (که یکی جزء ۵۰۰ شرکت برتر ارتباطات و دیگری از سرویس دهنده های بزرگ مالی است) مبنی بر تمایل این شرکتها به هک مهاجمینی که قصد نفوذ به شبکه آنها را داشته اند نشات گرفته است. هدف آنان نفوذ به هکرها و سرقت ابزارهای بکار گرفته شده توسط آنان به منظور مقابله فعال است.

هک مهاجمان از مدتها پیش یک موضوع بحث برانگیز در جامعه امنیت بوده است. هک مهاجمان در خارج از شبکه داخلی عملی با ریسک بالاست که امکان بالا گرفتن سطح حملات را در پی دارد و اکثر متخصصان آن را توصیه نمی کنند. این عمل نه تنها از لحاظ تکنیکی خطرناک است، بلکه از نظر قانونی نیز در اکثر کشورها نفوذ بدون مجوز محسوب شده و خلاف قانون است.

هکرها می توانند در پشت لایه های متعدد IP مخفی شوند و از شبکه و امکانات قربانیان خود برای حمله استفاده کنند. در این حالت هک مهاجمان می تواند به معنی هک مجدد قربانیان باشد که از لحاظ قانونی نیز دارای مشکلات متعددی است.

با این تفاسیر، Cymmetria معتقد است که MazeHunter ماشینهای درون شبکه سازمان را مورد هجوم قرار می دهد تا با تزریق داده های جعلی به کمپین، ابزار مهاجمان را شناسایی و گمراه کرده و نهایتا حمله را بی نتیجه بگذارد. Hack back مبارزه مستقیم با دشمنان را میسر می سازد و به تیم محافظتی امکان می دهد تا براساس مدل خود در مقابل آنان بایستند.

تفاوت بین hack back و مدیریت رخدادها در این است که سازمانهای قربانی خود تصمیم می گیرند که چه داده هایی را از طریق سیستم های تسخیر شده در اختیار مهاجمین قرار دهند. در عمل به جای استفاده از ابزار جرم شناسی (forensics) برای کشف ابزارها و تکنیک های استفاده شده تیم امنیتی خود هدایت عملیات را بر عهده می گیرد و لیست کامل ابزارها و تکنیک های استفاده شده را بصورت همزمان بدست می آورد.

برخلاف گذشته که پروسه امداد و جرم شناسی بصورت دستی انجام می شد و در عمل زمان کافی در اختیار مهاجمین برای از کار انداختن فیزیکی سیستم ها قرار می گرفت، در سیستم جدید تمام کارها بصورت خودکار و همزمان با حمله انجام می شود.

آثار ایجاد شده توسط مهاجمین بصورت همزمان و پیش از حذف، ثبت شده و با ابزارهایی مانند PowerShell و Metasploit با مهاجمین مبارزه شده و حمله آنها بی ثمر می شود. در این روش بر خلاف اهداف خارج از شبکه، هدف کاملا شناخته شده است.

تکنولوژی فریب (deception) پیش از این توسط دولت، سازمانهای سرویس مالی و موسسات ارتباطی استفاده شده است. از نمونه های پیشین آن می توان به روش کوزه عسل (honey pot) اشاره کرد. اخیرا موجی از تکنولوژی های جدید در این زمینه توسط استارتاپهایی مانند Cymmetri، Illusive Networks و TrapX به راه افتاده که به سازمانها اجازه می دهد به نسبت روش کوزه عسل و یا داده های جعلی برخورد خشن تری با مهاجمین داشته باشند.

به گزارش روز یکشنبه علمی ایرنا از مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای(ماهر)، تاکنون نسخه اولیه این بدافزار منتشر شده که در آن عبارت رمز درخواستی در کد قرار گرفته است و میتوان آن را با تحلیل کد به دست آورد.
عدم وجود نظارت درست روی کانال ها و برنامه های منتشر شده در تلگرام باعث به وجود آمدن بازارهای سیاهی شده که بدافزارهای مختلفی از هکرهای روسی خریداری شده و با کمی تغییر در شکل آن و ترجمه برخی عبارات به فارسی به طور عمومی تحت عناوینی فریبنده منتشر می شوند.
نحوه انتشار برنامه مخرب به نحوی است که هکرها کانال ها و گروه هایی ایجاد می کنند که در آنها بدافزارها به فروش می رسند؛ رایجترین این برنامه ها، بدافزارهای روسی هستند که کد آنها به افراد مختلف فروخته می شود و آنها نیز با داشتن اندک دانش برنامه نویسی قادر خواهندبود برنامه را تغییر داده و به صورت بدافزار ایرانی، تحت عناوین مختلفی از کاربران سوءاستفاده کنند.
بررسی های مرکز ماهر نشان می دهد باج افزار موردنظر نیز که خود را نوعی از باج افزار زئوس معرفی کرده، در کانال های تلگرامی در حال فعالیت است.

مرکز ماهر نسبت به انتشار جاسوس افزاری به نام دادسرای الکترونیکی (e_dadsara) که با هدف سرقت اطلاعات حساب بانکی کاربران، فعال شده است، هشدار داد.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به بدافزاری و جاسوس‌افزاری است که اخیرا در ایران مشاهده شده است، هشدار داد.

این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشه‌ای حاوی اطلاعات الکترونیکی دادسرا می‌کند. این درحالی است که جاسوس‌افزار مخفی شده در شکل پوشه است.

هدف اصلی این جاسوس‌افزار، سرقت اطلاعات قربانی به خصوص اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم،  محتوای کلیپ‌بورد و برنامه‌های اجرا شده توسط کاربر است. 

نحوه شناسایی سیستم آلوده از طریق لاگ‌های شبکه

مرکز ماهر اعلام کرد: تمامی سیستم‌هایی از شبکه که با آدرس ftp://files.۰۰۰webhost.com/public_html/Kl۳۶z۰fHjrKlemente۶۰۲KA۱/ در ارتباط باشند تحت آلودگی این جاسوس افزار قرار دارند. با توجه به این که ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستم‌های میزبان نیز در نظر گرفته شود.

بررسی وجود آلودگی

۱. وجود پوشه‌ای در مسیر زیر در سیستم:
%AppData%Roaming\Adobe\Flash player\AFCache که در آن فایلی با نام syslog<date>.dat و پوشه‌ای دیگر با نام err قرار گرفته‌اند. 

۲. وجود فایلی با مشخصات زیر در سیستم:
%AppData%Roaming\Adobe\HostService.exe

۳. وجود زیرکلیدی با نام HostService (که مقدار آن مشخصات فایل معرفی شده در قسمت ۲ است) در مسیر رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run

۴.  وجود کلید رجیستری در مسیرهای زیر: 
HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe

نحوه پاک‌سازی سیستم

۱. پایان دادن به پردازه HostService.exe در صورتی که در حال اجرا در سیستم است. 
۲. حذف فایل‌ها و کلید رجیستری ایجاد شده (در صورت وجود) که در قسمت قبلی به آن اشاره شده است. 

بررسی پاک بودن سیستم

۱. نبود مقدار HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService در کلید رجیستری ویندوز.
۲. نبود فایل‌هایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
۳. نبود ارتباطات FTP که در فرایند احراز هویت، از نام کاربری solmondesigner استفاده شده باشد.

توصیه‌های امنیتی برای پیشگیری

۱. خودداری از باز کردن مستندات الحاق شده به ایمیل‌های ناشناس و ...
۲. به‌روز بودن نرم‌افزار ضدبدافزار نصب شده روی سیستم
۳. فعال کردن ویژگی نمایش پسوند فایل‌ها در ویندوز و احتیاط در اجرای فایل‌های دارای پسوند exe

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از بروز حملات باج افزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد.

به گزارش خبرنگار مهر، مرکز ماهر در اطلاعیه ای اعلام کرد: در هفته‌های اخیر، گزارش های متعددی از حمله باج افزارها (نرم افزار مخرب باج گیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است.

ورود باج افزارها به نسخه آسیب پذیر ویندوز

بررسی‌های فنی نشان داده که در بسیاری از این حملات،  مهاجمان با سوء استفاده از دسترسی‌ به «سرویس دسترسی از راه دور» در سیستم‌ عامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP) است، وارد شده، آنتی ویروس نصب شده را غیرفعال کرده و با انتقال فایل باج افزار، اقدام به رمزگذاری فایل‌های سرور می‌کنند.

حتی در مواردی، مشاهده شده است که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفاده‌های ممکن، زمان و الگوی انجام پشتیبان‌گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باج‌افزاری بی‌نقص شده‌اند.

طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، در این حملات، مهاجم با سوء استفاده از نسخه‌های آسیب‌پذیر سرویس Remote Desktop‌، رمز عبور ضعیف، تنظیمات ناقص یا بی‌احتیاطی در حفاظت از رمز عبور، وارد سرورها می‌شود.

ریموت دسکتاپ غیرضروری را مسدود کنید

درپی حمله باج افزاری پیش آمده، مرکز ماهر از کاربران سامانه های نرم افزاری خواست به منظور جلوگیری از وقوع این حملات، تا حد امکان، نسبت به مسدود کردن سرویس های غیرضروری ریموت دسکتاپ روی سرورهای در دسترس از طریق شبکه اینترنت اقدام کنند و در صورت ضرورت و غیرقابل اجتناب بودن ارائه این امکان در بستر اینترنت، موارد زیر را به دقت رعایت کنند.

فعال بودن دسترسی Remote Desktop ‌به صورت حفاظت نشده در سطح اینترنت، سرور و داده‌های کاربران را جدا در معرض خطر قرار خواهد داد.

این نکات را جدی بگیرید

۱. به‌روزرسانی مداوم سیستم‌ عامل و هوشیاری از احتمال رخداد حملات جدید و شناسایی آسیب‌پذیری‌های جدید.

۲. انجام منظم و سخت‌گیرانه پشتیبان‌گیری از اطلاعات روی تعداد کافی از رسانه‌های ذخیره‌سازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبان‌گیری.

۳. عدم استفاده از کاربر ادمین (Administrator) برای دسترسی از راه‌دور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظور.

۴. تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش‌های ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام کرده و تغییر رمز عبور در بازه زمانی معقولی را اجبار کند.

این فرآیند در سیستم‌عامل‌های مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می‌شود.

۵. در صورت امکان، محدود کردن اجازه استفاده از خدمات دسترسی از راه‌دور در فایروال به آدرس آی‌پی‌های مشخص و نیز ایجاد لایه‌های دفاعی بیشتر با تکیه بر خدماتی چون VPN.

۶. محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راه‌دور با استفاده از Group Policy Manager ویندوز. برای مثال محدود کردن دسترسی به ساعات اداری یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال کردن آن پس از رفع نیاز.

۷. بررسی مداوم و روزانه گزارش‌های امنیتی (به ویژه گزارش مربوط به Log-in در Event-viewer ویندوز)، گزارش آنتی ویروس و فایروال، جهت آگاه شدن از مواردی چون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیرمتعارف همچون ورود در روزها یا ساعت‌های تعطیل و تلاش‌های ناموفق بدافزارها برای دسترسی و آلوده سازی.

۸. دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور؛ به ویژه زمانی که برای اتصال از رایانه دیگران استفاده می‌شود. چرا که انواع Key logger از تروجان‌ها می‌توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان به سرورها را ممکن کنند.

مرکز ماهر هشدار داد: حملات باج افزاری به سرویس های دسترسی از راه دور، به این دلیل اینکه در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را می‌بینند، بسیار خطرناک بوده و منشاء اغلب حملات با میزان خسارت درشت در ماه‌های اخیر هستند.

مرکز ماهر اعلام کرد: فعال بودن Remote Desktop‌ به صورت حفاظت نشده در سطح اینترنت سرور شما را به طور جدی در معرض خطر قرار خواهد داد.

به گزارش خبرگزاری فارس، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) با اشاره به اینکه در هفته‌های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی در کشور واصل شده است، اعلام کرد: پیش از این نیز با افزایش این نوع حملات در اسفند سال 95 این هشدار منتشر شده بود.

 بررسی‌های فنی نشان داده که در این حملات مهاجمین با سوء استفاده از دسترسی‌های حفاطت نشده به سرویس Remote Desktop ‌ویندوز (پروتکل RDP)، وارد شده، آنتی ویروس نصب شده را غیرفعال می کنند و با انتقال فایل باج افزار اقدام به رمزگزاری فایل‌های سرور می نمایند.

در این حملات مهاجم با سوء استفاده از نسخه‌های آسیب‌پذیر سرویس Remote Desktop‌و یا رمز عبور ضعیف وارد سرور می‌گردد.

لذا به منظور جلوگیری از وقوع این حملات لازم است ضمن مسدود کردن سرویس ‌های غیر ضروریremote desktop بر روی شبکه اینترنت، نسبت به انتخاب رمزهای عبور مناسب و بروز رسانی سیستم‌های عامل اقدام شود.

فعال بودن Remote Desktop‌ به صورت حفاظت نشده در سطح اینترنت سرور شما را جداْ در معرض خطر قرار خواهد داد.

مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باج گیر سایبری پتیا (petya) دریافت نشده، درباره این بدافزار توضیح داد.

به گزارش خبرنگار مهر، هفته گذشته گسترش باج افزار جدیدی به نام پتیا (Goldeneye/Petya) در نقاط مختلف جهان بازتاب وسیعی داشته است. گفته می شود که نحوه گسترش این باج افزار و نیز عملکرد آن بسیار مشابه به باج افزار واناکرای ( WannaCry) است که بیش از یک ماه پیش، آسیب گسترده ای به سیستم های ویندوزی بسیاری از سازمانهای مهم در کشورهای مختلف وارد کرد.

۳۲ سیستم قربانی حمله «پیتا»

تاکنون بالغ بر ۳۲ قربانی توسط «پتیا» آسیب دیده و فایلهایشان رمرگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت کوین(پول مجازی) برای بازپس گیری اطلاعاتشان پرداخت کرده اند.

بیشترین آسیب پذیری مربوط به کشور اوکراین است به نحوی که گفته شده است که کمپانی بزرگ نفتی روسی به نام Roseneft ، کمپانی های تولیدکننده برق اوکراینی، بانکهایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفته اند.

مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای (ماهر) در اطلاعیه ای درخصوص این باج افزار جدید توضیح داد.

این مرکز اعلام کرد: این باج افزار نیز همانند واناکرای (WannaCry)، توسط آسیب پذیری SMB سیستم عامل ویندوز، گسترش پیدا می کند. درحال حاضر این باج افزار شرکتهای کامپیوتری، کمپانی های تولید کننده برق و نیز بسیاری از بانک ها را در کشورهای روسیه، اکراین،اسپانیا، فرانسه،انگلیس و هند را آلوده کرده است.

نکته حایز اهمیت در خصوص این باج افزار، انتشار آن با سواستفاده از همان آسیب پذیری پروتکل SMB مورد استفاد باج افزار واناکرای (WannaCry) است. راهکارهای پیشگیری و مقابله با آن نیز مشابه راهکارهای ارائه شده برای پیشگیری از آلودگی به WannaCry شامل به روزرسانی سیستم های عامل ویندوز و غیرفعال سازی پروتکل SMB,V۱ و همچنین راهکارهای امنیتی عمومی نظیر تهیه و نگهداری نسخه های پشتیبان آفلاین از اطلاعات مهم است.

در واقع سیستم هایی که پیش از این اقدام به به روزرسانی سیستم های عامل برای مقابله با باج افزار WannaCry کرده اند نیاز به اقدام جدیدی ندارند.

تخریب اطلاعات هدف اصلی «پتیا»

آخرین بررسی های تحلیلی نشان داده است که این باج افزار اساسا تخریب گر اطلاعات بوده و حتی مهاجمین دسترسی به کلیدهای رمزنگاری و امکان بازگردانی اطلاعات رمز شده را ندارند؛ علاوه بر این، ایمیل ارتباطی با مهاجمان نیز توسط سرویس دهنده مربوطه مسدود شده است.

مرکز ماهر با اعلام اینکه تاکنون گزارشی مبنی بر آلودگی کاربران داخل کشور به این باج افزار دریافت نشده است، از کاربران خواست درصورت مواجهه با این حمله باج افزاری، از پرداخت هرگونه وجهی به مهاجمان خودداری کنند.

عدم امکان بازگشت فایلهای سرقت شده

برخلاف توصیه های انجام شده در راستای باج افزار wannaCry  در ماه مه سال ۲۰۱۷  میلادی (کمتر از ۲ماه پیش) بازهم بسیاری از دستگاههایی که از ویندوز استفاده می کردند این آسیب پذیری را جدی نگرفته و برای رفع آن اقدامی نکرده اند.

باج افزار «پتیا» از معدود باج افزارهایی است که علاوه بر کارایی مخرب خود روی سیستم قربانی، برای توسعه و تکثیر از بستر اینترنت و شبکه استفاده می کند و بنابراین همانند کرمهای بسیار خطرآفرین شده است.

مرکز ماهر تاکید کرده است که افرادی که این حمله را سازماندهی می کنند از طریق یک ایمیل از  کاربر درخواست پول می کنند که هم اکنون شرکت آلمانی ارائه دهنده سرویس Posteo این ایمیل را به دلیل جرائم اینترنتی، مسدود کرده است. این ایمیل در سیستم قربانی جهت ارسال پول درخواستی و همچنین دریافت کلید بازگردانی فایلها استفاده می شد که هم اکنون مسدود است.

این مرکز از کاربران خواسته است که از پرداخت پول به این باج افزار خودداری کنند چرا که با پرداخت پول نمی توان فایلهای سرقت شده را بازگرداند.

علیرغم اطلاع رسانی های وسیع و ارایه راهنمایی های لازم برای رفع آسیب پذیری مرتبط با حمله باج افزار Wanna Cry ، به دلیل تعلل برخی از سازمان ها و کاربران، این باج افزار طی سه روز گذشته، دو هزار قربانی جدید را در کشور به دام انداخت.

به گزارش روابط عمومی سازمان فناوری اطلاعات ایران، بر اساس اعلام مرکز ماهر، متاسفانه شاهد تعلل کاربران و بعضا مدیران فناوری اطلاعات سازمانها، دستگاهها، و شرکتها در زمینه رعایت توصیه های ایمنی برای جلوگیری از نفوذ باج افزار Wanna Cry بوده و این امر موجب رسیدن تعداد قربانی های این باج افزار به چهار هزار رایانه در کشور شد.

هفته گذشته، باج افزاری تحت عنوان wannacrypt‌ با قابلیت خود انتشاری در شبکه کشور ها شیوع یافت که براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شد و در چند روز نخستین به حدود دو هزار قربانی رسید، اما با اطلاع رسانی به موقع انجام شده و عملیاتی شدن اقدام های لازم، این موضوع در کشور کنترل و گزارش های آلودگی به آن به شدت کاهش یافت.

باج‌افزار مذکور برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده می‌کند که مدتی پیش توسط گروه shadowbrokers منتشر شد. این کد اکسپلویت از یک آسیب پذیری در سرویس SMB سیستم‌های عامل ویندوز با شناسه MS17-010 استفاده می‌کند. در حال حاضر این آسیب‌پذیری توسط مایکروسافت مرتفع شده است اما کامپیوتر‌هایی که بروزرسانی مربوطه را دریافت ننموده‌اند نسبت به این حمله و آلودگی به این باج‌افزار آسیب‌پذیر هستند.

بر همین اساس ، هفته گذشته، باتوجه به راهنماها و راه حل های منتشر شده در سایت های مختلف مبنی بر امکان بازیابی داده های رمز شده توسط باج افزار ها، مرکز ماهر ضمن انجام بررسی های فنی و دقیق مستند کاملی را در این خصوص منتشر کرد که لازم است کاربران هرچه سریعترنسبت به بروزرسانی سیستم ها براساس دستور العمل های قبلی مرکز ماهر اقدام کنند.

باتوجه به اخبار دریافتی و بررسی حوادث امنیتی بر روی تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی در روز یکشنبه مورخ 7 خردادماه مبنی بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی بر روی سرویس‌دهنده‌های وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع و ارتباط با سازمان‌های مورد حمله قرار گرفته، نسبت به پیگیری ابعاد حادثه‌ و همچنین تهدیدات پیش رو،  اقدامات لازم و ضروری را بعمل آورده است. از آنجائیکه تکرار حوادث مشابه در دیگر سایت ها نیز وجود دارد؛ لدا جهت پیشگیری و آمادگی برای حوادث احتمالی مشابه، برخی از نتایج بدست آمده تاکنون به شرح زیر اعلام می گردد:

- هدف حمله منع سرویس توزیع شده، سیستم‌های عامل ویندوز با سرویس‌‌دهنده‌های وب IIS بوده‌است و تمامی اهداف مورد حمله قرار گرفته تاکنون از شرایط فنی یکسان برخوردار بوده‌اند.

- آناتومی حمله، شامل ارسال زیاد درخواست‌های HTTP به سمت وب‌سرورها با حجم و تعداد بالا می‌باشد، که باعث ایجاد پردازش سنگین بر روی سرویس‌دهنده‌ها گردیده‌است.

- هدف اولیه این حمله پهنای باند شبکه نبوده، لذا تشخیص اولیه با سیستم‌های مانیتورینگ و پایش معمولی به سختی قابل انجام است و با تاخیر تشخیص حاصل می‌گردد.

- پیکربندی صحیح سرویس‌دهنده‌های وب که میزبان برنامه‌های کاربردی تحت وب می‌باشند، باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستم‌ها و برنامه‌های کاربردی را تحت تاثیر قرار می‌دهد.

روش‌های پیشگیری و مقابله:

- استفاده از دیواره‌های آتش اختصاصی لایه کاربرد یا WAF و پیکربندی موثر آن به تناسب تعداد کاربران و نیز شرایط برنامه‌ی کاربردی هر سازمان.

- یکی از اولین اقدام‌های امنیتی، مقاوم‌سازی سرویس‌دهنده‌های وب در مقابل ارسال درخواست‌های سیل‌آسا جهت تشخیص و جلوگیری می‌باشد، برای این منظور لازم است تا به روش‌های مختلف نظیر استفاده از ماژول‌های امنیتی و قابلیت‌های درونی سرویس‌دهنده‌های وب IIS موارد لازم به تناسب پیکربندی گردد.

- از فضاهایی اشتراکی اجتناب گردد و در صورت استفاده، موارد امنیتی مرتبط را رعایت نمایید.

- یکی از موثرترین پیکربندی‌ها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions می‌باشد.

- در طراحی و پیکربندی برنامه‌های کاربردی مختلف هر یک دارای application pools مجزا باشند.

- پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویس‌دهنده، جهت فیلترسازی درخواست‌های ورودی ناخواسته بر اساس قواعد امنیتی

- پیکربندی فایل‌های ثبت وقایع یا ماژول Logging در سرویس‌دهنده‌ی وب IIS، جهت بررسی و پاسخگویی‌های امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری می‌باشد.

- مجزا کردن یا ایزوله کردن نرم افزارهای کاربردی تحت وب مختلف

- ایجاد Worker Processهای منحصر به فرد برای هر یک از نرم افزارهای کاربردی تحت وب مختلف

- به‌روز رسانی سیستم‌عامل و نصب آخرین وصله‌های امنیتی نیز همیشه توصیه می‌گردد.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای هشدار داد که هکرها می توانند گذر واژه کاربران سایت‏هایی که با وردپرس نوشته شده ‏اند را تغییر دهند.

به گزارش خبرگزاری مهر، مرکز ماهر اعلام کرد: وردپرس محبوب‌ترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیب‌پذیری منطقی به هکر این امکان را می‌دهد که گذرواژه‏ کاربر را تغییر دهد.

خطر این آسیب ‏پذیری (CVE-۲۰۱۷-۸۲۹۵) زمانی مشخص می‏ شود که بدانید همه نسخه‏ های وردپرس حتی آخرین نسخه یعنی نسخه ۴.۷.۴ هنوز این آسیب‏ پذیری را دارند.

این آسیب پذیری سال گذشته توسط یک محقق لهستانی در زمینه امنیت به نامDavid Golunski کشف شد و همان زمان به تیم امنیت وردپرس گزارش شد، اما تیم امنیتی وردپرس تصمیم گرفتند آن را نادیده بگیرند و میلیون‌ها وب سایت اینترنتی وردپرسی را آسیب‌پذیر نگه دارند.

زمانیکه یک کاربر با استفاده از گزینه‏ بازیابی گذرواژه، درخواست بازیابی گذرواژه را صادر می‏ کند، وردپرس یک کد محرمانه تولید و آن را برای آدرس ایمیل کاربر (که در پایگاه داده ذخیره شده) ارسال می‏ کند.

هنگام ارسال این ایمیل، وردپرس از یک متغیر به نام  SERVER_NAME استفاده می‌کند تا نام هاست (Hostname) را به دست آورده و در جایی دیگر مانند قست From ایمیل یا همان نام سایت مبدأ ارسال کننده ایمیل از آن استفاده کند. در این قسمت امکان دسترسی و تغییر گذرواژه وجود دارد.

مرکز ماهر اعلام کرد: باج افزار سایبری «واناکرای» در نسخه نهایی خود از روش رمزنگاری قوی استفاده می کند که تاکنون هیچ روشی برای رمزگشایی فایلهای آسیب دیده از سمت این بدافزار، یافت نشده است.

اوایل هفته گذشته، نرم افزار مخربی تحت عنوان «واناکرای» با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بالغ بر ۷۵ هزار سیستم کامپیوتری را آلوده کرده است.

براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باج گیر، در سطح شبکه کشور ما نیز مشاهده شده به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمان، قربانی این باج افزار در کشور شده اند که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها و در تهران و اصفهان شناسایی شده است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای در اطلاعیه جدید خود در خصوص انتشار سریع آسیب پذیری بدافزار رایانه ای «واناکرای» اعلام کرد: «با توجه به حمله گسترده باج‌افزار wannacry در سطح جهان و شیوع سریع آن و نیز آلودگی کاربران ایرانی به این بدافزار، به کاربران توصیه اکید می‌شود که منحصرا از روش‌ها و راه‌کارهای معرفی شده توسط مراجع شناخته شده، از جمله مرکز ماهر برای رفع آلودگی به این بدافزار استفاده کنند. »

این مرکز با تاکید براینکه نسخه نهایی این باج‌افزار از روش رمزنگاری قوی استفاده می‌کند، هشدار داد: «نرم افزارها و وب‌سایت‌های ناشناخته‌ای که گاهی در جستجوهای اینترنتی ظاهر می‌شوند، خود منتشر کننده بدافزارهای دیگری هستند که با شناسایی سیستم‌های آسیب دیده و آسیب‌پذیر می‌توانند به آنها از همان طریق ورود این بدافزار نفوذ کرده و سبب ایجاد آسیب‌های بیشتر شوند.»

برخی از این وبسایتهای ناشناخته مانند شکل زیر در جستجوهای اینترنتی ظاهر می شود و کاربران باید توجه داشته باشند که وبسایتهای ناشناخته را باز نکنند:

طبق اعلام مرکز ماهر، با اینکه در بسیاری از موارد، این باج افزار موفق به رمزگذاری تمام فایل‌ها در  سیستم ‌های قربانی نشده است، اما با این وجود در خصوص موارد رمزگذاری موفق، تاکنون هیچ روش موثری برای رمزگشایی فایل‌های آسیب دیده در هیچ‌ یک از کشورهای مورد حمله یافت نشده است.

به گزارش مهر این مرکز با تاکید براینکه در صورت پیدا شدن راه حل مناسب، به سرعت و به شکل مطمئن، موضوع از طریق مرکز ماهر اطلاع رسانی می شود، یادآور شد: کاربران در صورت مبتلا شدن به آسیب‌های ناشی از این باج‌افزار، ضروری است تا پس از حذف آن، نسبت به حذف دیگر بدافزارهایی که به همراه آن نصب شده‌اند نیز اقدام کنند.

نحوه پیشگیری و حذف بدافزار باج گیر در وبسایت مرکز ماهر از این لینک در دسترس قرار دارد.

درپی حمله جهانی بدافزارسایبری که به بیش از ۱۰۰ کشور آسیب رسانده، وزارت ارتباطات مدعی شد که آنتی ویروس ایرانی موفق به جلوگیری از حملات این باجگیر شده است.

به گزارش خبرگزاری مهر، اوایل هفته جاری نرم افزار مخربی تحت عنوان «واناکرای» با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بیش از ۷۵ هزار سیستم کامپیوتری را آلوده کرده است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باج گیر، در سطح شبکه کشور ما نیز مشاهده شده به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمان، قربانی این باج افزار در کشور شده اند که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها و در تهران و اصفهان شناسایی شده است.

آنتی ویروس بومی حملات باج گیر سایبری را متوقف کرد

با این وجود وزارت ارتباطات اعلام کرده است که سیستم هایی که از ضدبدافزار بومی «پادویش» استفاده می کرده اند از این حملات مصون مانده اند.

این وزارتخانه تاکید کرد: «بدافزار باجگیر که به سیستم های کشورهای همجوار حملات گسترده ای انجام داده است، توسط ضدباجگیر بومی پادویش شناسایی شد و به سیستم‌هایی که از این آنتی ویروس استفاده می‌کنند آسیبی نرسید.»

شیوه عملکرد این باج‌افزار به این صورت است که اقدام به رمزنگاری کلیه فایل‌ها و داده‌های رایانه‌ اشخاص می‌کند و سپس درخواست باج (واریز پول به طریق اینترنتی و ...) در قبال رمزگشایی برای اجازه دسترسی صاحبان اطلاعات می‌کند و اشخاص تا قبل از پرداخت باج، نمی توانند به فایل‌ها و اطلاعات داخل کامپیوتر خود دسترسی داشته باشند.

با وجود انتشار این بدافزار در چند روز گذشته در سراسر جهان و در برگیری حدود ۹۰ کشور، آنتی ویروس پادویش توانست با موفقیت بدافزار باجگیر را شناسایی و حملات آن را متوقف کند.

وزارت ارتباطات به کاربران فضای مجازی توصیه کرده است که برای جلوگیری از آسیب های احتمالی و آلوده شدن سیستمهای خود، علاوه بر نصب کردن «آنتی ویروس بومی» در سیستم عامل ویندوز و اندروید که مجهز به ضد باجگیر است، از داده های خود نیز پشتیبان تهیه و سیستم عامل کامپیوتر خود را بروز کنند. همچنین اشتراک فایل ویندوز را غیرفعال و ویندوزهای قدیمی پایین‌تر از ویندوز۷ شامل XP و ... را کنار بگذارند.

همچنین به همه کاربران توصیه اکید می‌شود، آنتی ویروس بومی را همراه نسخه باجگیر آن روی سیستم‌های کامپیوتر و موبایل خود نصب کنند چرا که این آنتی ویروس نه تنها واناکرای (WannaCry) را حتی قبل از اینکه منتشر شود، تشخیص داده و خنثی می کند، بلکه جلوی انواع دیگر باجگیرها را نیز می گیرد.

ضدبدافزار بومی پادویش تنها محصول کامل کشور است که با مشارکت و همکاری پژوهشگاه ارتباطات و فناوری اطلاعات و یک شرکت دانش بنیان با بکارگیری ده‌ها نیروی نخبه و متخصص جوان ایرانی درداخل کشور تولید شده و در سال ۱۳۹۵ نسخه تکامل یافته خانگی و تجاری آن منتشر شد. لینک دسترسی به این آنتی ویروس از اینجا قابل دریافت است.

حمله باج گیر سایبری در ایران کاهش یافت

درهمین حال مرکز مدیریت امداد و هماهنگی رخدادهای رایانه ای (ماهر) وابسته به سازمان فناوری اطلاعات ایران، با اشاره به تولید ضد باج افزار بومی برای مقابله با واناکرای، اعلام کرد که این آنتی ویروس توسط مرکز ماهر مورد ارزیابی امنیتی قرار گرفته و در پیشگیری کامل از آلودگی  به باج افزارها، از جمله باج افزار مذکور موثر شناخته شده است.

این مرکز اعلام کرد که باج‌افزار wannacrypt ، همزمان با شیوع در سطح جهان، در بخش هایی از کشور ما هم موجب آلودگی برخی رایانه ها شد که با اقدام های صورت گرفته و افزایش سطح آگاهی متقاضیان و فعالیت های مورد نیاز برای پیشگیری و مقابله با این پدیده ، روند شیوع آن از ظهر روز گذشته با کاهش بسیار چشمگیری رو به رو بوده است.

این کاهش حملات، بیانگر رعایت توصیه های ارائه شده از سوی مرکز ماهر توسط دستگاهها و کاربران کشورمان و اقدام های پیشگیرانه در سطح شبکه زیرساخت ارتباطی کشور بوده است.

با توجه به اتفاقات اخیر و انتشار باج‌افزار WannaCrypt، نرم‌افزار ضدباج‌افزار بومی با مشارکت و سرمایه گذاری وزارت ارتباطات و فناوری اطلاعات توسعه یافته و در دسترس عموم قرارگرفته است.

روابط عمومی سازمان IT - ابزار توسط مرکز ماهر مورد ارزیابی امنیتی قرار گرفته و در پیشگیری کامل از آلودگی  به باج‌افزارها از جمله باج‌افزار مذکور موثر شناخته شده است.

این گزارش حاکی است، باج‌افزار wannacrypt ، همزمان با شیوع در سطح جهان، در بخش‌هایی از کشور ما هم موجب آلودگی برخی رایانه‌ها شد که با اقدام‌های صورت گرفته و افزایش سطح آگاهی متقاضیان و فعالیت‌های مورد نیاز برای پیشگیری و مقابله با این پدیده ، روند شیوع آن از ظهر روز گذشته با کاهش بسیار چشمگیری رو به رو بوده که بیانگر رعایت توصیه‌های ارایه شده از سوی مرکز ماهر توسط دستگا‌ها و کاربران کشورمان و اقدام‌های پیشگیرانه در سطح شبکه زیرساخت ارتباطی کشور بوده است.

کاربران می‌توانند از طریق سایت مرکز ماهر نسبت به  دریافت و استفاده از نرم‌افزار بومی تولید شده اقدام کنند.

بر اساس جدیدترین آمار ارایه شده از سوی مرکز ماهر، تا کنون بیش از دو هزار قربانی به باج‌افزار wannacrypt آلوده شده اند که از این تعداد حدود یک هزار و 500 قربانی از سوی مرکز ماهر و مابقی از طریق گزارش سازمان ها و نهادهای مختلف شناسایی شده است.

به گزارش روابط عمومی سازمان فناوری اطلاعات ایران، بیشترین آلودگی از طریق این باج افزار به ترتیب متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی بوده و بیشترین استان های آلوده، تهران و اصفهان می باشند.

تا کنون و از سوی مرکز ماهر، به بیش از 50 اپراتور و سازمان که بیشترین آلودگی را داشته اند، علاوه بر اعلان از طریق نامه های رسمی، به صورت تلفنی مشاوره های لازم در جهت پیشگیری و مقابله با باج‌افزار wannacrypt ارایه شده است.

همچنین طی سه روز گذشته، 500 درخواست راهنمایی از سوی بخش های مختلف مطرح شده که اقدام های لازم برای افزایش سطح آگاهی متقاضیان و فعالیت های مورد نیاز برای پیشگیری و مقابله با این پدید صورت گرفته است.

به روزرسانی سیستم عامل ویندوز، پشتیبان گیری از اطلاعات مهم و حیاتی سیستم ها، به روزرسانی آنتی ویروس ها و اطلاع رسانی به کاربران جهت عدم اجرای فایل های پیوست ایمیل های ناشناس، غیرفعال کردن پروتکل SMB، در سیستم عامل ویندوز درصورت عدم به روزرسانی یا نصب وصله ها، بستن پورت های 445 و 139 از طریق فایروال سیستم عامل ویندوز و خودداری از بازکردن ایمیل های مشکوک و ناشناس، از جمله راهکارهای فنی ارایه شده در این حوزه می باشد.

لازم به ذکر است کاربران می توانند برای دریافت آخرین اطلاعات و راهنمایی ها در خصوص پیشگیری و مقابله با باج‌افزار wannacrypt به آدرس اینترنتی سایت مرکز ماهر به نشانی WWW.CERTCC.IR مراجعه کنند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با اعلام افزایش حمله باج افزارهای رایانه ای به سرورهای ویندوزی از طریق سرویس «ریموت دسکتاپ» در کشور ، نسبت به خطرات احتمالی هشدار داد.

به گزارش خبرنگار مهر، مرکز ماهر وابسته به سازمان فناوری اطلاعات اعلام کرد: در هفته‌های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی در کشور واصل شده است.

بررسی‌های فنی نشان داده که در این حملات مهاجمین با سوءاستفاده از دسترسی‌های حفاطت نشده به سرویس Remote Desktop ‌ویندوز (پروتکل RDP)، وارد شده و با انتقال فایل، باج افزار اقدام به رمزگزاری فایل‌های سرور می‌ کند.

در این حملات مهاجم با سوءاستفاده از نسخه‌های آسیب‌پذیر سرویس Remote Desktop‌ و یا رمز عبور ضعیف، وارد سرور می‌شود.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از کاربران خواست به منظور جلوگیری از وقوع این حملات سایبری، علاوه بر مسدود کردن سرویس های غیر ضروری remote desktop روی شبکه اینترنت، نسبت به انتخاب رمزهای عبور مناسب و به روز رسانی سیستم‌های عامل اقدام کنند.

به گزارش مهر، باج افزارها یا بدافزارهای باجگیر گونه‌ای از نرم افزارهای مخرب هستند که دسترسی به سیستم رایانه ای فرد را محدود می‌کنند و ایجادکننده آن برای برداشتن محدودیت، درخواست باج می‌کند.

برخی از انواع این بدافزارها، روی فایل‌های هارد دیسک رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهد مبالغی را برایشان واریز کنند.

مرکز ماهر امکان اسکن آنلاین فایل ها با 10 آنتی ویروس اروپایی و امریکایی را فراهم کرد
فناوران- مرکز ماهر در ادامه توسعه راهکارها و ابزارهای امنیت سنجی رایگان خود، اقدام به راه اندازی سامانه ویروس کاو کرده است. این سامانه یک پویشگر بدافزار چند موتوره مجهز به ۱۰ آنتی ویروس به روز است.
کاربران می توانند در هنگام مواجهه با هرگونه فایل مشکوک آن را در این سامانه بارگذاری کرده و از نتایج پویش آن توسط آنتی ویروس های مختلف مطلع شوند. برای استفاده از این ابزار کافی است به آدرس scanner.certcc.ir مراجعه کنید.
مرکز ماهر اعلام کرده است درصورت ممانعت آنتی ویروس برای ارسال یک فایل مشکوک، می توانید فایل مشکوک را به صورت زیپ شده و با رمز 123456 نیز بارگذاری کنید.
همچنین مرکز ماهر مدعی شده است در این سامانه امنیت و محرمانگی فایل های بارگذاری شده موردنظر قرار داشته و آنتی ویروس ها به صورت کاملا آفلاین هستند.
آنتی ویروس های استفاده شده در این سامانه شامل آنتی ویروس های اروپایی eeset، Bitdefender F-Secure، Avast، Kaspersky، Sophos، Dr.Web و آنتی ویروس های آمریکایی Comodo، Symantec و ClamAV می شوند. 
نکته جالب اینکه خبری از آنتی ویروس ایرانی پادویش در این لیست نیست و به نظر می رسد مدیران مرکز ماهر معتقدند اگر این 10 آنتی ویروس موردی را کشف نکنند، پادویش هم از کشف آن عاجز خواهد بود. البته معمولا برای تبلیغ محصول ایرانی هم که شده، نام آنتی ویروس ایرانی می بایست در لیست قرار می گرفت اما مدیران مرکز ماهر ترجیح دادند صرفا از آنتی ویروس های اروپایی و آمریکایی در این سامانه بهره ببرند.
براساس این گزارش، مرکز ماهر در توضیح پویشگر بدافزار چندموتوره آورده است: هنگام کار با اینترنت یا بازکردن ضمائم پست الکترونیکی ارسالی به شما، ممکن است با فایل هایی مواجه شوید که از نظر آلودگی به بدافزار به آنها مشکوک شوید. با استفاده از این ابزار قادر خواهید بود تا فایل موردنظر خود را با حدود 10 عدد از بهترین آنتی ویروس ها که به صورت مداوم توسط مرکز ماهر به روزرسانی می شوند، پویش کرده و نتایج آن را ملاحظه نمایید. همچنین در صورتی که فایل مورد نظر شما قبلا توسط کاربران سیستم پویش شده باشد، نتایج پویش های قبل را نیز ملاحظه 
خواهید کرد.
پس از بارگذاری فایل، این سامانه نتیجه را به تفکیک هر آنتی ویروس ارایه می کند. نکته جالب و مفید نیز اینکه زمان آخرین به روز رسانی آنتی ویروس اعلام می شود. 
برای مثال روز گذشته آخرین به روز رسانی کسپرسکی مربوط به 24 بهمن ماه و آخرین به روز رسانی comodo مربوط به 19 بهمن ماه بوده است.

مرکز مدیریت عملیات رخدادهای رایانه ای از شناسایی یک نرم افزار مخرب باج گیر خبر داده که تحت عنوان یک بازی رایگان می تواند روی سیستم کاربران ایرانی نصب شود و امنیت اطلاعات آنها را تهدید کند.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) نسبت به فعال شدن باج افزار جدید ایرانی تحت عنوان «Click Me» هشدار داد.

Click Me نام باج‌افزار جدید ایرانی است که تحت عنوان یک بازی رایگان روی سیستم نصب شده و به‌صورت پنهان فایل‌ها را رمز می‌کند و پس از آن برای دسترسی به فایل‌ها، تقاضای باج می‌کند. البته این باج‌افزار در مراحل اولیه توسعه خود قرار دارد و هم اکنون خطر زیادی را ایجاد نخواهد کرد اما ممکن است در آینده خطرهای جدی‌تری را برای قربانیان ایجاد کند.

این باج‌افزار در قالب یک بازی کامپیوتری سبک ارائه شده و هنگامی که کاربر مشغول بازی است، در پس زمینه به رمز کردن فایل‌های سیستم قربانی می‌پردازد.

صفحه بازی یک صفحه ساده با پس زمینه عکس است و کاربر باید روی دکمه click me کلیک کند. با هر بار کلیک روی این دکمه، پس زمینه صفحه تغییر کرده و درخواست کلیک تکرار می‌شود.پس از چند بار تکرار این عمل، صفحه درخواست هکر از فرد قربانی نشان داده می‌شود.

این صفحه از کاربر تقاضای پرداخت پول می‌کند تا پسورد فایل‌های رمز شده سیستم قربانی را در اختیار وی قرار دهد.  البته هنوز اطلاعات دقیقی در این صفحه وجود نداشته و مبلغ درخواستی و یا اطلاعاتی برای واریز پول وجود ندارد. اما ممکن است با پیشرفت این باج‌افزار این صفحه تکمیل شود.

این باج‌افزار به فایل‌هایی که رمز می‌کند، پسوند «hacked» را اضافه می‌کند. الگوریتم رمز مورد استفاده این باج‌افزار AES با طول کلید ۲۵۶ بیت است. این برنامه توانایی آسیب رساندن به فایل‌های متنی، چندرسانه‌ای و آفیس را دارد.

بررسی بدافزار فوق از سوی مرکز ماهر نشان داده که این باج‌افزار در حال توسعه است و در حال حاضر تنها یک فایل به نام «ransom-flag.png» که در درایو «D:\» ایجاد می‌کند را رمز کرده و بقیه فایل‌ها را دست نخورده باقی می‌گذارد.  به همین دلیل اکنون این باج‌افزار خطر جدی ایجاد نمی‌کند. اما این امکان وجود دارد که با توسعه آن، خطرات جدی را متوجه سیستم قربانی کند.

مرکز ماهر به کاربران هشدار داد: این گونه بدافزارها تقریبا یک استراتژی مشخص برای تکثیر خود دارند. آن‌ها برای نفوذ از روش‌های دانلود نرم‌افزار از سایت‌های غیر معتبر، آپدیت برنامه‌ها از منابع غیر رسمی، فایل‌های پیوست شده به ایمیل‌های آلوده و تروجان‌ها استفاده می‌کنند. پس لازم است برای جلوگیری از آلوده شدن به این گونه برنامه‌های مخرب، از منابع و سایت‌های غیر معتبر دانلود انجام نشود و از باز کردن ایمیل‌های مشکوک خودداری شود؛ همچنین استفاده از یک آنتی‌ویروس قوی و به روز احتمال آلوده شدن به این گونه برنامه‌های مخرب را کاهش می‌دهد.

لیست فایل هایی که می توانند در معرض آسیب از طرف این باج افزار باشند و نیز روش‌های مقابله با این باج‌افزار در سایت اطلاع رسانی مرکز ماهر به نشانی http://certcc.ir قرار داده شده است. 

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ایران از شناسایی باج افزار تازه «دونالد ترامپ» خبر داد و به کاربران توصیه کرد: هنگام بازکردن نامه های الکترونیکی خود دقت بیشتری داشته باشند.

بنا بر اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، باج افزار «دونالد ترامپ» یکی از 11 باج افزار مهم شناسایی به شمار می رود که در جریان انتخابات آمریکا ایجاد شده است.
احتمال استفاده از این باج افزار در هرزنامه های انتخاباتی بسیار زیاد است و بنابراین کاربران رایانه ای باید هنگام استفاده از این ابزار نوین دقت بیشتری داشته باشند.
باج افزارها گونه ای از بدافزارها (نرم افزارهای مخرب) به شمار می آیند که قادرند به روش های مختلف از جمله رمزنگاری، دسترسی قربانی به فایل ها یا کل سیستم را محدود کرده و در ازای دریافت باج، محدودیت را برطرف سازند.
باج افزار دونالد ترامپ در نسخه آزمایشی خود بوده و اگرچه اکنون باجی برای رمزگشایی فایل ها دریافت نمی کند اما احتمال آنکه از این باج افزار در هرزنامه های انتخاباتی استفاده شود، بسیار زیاد است.
مرکز ماهر از کاربران خواسته است دقت بیشتری در دریافت ایمیل هایی که حاوی این موضوع است، داشته باشند.
باج افزار مذکور از الگوریتم AES برای رمزنگاری فایل ها بهره می برد و فایل های رمزشده آن نیز دارای پسوند (ENCRYPTED) هستند.
مرکز ماهر، باج افزار دیگری که به کاربران آسیب می رساند را ناگینی(Nagini) معرفی کرده که در صفحه قفل این باج افزار تصویر یکی از شخصیت های داستانی هری پاتر نشان داده می شود.
باج افزار مذکور از طریق وارد کردن شماره کارت اعتباری نسبت به دریافت باج اقدام می کند.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ایران از شناسایی 11 باج افزار جدید در ماه های اخیر اطلاع داده است.
این مرکز همچنین از تهیه پنج ابزار رمزگشایی برای این باج افزار ها خبر داده است.
مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای ایران با توجه به اهمیت پاسخگویی به رخدادهای فضای تبادل اطلاعات داده و ایجاد مراکز پاسخگویی به رخدادهای امنیت کامپیوتر (CSIRT) در کشورهای مختلف از جمله کشور های حوزه خلیج فارس ایجاد شده است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ۱۳ مصداق نقض حریم خصوصی در شبکه های اجتماعی را با هدف آشنایی کاربران به قوانین مرتبط با این شبکه های مجازی اعلام کرد.

به گزارش خبرگزاری مهر، مرکز ماهر در راستای آگاهی رسانی قوانین مرتبط با شبکه های اجتماعی، مصادیق نقض حریم خصوصی کاربران را مطابق با قوانین جرایم رایانه ای منتشر کرد.

این مرکز مسائل و چارچوب‌های قانونی مرتبط با فضای مجازی، به خصوص شبکه‌های اجتماعی را مورد بررسی قرار داده و نگاه موشکافانه‌ای به ساختارهای قانونی موجود مستقیم و غیرمستقیم در این حوزه‌ داشته است.

تاریخچه مقابله قانونی با جرائم فضای مجازی در کشور

لزوم ایجاد و توسعه‌ ساختاری برای برقراری امنیت و محافظت از حریم خصوصی در فضای مجازی تولید و تبادل اطلاعات کشور با توسعه روزافزون زیرساخت‌های فناوری اطلاعات و ارتباطات در ایران و افزایش کاربران و استفاده‌کنندگان از اینترنت، مساله­ ای است که هر روز اهمیت بیشتری می یابد. علاوه بر آن توسعه خدمات الکترونیک در کشور، لزوم پرورش نیروی‌های تخصصی و برخورداری از امکانات بازدارنده و امنیتی برای تامین امنیت و مقابله با جرائمی که در این فضا به وقوع می‌پیوندند را آشکار می‌کند.

در طول سالیان، جرایم رایانه‌ای در فضای مجازی ابعاد بسیار گسترده‌ای مانند کلاهبرداری‌های اینترنتی، هک و نفوذ به سامانه‌های رایانه‌ای و اینترنتی، جعل داده‌ها و عناوین، تجاوز به حریم خصوصی اشخاص و گروه‌ها، سرقت اطلاعات، هرزه‌نگاری و جرائم اخلاقی و برخی جرائم سازمان‌یافته اقتصادی، اجتماعی و فرهنگی یافته‌ که لزوم ایجاد پلیس تخصصی که توان پی‌جویی و رسیدگی به این چنین جرائم سطح بالای فناورانه را داشته باشد، بیش از پیش برجسته ساخته است.

از سوی دیگر با تصویب قانون جرائم رایانه‌ای در مجلس شورای اسلامی و لزوم تعیین ضابط قضایی برای این قانون و نیز مصوبات کمیسیون فضای تبادل اطلاعات (فتا) دولت جمهوری اسلامی ایران مبنی بر تشکیل پلیس فضای تولید و تبادل اطلاعات، این بخش در بهمن‌ماه سال ۱۳۸۹ به دستور فرماندهی نیروی انتظامی جمهوری اسلامی ایران، تشکیل شد.

قانون جرائم رایانه‌ای در سال ۱۳۸۸ برای تعیین مصادیق استفاده مجرمانه از سامانه‌های رایانه‌ای و مخابراتی به تصویب مجلس شورای اسلامی رسید و به دنبال آن کمیته تعیین مصادیق محتوای مجرمانه بر اساس ماده ۲۲ این قانون تشکیل و پس از آن فهرستی از مصداق‌های محتوای مجرمانه توسط این کمیته در دی‌ماه ۱۳۸۸ ارائه شد.

این فهرست در ۵ فصل در بخش‌های «محتوای خلاف عفت و اخلاق عمومی، محتوای علیه مقدسات، محتوای علیه امنیت و آرامش عمومی، محتوای علیه مقامات و نهادهای دولتی و عمومی و محتوایی که برای ارتکاب جرائم رایانه‌ای و سایر جرائم» تهیه شده است که عنوان قانون جرائم رایانه‌ای گرفت. علاوه بر بخشی از این فهرست که در قانون مجازات اسلامی نیز آمده است، در برخی موارد نیز که معلول جرائم جدید به وجود آمده به دلیل فضای منحصر به فرد مجازی است مصادیق تازه ای ارائه شد و برای آنها جرم و مجازات تعریف شد.

قوانین مرتبط با رعایت حریم خصوصی در کشور

مرکز ماهر با اشاره به توجه به منزلت انسانی و ارزش‌های مبتنی بر انواع آزادی‌ها در جامعه اطلاعاتی و مجازی و حقوق مربوط به آن، اعلام کرد: توجه به حریم خصوصی یکی از ارکان حقوق شهروندی در هر جامعه­‌ای است و افراد جامعه باید آگاهی­های لازم در مورد این حق را داشته باشند.

یکی از مهم‌ترین عوامل ایجاد آرامش ذهنی مردم و امنیت روانی جامعه توجه و حفاظت از حریم خصوصی توسط تمامی بخش‌های کشور و ایجاد بستری مناسب برای برخورد با ناقضان حریم خصوصی است. با گسترش وسایل ارتباطات جمعی و فضای مجازی و ایجاد و توسعه شبکه‌های اجتماعی توجه به حریم خصوصی اهمیتی مضاعف یافته و مرز میان حریم خصوصی و عمومی هر روز باریک­تر می­ شود.

از این رو نیاز به قوانین و مقررات پیشگیرانه که با مجازات سنگین و بدون اغماض، با ناقضان حریم خصوصی و افشاگران اسرار مردم برخورد کند امری مشهود در این حوزه است. البته اجرای صحیح این کار، مشروط به آموزش مردم، بیان مصادیق حریم خصوصی و نقض آن و فرهنگ‌سازی در این زمینه است تا بتوان هم خلاهای قانونی را رفع کرد و هم راهکارهایی ارائه داد تا یکی از مهم‌ترین مقوله‌های حقوق شهروندی مردم که حفظ حریم خصوصی آن‌ها است، نهادینه شود و هر کس منطبق با شرایط و موقعیت اجتماعی خود، حداقل آگاهی و دانش را در رابطه با حریم شخصی خود و دیگران داشته باشد.

البته در سال‌های اخیر، اقداماتی برای حفظ حریم خصوصی افراد جامعه و مجازات خاطیان در این زمینه انجام‌شده که بسیار مؤثر بوده است. بااین‌حال تلاش‌های بیشتری توسط متولیان امر برای گسترش قوانین بازدارنده در این زمینه مورد نیاز است.

۱۳ مصداق نقض حریم خصوصی در شبکه های اجتماعی

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای تاکید کرد: در سال‌های اخیر تلاش‌های زیادی در مورد اهمیت‌بخشی بیشتر به لزوم رعایت حریم خصوصی افراد در فضای مجازی را شاهد بوده‌ایم. این سیاست‌ها با تدوین و تصویب حقوق شهروندی که حفظ حریم خصوصی یکی از ارکان آن است نمود عینی یافته است. بااین‌حال این قوانین نیازمند نظارت و التزام دستگاه‌های گوناگون و برقراری هماهنگی‌های لازم برای اجرا است که امید می رود به زودی شاهد رشد و گسترش مفاهیم حقوق شهروندی در همه ابعاد باشیم.

یکی از مهم‌ترین بخش‌های موجود در قانون جرائم رایانه‌ای حوزه مرتبط با نقض حریم خصوصی و انجام فعالیت‌های بزهکارانه در فضای مجازی است.

مصادیق نقض حریم خصوصی در شبکه‌های اجتماعی که در قانون (به ویژه قانون جرائم رایانه‌ای) جرم‌انگاری شده، به شرح زیر است:

۱. دسترسی غیرمجاز به داده‌های رایانه‌ای یا مخابراتی نظیر هک ایمیل یا حساب کاربری اشخاص

۲. شنود غیرمجاز محتوای در حال انتقال در سیستم­های رایانه‌ای یا مخابراتی نظیر استفاده از نرم‌افزارهای شنود چت‌های اینترنتی

۳. دسترسی غیرمجاز به داده‌های سری در حال انتقال در سیستم­های رایانه‌ای یا مخابراتی یا حامل‌های داده یا تحصیل و شنود آن

۴. در دسترس قرار دادن داده‎های سری در حال انتقال در سیستم‌های رایانه‌ای یا مخابراتی یا حامل‌های داده برای اشخاص فاقد صلاحیت

۵. نقض تدابیر امنیتی سیستم‌های رایانه‌ای یا مخابراتی به قصد دسترسی به داده‌های سری در حال انتقال در سیستم‌های رایانه‌ای یا مخابراتی یا حامل‌های داده

۶. حذف یا تخریب یا مختل یا غیرقابل‌پردازش کردن داده‌های دیگری از سیستم‌های رایانه‌ای یا مخابراتی یا حامل‌های داده به‌طور غیرمجاز

۷. از کار انداختن یا مختل کردن سیستم‌های رایانه‌ای یا مخابراتی به‌طور غیرمجاز نظیر غیرفعال سازی پایگاه‌داده  تارنماها و ممانعت از دسترسی اشخاص به پایگاه‌های اینترنتی شخصی

۸. ممانعت از دسترسی اشخاص مجاز به داده‌های یا سیستم‌های رایانه‌ای یا مخابراتی به‌طور غیرمجاز

۹. ربودن داده‌های متعلق به دیگری به‌طور غیرمجاز

۱۰. هتک حیثیت از طریق انتشار یافتن صوت و فیلم تحریف‌شده دیگری به‌وسیله سیستم‌های رایانه‌ای یا مخابراتی

۱۱. نشر اکاذیب از طریق سیستم‌های رایانه‌ای یا مخابراتی به قصد اضرار به غیر یا تشویش اذهان عمومی

۱۲. فروش یا انتشار یافتن یا در دسترس قرار دادن گذرواژه یا هر داده‎ای که امکان دسترسی غیرمجاز به داده‎ها یا سیستم‎های رایانه‎ای یا مخابراتی متعلق به دیگری را فراهم می‎کند

۱۳. آموزش نحوه ارتکاب جرائم دسترسی غیرمجاز، شنود غیرمجاز، جاسوسی رایانه‌ای و تخریب و اخلال در داده‌ها یا سیستم‌های رایانه‌ای و مخابراتی

سازمان فناوری اطلاعات در راستای حفظ حریم خصوصی کاربران در فضای مجازی کشور، طرح امن‌سازی فعالیت در شبکه‌های اجتماعی را کلید زد.

به گزارش خبرنگار مهر، سازمان فناوری اطلاعات ایران و مرکز مدیریت امداد و هماهنگی عملیات رخدادهایی رایانه ای (ماهر) با همکاری موسسات تحقیقاتی و فناوری برتر کشور در حال انجام اقداماتی برای افزایش هرچه بیشتر امنیت و حفظ حریم خصوصی شبکه‌های اجتماعی در فضای مجازی و تسهیل ایجاد کسب و کارهای مبتنی بر شبکه‌های اجتماعی در این فضا، هستند.

براین اساس طرح امن سازی فعالیت شبکه های اجتماعی، به منظور آگاهی‌رسانی و آشنایی کاربران و متولیان شبکه‌های اجتماعی با دغدغه‌های امنیتی و حریم خصوصی و شیوه‌های مقابله و رفع آن‌ها، سازمان فناوری اطلاعات در دستور کار قرار گرفته است.

از مهم‌ترین اهداف این طرح، کمک به رشد و فراگیری روزافزون شبکه‌های اجتماعی بومی و داخلی کشور بوده تا اقدامات در دست انجام در این حوزه، علاوه بر امن‌سازی هرچه بیشتر فضای مجازی برای کاربران عادی، قابلیت رقابت شبکه های داخلی را با شبکه‌های اجتماعی خارجی فراهم کند.

از این رو قرار است اسناد مرتبط با نیازمندی‌های امنیتی و حریم خصوصی حاکم بر شبکه‏ های اجتماعی تدوین شود و توسعه یابد. در همین حال سازمان فناوری اطلاعات ایران، مشاوره به شبکه‌های اجتماعی بومی برای حفظ امنیت و حریم خصوصی کاربران را در تمامی سطوح، اجرایی می کند.

همچنین ارائه راه‏کار جامع رایگان توسعه شبکه‏ های اجتماعی بر پایه فناوری ‏های متن‏ باز و نیز راهکار مدیریت شبکه‌های اجتماعی بومی به همراه پشتیبانی دانشی از متخصصان این حوزه، از دیگر اقدامات ترویجی برای این پروژه است؛ این طرح با هدف ایجاد زمینه‏ های لازم برای ایجاد کسب و کارهای چابک مبتنی بر شبکه‏ های اجتماعی در فضای مجازی و در نتیجه کمک به ایجاد اشتغال و بهبود وضعیت اقتصادی، کلید خورده است.

در همین حال امن‌سازی فضای مجازی برای کاربران شبکه‌های اجتماعی داخلی در راستای حفظ حریم خصوصی کاربران در محیط مجازی، تسهیل ایجاد شبکه ‏های اجتماعی توسط گروه ‏های اجتماعی مختلف بدون دغدغه‏ های فنی و امنیتی و در نتیجه رشد و گسترش آن‏ها در فضای مجازی، از مهمترین دلایل تعریف این پروژه است.

ایجاد زمینه ‏های لازم برای نشاط اجتماعی و فرهنگی در کشور، گسترش فرهنگ ایرانی اسلامی در خارج از مرزها، ایجاد راه‏کارهای مناسب برای حفظ اقوام، زبان‏ها و فرهنگها و ایجاد زمینه ‏های لازم جهت تسهیل سیاست‏گذاری‏ های کلان در فضای مجازی از دیگر اهداف این طرح عنوان شده است.

در همین راستا و در جهت اقدامات ترویجی سازمان فناوری اطلاعات به زودی از طریق پورتال مرکز ماهر  مقالاتی به منظور آگاهی‌رسانی و آشنایی کاربران و متولیان شبکه‌های اجتماعی با دغدغه‌های امنیتی و حریم خصوصی و شیوه‌های مقابله و رفع آن‌ها منتشر می‌شود.

در پی حملات سایبری اخیر به وبسایتهای عمومی سازمانهای دولتی، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای استفاده از سامانه های آسیب پذیر مدیریت محتوا را دلیل این حملات عنوان کرد.

به گزارش مهر، از حدود ۲ هفته گذشته برخی وبسایتهای عمومی و خدماتی دستگاههای اجرایی مورد حملات هک قرار گرفتند که منشا آن هنوز به صورت رسمی اعلام نشده است. در این میان برخی گزارشها از عدم موفقیت آمیز بودن این حملات حکایت دارد و پلیس فتا در این باره اعلام کرده است که این حملات تنها منجر به تغییر چهره این وبسایتها شده و سرقت اطلاعات صورت نگرفته است.

با توجه به این حملات، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای که بازوی امنیتی سازمان فناوری اطلاعات وابسته به وزارت ارتباطات و فناوری اطلاعات محسوب می شود امروز در اطلاعیه ای به ۲۵۰۰ سازمان و شرکت متصل به سامانه تعاملی امن، آخرین وضعیت پیگیری این رخداد را تشریح کرد.

مرکز ماهر اعلام کرد: «با توجه به حملات چند روز اخیر به بعضی از وب سایت های عمومی که بیشتر آنها از نسخه های بروز نشده و آسیب پذیر سامانه های مدیریت محتوا استفاده کرده اند، اعمال بعضی از رویه های اولیه و پایه امنیتی می توانست از حوادث رخ داده جلوگیری کند.»

«مرکز ماهر به عنوان یک نهاد تخصصی و مرجع در کشور، به دور از اطلاع رسانی های شتابزده، ضمن تماس با مراکز و سایت های موردحمله واقع شده و اعلام آمادگی برای ارائه مشورت های فنی، هماهنگی های لازم را در سطح ملی و حوزه بین المللی بخصوص مراکز CERT کشورهای عربی که محتمل است منابع آنها مورد سوء استفاده هکرها واقع شده باشد، بعمل آورده و کماکان در حال پیگیری موضوع در ابعاد مختلف است. »

از این رو با توجه به تحلیل ها و جمع بندی های صورت گرفته مرکز ماهر اعلام کرد:

۱- کلیه سازمان ها و شرکت های متصل به سامانه تعاملی امن مرکز ماهر، برای دریافت بسته اجرایی فوری برای امن سازی پایه که براساس تجربیات و تحلیل های حملات صورت گرفته، تهیه شده است، به سامانه تعاملی مراجعه کنند.

۲- در این زمینه کلیه مراکز و سازمان ها که برغم اطلاع رسانی های قبلی، هنوز به سامانه تعاملی متصل نشده اند، باید هرچه سریعتر نسبت به عضویت اقدام کنند.

۳- به زودی گزارشی از نحوه همکاری دستگاه ها با مرکز ماهر در زمینه استفاده از راهنمایی ها و هشدارهای ارائه شده و میزان تعامل آنها در هنگام حوادث و رخدادهای امنیتی، به نهادهای مرجع ارائه خواهد شد.

مرکز مدیریت عملیات رخدادهای رایانه ای در مورد مضرات استفاده ناآگاهانه از نرم افزارهای شماره مجازی برای ثبت‌نام و نیز نرم‌افزارهای شخص سوم برای استفاده از سرویس تلگرام، هشدار داد.

به گزارش خبرنگار مهر، نرم‌افزارهای شماره مجازی برای ایجاد حساب کاربری در برنامه تلگرام از سوی کاربران مورد استفاده قرار می گیرد که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (مرکز ماهر) با اعلام هشدارهایی برای حفظ حریم خصوصی در فضای شبکه پیام رسان تلگرام، بر لزوم داشتن آگاهی در استفاده از این نرم افزارها تاکید کرد.

 کاربرد نرم‌افزارهای شماره مجازی

برای ایجاد حساب کاربری در برنامه تلگرام، شخص باید یک شماره تلفن منحصربه‌فرد را به عنوان شناسه خود ارائه کرده و از طریق آن، هویت خود را برای تلگرام احراز کند. در حالت عادی از این شماره برای یافتن دوستان و آشنایان استفاده می‌شود؛ به این صورت که افراد موجود در دفتر تلفن هر شخص، به صورت خودکار به لیست کاربران وی افزوده خواهند شد.

در این حالت، تنها افرادی قادر به مشاهده شماره تلفن همراه کاربر هستند که پیش از آن نیز، شماره وی را در حساب خود داشته باشند. با این حال ممکن است که اطلاعات نمایه کاربر (از جمله شماره تماس وی) توسط دیگر کاربران، در سطح تلگرام منتشر و دست‌به‌دست شود.

به همین علت برخی کاربران برای حفظ حریم خصوصی، ترجیح می‌دهند شماره تلفن خود را در این برنامه ثبت نکرده و از انتشار آن جلوگیری کنند. در این صورت این کاربران از شماره های مجازی استفاده می کنند.

یکی از راه‌کارهای موجود برای عدم انتشار و ثبت شماره تلفن کاربر در فضای تلگرام، استفاده از برنامه‌ها و وب‌گاه‌هایی است که شماره مجازی و موقت در اختیار کاربران قرار می‌دهند.

نحوه عملکرد این برنامه‌ها به این صورت است که تعداد نسبتا زیادی شماره تلفن همراه در اختیار خود دارند و آن‌ها را به صورت اشتراکی به کاربران خود اختصاص می‌دهند. دریافت تماس و پیامک در اغلب این نرم‌افزارها رایگان است و برخی افراد از این قابلیت برای ایجاد حساب کاربری در تلگرام استفاده می‌کنند.

برای مثال چند نمونه از برنامه‌های رایگان برای دریافت شماره مجازی شامل SmartCell ، Talk۲ و ESIAtalk می شوند.

 خطراتی که شماره های مجازی برای کاربران تلگرام دارند

استفاده از این برنامه‌ها برای شماره مجازی برغم آن‌که به نظر مفید می‌آید، می‌تواند مشکلات بسیار بزرگی، چه در زمینه استفاده از تلگرام و چه در زمینه حریم خصوصی، برای کاربران به همراه داشته باشد. براین اساس مرکز ماهر با اعلام هشدار در این زمینه از کاربران خواست با شماره مجازی اشتراکی، درهای تلگرام خود را به روی سودجویان باز نکنند.

استفاده از این نرم‌افزارها، نه تنها حریم خصوصی کاربر را حفظ نمی‌کند، بلکه اجازه دسترسی به حساب تلگرام وی را به هزاران نفر دیگر هم می‌دهند. دلیل این اتفاق آن است که تعداد شماره‌های این برنامه‌ها، از تعداد کاربران آن‌ها کمتر است و قطعا ظرف مدت کوتاهی، شخص دیگری به همان شماره‌ای که چندی پیش شما از آن استفاده کردید، دسترسی پیدا خواهد کرد.

بنابراین نباید به فکر آن باشید که شاید بخت با شما یار شود و شماره مجازی شما به دست دیگر کاربران نرم‌افزار شماره مجازی نیافتد. این افراد هم می‌توانند از نرم‌افزارهای مذکور استفاده کرده، کد فعال‌سازی تلگرام را دریافت کنند و وارد حساب کاربری مرتبط با آن شماره شوند؛ حسابی که تاکنون فکر می‌کردید فقط متعلق به شماست.

در نهایت، باید این نکته را نیز یادآور شد که تلگرام دارای سازوکار مقابله با رفتار ناهنجار است و یکی از مصادیق آن، بستن شماره‌هایی است که به صورت مکرر و در دستگاه‌های متعدد مورد استفاده قرار گیرند. به نحوی که اگر تلگرام تشخیص بدهد که شماره واردشده، پیش‌تر در دستگاه‌های متعددی مورد استفاده قرار گرفته، دیگر اجازه استفاده از آن را نمی‌دهد.

پس در نظر داشته باشید که حساب‌های کاربری که با این شماره‌ها ایجاد شوند، احتمالا به زودی هم هک می‌شوند و هم از کار خواهند افتاد.

تهدید حریم خصوصی با نرم‌افزار‌های شخص سوم تلگرام

منظور از نرم‌افزار شخص سوم، نرم‌افزاری است که برای کار با یک سرویس نرم‌افزاری (مثل یک شبکه اجتماعی یا یک شبکه پیام‌رسان نظیر تلگرام) و استفاده از خدمات آن توسط فرد یا شرکت دیگری جز مالک اصلی و رسمی سرویس مذکور، تولید شده باشد.

این نرم‌افزارها معمولا با این عنوان به رقابت با نسخه اصلی می‌پردازند که امکانات نرم‌افزار اصلی را دارند، مضاف بر مجموعه‌ای از امکانات نرم‌افزاری اضافه، ظاهر زیباتر، کاهش هزینه‌ها و غیره. برخی از این نرم‌افزار‌ها نیز برای دستگاه‌ها و سیستم‌عامل‌هایی که به صورت رسمی توسط شرکت سازنده برنامه اصلی پشتیبانی نمی‌شوند ارائه می‌شوند.

مجموعه وسیعی از نرم‌افزارهای شخص سوم برای تلگرام وجود دارد. برخی از آن‌ها امکانات اضافی به کاربر می‌دهند، برخی ظاهر زیباتر و تصاویر و برچسب‌های (Stickers) بیشتر و برخی هم میان‌برهای مخصوص برای ساده‌ترشدن کار با تلگرام دارند.

نکته مشترکی که میان تمامی این نرم‌افزارهای وجود دارد، آن است که باید با استفاده از آن‌ها و ورود شماره تلفن همراه خود، وارد تلگرام شوید؛ به این معنی که اطلاعات کافی برای ورود به حساب کاربری شما و در نتیجه، امکان کسب کلیه اطلاعاتی که تلگرام از شما ذخیره کرده است را دارند. به بیانی دیگر، حساب کاربری خود را در اختیار این نرم‌افزار گذاشتید.

در استفاده از این نرم افزارها، دو مساله نگران‌کننده متوجه کاربران این نرم‌افزارها است:

اول آن‌که، توسعه‌دهنده نرم‌افزار شخص سوم که لزوما به آن اعتمادی نیست و نهاد معتبری، صلاحیت وی در زمینه حفظ امنیت و حریم خصوصی کاربران را تایید نکرده است، می‌تواند از این اطلاعات که شما به وی دادید، سوءاستفاده کند. ممکن است توسعه‌دهنده این نرم‌افزار، اطلاعاتی که شما در اختیار وی قرار دادید را به مشتریانی با اهداف تبلیغاتی یا حتی مخرب، بفروشد.

حتی ممکن است از این فراتر رفته و کدهای مخربی در نرم‌افزار قرار داده باشد که از منابع اطلاعاتی موجود بر روی دستگاه شما سوءاستفاده کرده و اطلاعات شخصی شما را به سرقت ببرد.

دوم آن‌که، این نرم‌افزارها به اندازه نسخه اصلی، استحکام و امنیتی ندارند و ممکن است حفره‌های امنیتی بسیاری در آن‌ها یافت شود. هریک از این حفره‌های امنیتی می‌تواند توسط مهاجمان مورد سوءاستفاده قرار گرفته و امنیت شما و اطلاعاتتان را با خطر مواجه کند.

این در حالی است که نسخه اصلی نرم‌افزار که توسط مالک آن تولید شده است، هم از جهت اعتبار سازنده وضعیت بهتری دارد و یک شرکت معتبر و شناخته‌شده، بانی توسعه آن است و هم آن‌که با توجه به بلوغ و امکانات بیشتری که شرکت‌های معتبر دارند، از نظر امنیتی نرم‌افزارهای بهتری تولید خواهند کرد.

بنابراین توصیه می‌شود که تا حد امکان از نرم‌افزارهای اصل استفاده کنید و به هیچ دلیلی (چه امکانات اضافه و چه تفاوت‌های ظاهری) از نرم‌افزارهای شخص سومی که توسط توسعه‌دهندگان گمنام و غیرقابل اعتماد تولید شده‌اند، استفاده نکنید، مگر این‌که به شرکت تولید کننده آن اطمینان کامل داشته باشید.