۹۶/۱۱/۲۲، ۰۶:۵۳ عصر
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر)، نتیجه بررسی حمله سایبری به سایت های خبری داخلی مانند قانون، آرمان و ستاره صبح در شب گذشته را منتشر کرد.
شب گذشته (شنبه 21 بهمن 1396) خبری در مورد حمله سایبری به سایت های خبری داخلی از جمله وب سایت روزنامه قانون، روزنامه آرمان و روزنامه ستاره صبح منتشر شد. طی این حمله، هکرها در ساعت 20 تا 22 شب گذشته، برخی وب سایتهای خبری را هک کرده و خبر دروغی را بر روی آنها منتشر کرده بودند و دقایقی بعد، این سایتها از دسترس خارج شدند.
مرکز ماهر وزارت ارتباطات (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) بلافاصله پس از این اتفاق، تحقیقات و بررسیها را آغاز کرد و امروز گزارش جزئیات حمله سایبری به سایت های خبری داخلی را منتشر کرده است.
طبق بررسیهای صورت گرفته، وب سایتهای خبری که مورد حمله هکرها قرار گرفتهاند شامل روزنامه قانون، روزنامه آرمان و روزنامه ستاره صبح بودند که همگی در مرکز داده تبیان و مرکز داده شرکت پیشتاز میزبانی میشوند. گروه فنی مرکز ماهر، نقاط اشتراک سیستمهای هدف را شناسایی کرده و مشخص شد که تمامی این سامانهها توسط یک شرکت و در بستر سیستم عامل با سرویسدهنده وب IIS و زبان برنامهنویسی ASP.Net توسعه داده شدهاند. شرکت تولیدکننده نرم افزار این سامانهها مجری بیش از 30 سایت خبری داخلی از جمله سایتهای مورد حمله قرار گرفته است و هکرها توانستند به مجموعه اهداف مناسبی دست پیدا کنند.
مرکز ماهر در گزارش خود اعلام کرد تهدید اخیر همچنان برای این سایتها وجود دارد و باید به سرعت تمهیدات امنیتی مناسبی در این زمینه اعمال شود. بر اساس اعلام مرکز ماهر، شناسایی داراییهای مرتبط با این سامانهها برای تحلیل دقیق، از دسترس خارج کردن سامانههایی که موردحمله هکری قرار گرفتهاند برای بازیابی و حذف تغییرات در محتوای پیامها، تغییر و فعالسازی نام کاربری اشتراکی و پیشفرض کلیه سامانهها و کپی کردن کامل تمامی فایلهای ثبت وقایع از جمله اقدامات فنی اولیه در خصوص این حمله سایبری بوده است.
منشا حمله سایبری به سایت های خبری داخلی
این مرکز همچنین در مورد منشا حمله سایبری به سایت های خبری داخلی گزارش داد:
پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچه حملات و آسیبپذیریها، حجم بالایی از فایلها مورد تحلیل و بررسی قرار گرفت و IP مبدا حملات استخراج شد که بر اساس آن، این حملات از 5 آی پی از کشورهای انگلیس و آمریکا بوده است.
شواهد موجود در فایلهای ثبت وقایع حاکی از آن است که مهاجمان از دو روز پیش از کشف آسیبپذیریها، برای نفوذ با ابزارهای خودکار و نیمه خودکار جهت استخراج اطلاعاتی چون نام کاربری و کلمات عبور در پایگاه داده سامانههای فوق تلاش میکردند. مرکز ماهر تمامی فعالیتها و عملیات مخرب برای کشف آسیبپذیری و نفوذ به سامانههای متعلق به آدرسهای آی پی حملهکننده را استخراج و بررسی کرد.
مرکز ماهر اعلام کرد تمامی سایت های خبری مورد حمله قرار گرفته دارای نام کاربری و کلمه عبور پیشفرض یکسان توسط شرکت پشتیبان بودند و متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا به عنوان نام کاربری و کلمه عبور سایتها مورد استفاده قرار گرفته و حتی حداقل موارد امنیتی نیز در مدیریت این سایتها رعایت نشده است.
این مرکز به تمامی دارندگان و استفادهکنندگان محصول شرکت مورد هدف اطلاعرسانی کرده و ماژولها و بخشهای آسیبپذیر در سایتهای مورد حمله قرار گرفته را کشف کرده است. به این ترتیب، این اطلاعات برای وصله امنیتی سریع به پشتیبان داده شده و هشدارها و راهنماییهای لازم برای حفاظت و مقاومسازی سرویسدهنده نیز صورت گرفته است.
مرکز ماهر در گزارش خود اعلام کرد تهدید اخیر همچنان برای این سایتها وجود دارد و باید به سرعت تمهیدات امنیتی مناسبی در این زمینه اعمال شود. بر اساس اعلام مرکز ماهر، شناسایی داراییهای مرتبط با این سامانهها برای تحلیل دقیق، از دسترس خارج کردن سامانههایی که موردحمله هکری قرار گرفتهاند برای بازیابی و حذف تغییرات در محتوای پیامها، تغییر و فعالسازی نام کاربری اشتراکی و پیشفرض کلیه سامانهها و کپی کردن کامل تمامی فایلهای ثبت وقایع از جمله اقدامات فنی اولیه در خصوص این حمله سایبری بوده است.
منشا حمله سایبری به سایت های خبری داخلی
این مرکز همچنین در مورد منشا حمله سایبری به سایت های خبری داخلی گزارش داد:
پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچه حملات و آسیبپذیریها، حجم بالایی از فایلها مورد تحلیل و بررسی قرار گرفت و IP مبدا حملات استخراج شد که بر اساس آن، این حملات از 5 آی پی از کشورهای انگلیس و آمریکا بوده است.
شواهد موجود در فایلهای ثبت وقایع حاکی از آن است که مهاجمان از دو روز پیش از کشف آسیبپذیریها، برای نفوذ با ابزارهای خودکار و نیمه خودکار جهت استخراج اطلاعاتی چون نام کاربری و کلمات عبور در پایگاه داده سامانههای فوق تلاش میکردند. مرکز ماهر تمامی فعالیتها و عملیات مخرب برای کشف آسیبپذیری و نفوذ به سامانههای متعلق به آدرسهای آی پی حملهکننده را استخراج و بررسی کرد.
مرکز ماهر اعلام کرد تمامی سایت های خبری مورد حمله قرار گرفته دارای نام کاربری و کلمه عبور پیشفرض یکسان توسط شرکت پشتیبان بودند و متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا به عنوان نام کاربری و کلمه عبور سایتها مورد استفاده قرار گرفته و حتی حداقل موارد امنیتی نیز در مدیریت این سایتها رعایت نشده است.
این مرکز به تمامی دارندگان و استفادهکنندگان محصول شرکت مورد هدف اطلاعرسانی کرده و ماژولها و بخشهای آسیبپذیر در سایتهای مورد حمله قرار گرفته را کشف کرده است. به این ترتیب، این اطلاعات برای وصله امنیتی سریع به پشتیبان داده شده و هشدارها و راهنماییهای لازم برای حفاظت و مقاومسازی سرویسدهنده نیز صورت گرفته است.