مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر)، نتیجه بررسی حمله سایبری به سایت های خبری داخلی مانند قانون، آرمان و ستاره صبح در شب گذشته را منتشر کرد.

شب گذشته (شنبه 21 بهمن 1396) خبری در مورد حمله سایبری به سایت های خبری داخلی از جمله وب سایت روزنامه قانون، روزنامه آرمان و روزنامه ستاره صبح منتشر شد. طی این حمله، هکرها در ساعت 20 تا 22 شب گذشته، برخی وب سایت‌های خبری را هک کرده و خبر دروغی را بر روی آن‌ها منتشر کرده بودند و دقایقی بعد، این سایت‌ها از دسترس خارج شدند.

مرکز ماهر وزارت ارتباطات (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) بلافاصله پس از این اتفاق، تحقیقات و بررسی‌ها را آغاز کرد و امروز گزارش جزئیات حمله سایبری به سایت های خبری داخلی را منتشر کرده است.

طبق بررسی‌های صورت گرفته، وب سایت‌های خبری که مورد حمله هکرها قرار گرفته‌اند شامل روزنامه قانون، روزنامه آرمان و روزنامه ستاره صبح بودند که همگی در مرکز داده تبیان و مرکز داده شرکت پیشتاز میزبانی می‌شوند. گروه فنی مرکز ماهر، نقاط اشتراک سیستم‌های هدف را شناسایی کرده و مشخص شد که تمامی این سامانه‌ها توسط یک شرکت و در بستر سیستم عامل با سرویس‌دهنده وب IIS و زبان برنامه‌نویسی ASP.Net توسعه داده شده‌اند. شرکت تولیدکننده نرم افزار این سامانه‌ها مجری بیش از 30 سایت خبری داخلی از جمله سایت‌های مورد حمله قرار گرفته است و هکرها توانستند به مجموعه اهداف مناسبی دست پیدا کنند.

مرکز ماهر در گزارش خود اعلام کرد تهدید اخیر همچنان برای این سایت‌ها وجود دارد و باید به سرعت تمهیدات امنیتی مناسبی در این زمینه اعمال شود. بر اساس اعلام مرکز ماهر، شناسایی دارایی‌های مرتبط با این سامانه‌ها برای تحلیل دقیق، از دسترس خارج کردن سامانه‌هایی که موردحمله هکری قرار گرفته‌اند برای بازیابی و حذف تغییرات در محتوای پیام‌ها، تغییر و فعال‌سازی نام کاربری اشتراکی و پیش‌فرض کلیه سامانه‌ها و کپی کردن کامل تمامی فایل‌های ثبت وقایع از جمله اقدامات فنی اولیه در خصوص این حمله سایبری بوده است.

منشا حمله سایبری به سایت های خبری داخلی
این مرکز همچنین در مورد منشا حمله سایبری به سایت های خبری داخلی گزارش داد:
پس از دریافت فایل‌های ثبت وقایع از حملات انجام شده از سرویس‌دهنده‌ها با تحلیل و بررسی تاریخچه حملات و آسیب‌پذیری‌ها، حجم بالایی از فایل‌ها مورد تحلیل و بررسی قرار گرفت و IP مبدا حملات استخراج شد که بر اساس آن، این حملات از 5 آی پی از کشورهای انگلیس و آمریکا بوده است.

شواهد موجود در فایل‌های ثبت وقایع حاکی از آن است که مهاجمان از دو روز پیش از کشف آسیب‌پذیری‌ها، برای نفوذ با ابزارهای خودکار و نیمه خودکار جهت استخراج اطلاعاتی چون نام کاربری و کلمات عبور در پایگاه داده سامانه‌های فوق تلاش می‌کردند. مرکز ماهر تمامی فعالیت‌ها و عملیات مخرب برای کشف آسیب‌پذیری و نفوذ به سامانه‌های متعلق به آدرس‌های آی پی حمله‌کننده را استخراج و بررسی کرد.
مرکز ماهر اعلام کرد تمامی سایت های خبری مورد حمله قرار گرفته دارای نام کاربری و کلمه عبور پیش‌فرض یکسان توسط شرکت پشتیبان بودند و متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا به عنوان نام کاربری و کلمه عبور سایت‌ها مورد استفاده قرار گرفته و حتی حداقل موارد امنیتی نیز در مدیریت این سایت‌ها رعایت نشده است.

این مرکز به تمامی دارندگان و استفاده‌کنندگان محصول شرکت مورد هدف اطلاع‌رسانی کرده و ماژول‌ها و بخش‌های آسیب‌پذیر در سایت‌های مورد حمله قرار گرفته را کشف کرده است. به این ترتیب، این اطلاعات برای وصله امنیتی سریع به پشتیبان داده شده و هشدارها و راهنمایی‌های لازم برای حفاظت و مقاوم‌سازی سرویس‌دهنده نیز صورت گرفته است.