جزییات کامل حمله سایبری به سامانه های راه آهن و وزارت راه/ تایید حمله سایبری از سوی مرکز ماهر پس از ۳ روز سکوت/ علی رغم ادعای کشف ۲۰ بدافزار؛ سایت وزارت راه از دسترس خارج است
از روز پنج شنبه اختلال سایبری در سیستمهای کامپیوتری کارکنان ستاد وزارت راه ظاهر شد که در پی آن پورتال وزارتخانه و سایتهای زیرپرتال آن از دسترس خارج شد. مرکز ماهر پس از چند روز تاخیر ضمن تایید حمله سایبری؛ توضیحاتی را ارائه داد. با توجه به حملات سایبری اخیر به برخی از سازمانها، بیش از ۲۰ فایل بدافزاری کشف و نمونهبرداری شده و پیکربندی نادرست، عدم بهروزرسانی به موقع و عدم اعمال سیاستهای صحیح امنیتی از دلایل اصلی ضعف در شبکههای کشور اعلام شد.
به گزارش سایت دیده بان ایران؛ طی روزهای گذشته دو اختلال در حوزه بازرگانی شرکت راهآهن و وزارت راه و شهرسازی رخ داد. ۳ روز و تعبیر کارشناسان نرم افزار سایت های ستادی پنج شنبه ۴ روز است که از دسترس خارج شده بودند.
بنابر گزارش دیده بان ایران؛ از صبح امروز سایت راه آهن به حالت عادی بازگشته اما سایت وزارت راه همچنان در دسترس نیست. به نظر می رسد نسخه BackUp؛ این وبسایت ها به دلایلی نا معلوم امکان فعال شدن نداشتند اما هیچ توضیح رسمی در این باره منتشر نشده است.
روز شنبه دیده بان ایران در گزارشی به غیر فعال بودن سایت های ستادی اشاره (اینجا) و به جزییات آن در (اینجا) پرداخت.
شرکت راهآهن اعلام کرد هیچ اختلال یا حمله سایبری به حوزه مسافری، باری یا ایستگاههای قطار بین شهری صورت نگرفته اما اختلالاتی در حوزه بازرگانی به وجود آمده است. پس از آن سایت وزارت راه و شهرسازی از دسترس خارج شد و این وزارتخانه اعلام کرد اختلال سایبری در سیستمهای کامپیوتری کارکنان ستاد این وزارتخانه ظاهر شد که در پی آن پورتال وزارتخانه و سایتهای زیرپرتال آن از دسترس خارج شد.
دیده بان ایران مطلع شد بود پس از بیش از ۴۸ ساعت از ۴۰۰ سرور فقط ۵ سرور فعال شده اند. (متن گزارش)
طی روزهای گذشته دو اختلال در حوزه بازرگانی شرکت راهآهن و وزارت راه و شهرسازی رخ داد. شرکت راهآهن اعلام کرد هیچ اختلال یا حمله سایبری به حوزه مسافری، باری یا ایستگاههای قطار بین شهری صورت نگرفته اما اختلالاتی در حوزه بازرگانی به وجود آمده است. پس از آن سایت وزارت راه و شهرسازی از دسترس خارج شد و این وزارتخانه اعلام کرد اختلال سایبری در سیستمهای کامپیوتری کارکنان ستاد این وزارتخانه ظاهر شد که در پی آن پورتال وزارتخانه و سایتهای زیرپرتال آن از دسترس خارج شد.
بیشتر بخوانید: حمله سایبری به سامانه های شرکت راه آهن و ستاد وزارت راه و شهرسازی تایید شد؟!/ از ۴۰۰ سرور فقط ۵ سرور پس از ۴۸ ساعت فعال شده اند
همچنین پس از آن، محمدجواد آذری جهرمی -وزیر ارتباطات و فناوری اطلاعات- هشدار داد: مجدداً هشدار اردیبهشت ۱۳۹۷ در مورد حملات باجافزاری با سوءاستفاده از درگاه مدیریتی iLo سرورهای HP را یادآوری میکنیم. تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات سایبری با استفاده از این نقیصه، رصد و گزارش شده است.
در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) اعلام کرد بررسی سه آسیبپذیری out HP-Integerated lights با شناسههای CVE-2017-12542، CVE-2018-7105 ،CVE-2018-7078 در سطح کشور نشان میدهد، برخی از شبکههای کشور در برابر این ضعفها به درستی محافظت نشدهاند.
پیکربندی نادرست، عدم بهروزرسانی به موقع و عدم اعمال سیاستهای صحیح امنیتی در هنگام استفاده ازHP Integrated Lights-Out از دلایل اصلی این ضعف در شبکههای کشور است. جدول زیر مشخصات این سه آسیبپذیری را نمایش میدهد.
به کاربران توصیه میشود اگر دسترسی به این سرویس از طریق اینترنت ضروری نیست، دسترسی به آن را محدود به شبکه داخلی خود کنند، با بهروزرسانی محصولات خود مطمئن شوند که تحت تاثیر این سه آسیبپذیری قرار ندارند. با توجه به امکان نفوذ به این سرویس توسط گرههای آلودهشده شبکه داخلی، سیاستهای امنیتی سختگیرانهای از جمله vlanبندی مجزا برای دسترسی به این سرویس از طریق شبکه داخلی اکیدا توصیه میشود. همچنین با تنظیم تجهیزات امنیتی و رویدادنگاری حساسیت ویژه نسبت به تلاش برای دسترسی به پورتهای ILO یا SSH سرورها در نظر گرفته شود.
دستورالعملهایی برای جلوگیری از وقوع حملات سایبری
کنترل دسترسی به پیکربندی سرویسهای سرور HP و بازبینی دورهای سطح دسترسیهای سطح ادمین اکتیودایرکتوری و مرور لاگهای دسترسی به ILO سرورها میتواند نقش بسزایی در تشخیص و جلوگیری از حملات اخیر داشته باشد. با توجه به حملات سایبری اخیر به برخی از سازمانها و بررسیهای صورتگرفته، بیش از ۲۰ فایل بدافزاری برای پلتفرمهای متفاوت ویندوز، ESX و سفتافزار کشف و نمونهبرداری شده است. تمامی این بدافزارها از تاریخ ۱۴۰۰/۰۴/۱۹ توسط پادویش تشخیص داده شده و از آلودگی به آنها جلوگیری میشود.
هیچکدام از این فایلها تا این لحظه توسط آنتیویروسهای جهانی تشخیص داده نمیشوند. با توجه به سطح پیشرفته نفوذ و حملات سایبری انجامشده که با شناخت کامل از شبکه قربانی صورت گرفته است، در خصوص امنسازی لازم است حتما سیاستهای دفاع در عمق با اولویت بالا رعایت شود.
برای انجام ایمنسازی، لازم است تمامی دسترسیهای سطح ادمین به اکتیودایرکتوری مورد بازبینی قرار گرفته و تا جای ممکن پسوردهای قبلی اکانتهای ادمین به سرعت تغییر کند. همچنین نسبت به قرارگیری اسکریپت لاگین و استارتاپ حساس بوده و این موارد بررسی شود. تمامی دسترسیهای سطح روت به سرورهای ESX, Xen, انواع Linux و انواع ویندوز سرورهای نصبشده روی سرورهای فیزیکی مورد بازبینی قرار گرفته و تا جای ممکن، رمز اکانتهای روت/ ادمین بازنشانی شود. لازم است سرویس SSH را در سرورهای ESX غیرفعال کنید، دسترسی پورتهای ILO در سرورهای HP از شبکه کاملا قطع شود.
همچنین توصیه میشود دسترسی از راه دور به شبکه در ساعات غیرکاری تا جای ممکن محدود شود و از VPN (مبتنی بر کلید خصوصی نرمافزاری یا توکن) به جای اتصال مستقیم به سرورها استفاده شود، سامانههای ثبت وقایع شبکه مورد بازیینی قرار گرفته و تمامی رخدادهای امنیتی و پیکرهبندی سیستم ها را شامل شود. نسبت به تلاش برای دسترسی به پورتهای ILO یا SSH به سرورها و دسترسیهای ریموت خارج سازمان حساس بوده و موارد هشدار را با اولویت پیگیری کنید. تهیه پشتیبان منظم از دادهها بر روی رسانههای آفلاین و اطمینان از صحت پشتیبانها هم از دیگر راهکارهای امنیتی است.