حمله گسترده سایبری به دیتاسنترهای ایرانی

گروه دانش و فن| مرجان محمدی|

وزیر ارتباطات جمعه شب گذشته در توییتی از حمله هکرها به ۳۵۰۰ روتر در شبکه ارتباطات کشور خبر داد و نوشت: حدود ۳۵۰۰ مسیریاب (روتر) از مجموع چندصد هزار مسیریاب شبکه کشور متاثر از حمله شده‌اند.

وی عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی، را مناسب ارزیابی کرد و نوشت: ضعف در اطلاع‌رسانی مرکز ماهر به شرکت‌ها و نیز ضعف در پیکره‌بندی مراکز داده (دیتاسنترها) وجود داشته است.

پس از این حمله سایبری مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌یی در خصوص حمله صورت گرفته به سرویس‌های مراکز داده داخلی و بروز اختلال سراسری در سرویس اینترنت، اطلاعیه‌یی صادر کرد. در این زمینه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌یی (مرکز ماهر) با تشریح جزئیات این حمله سایبری اعلام کرد: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود 20:15 روز ۱۷ فروردین ماه جاری، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در این اطلاعیه آمده است طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات (شامل running-config و startup-config) حذف شده است. در موارد بررسی شده پیغامی با این مضمون در قالب startup-config مشاهده شد. دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار داشته و مهاجمان می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند. در این راستا لازم است مدیران سیستم با استفاده از دستور

«no vstack» نسبت به غیرفعال‌سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) روی سوئیچ‌ها و روترهای خود اقدام کنند؛ همچنین بستن پورت ۴۷۸۶ در لبه‌ شبکه نیز توصیه می‌شود. در صورت نیاز به استفاده از ویژگی smart install، نیز لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد.

این در حالی است که به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس‌دهنده‌های عمده اینترنت کشور مسدود شد. تا این لحظه (زمان صدور اطلاعیه) سرویس‌دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا به‌صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب‌سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد روز شنبه مشکل رفع شد.

در این اطلاعیه از مدیران سیستم‌های آسیب‌دیده خواسته شده تا با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و تنظیم تجهیز مجددا انجام پذیرد. همچنین قابلیت آسیب‌پذیر smart install client را با اجرای دستور «no vstack» غیرفعال شود.

 لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام شود. رمز عبور قبلی تجهیز تغییر داده شود. توصیه شده تا در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود شود. براساس این گزارش پس از حمله سایبری جلسه اضطراری در این خصوص با حضور وزیر ارتباطات تشکیل شد و پس از این جلسه وزیر ارتباطات در توییتی نوشت: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت از این حمله در امان ماند.  محمدجواد آذری جهرمی در ادامه توییت خود نوشت: جلسه اضطراری بررسی حمله شب گذشته (جمعه شب) خاتمه یافت و بیانیه رسمی نتایج از سوی روابط عمومی وزارت ارتباطات منتشر خواهد شد. وی تاکید کرد: هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بوده‌اند.

 آسیب‌پذیرترین دیتاسنترها در حمله سایبری

 وزارت ارتباطات و فناوری اطلاعات پس از برگزاری جلسه بررسی اضطراری درباره حمله سایبری گسترده جمعه شب، اطلاعیه‌یی صادر کرد.

در این اطلاعیه آمده است که جمعه هفدهم فروردین ماه حدود ساعت ۲۱ برخی از سرویس‌های میزبانی شده در مراکز داده داخل کشور از دسترس خارج شدند.

 پس از اطلاع، تیم اقدام سریع تشکیل و موضوع به سرعت بررسی و مشخص شد حمله سایبری به برخی از روترسوئیچ‌ها کم ظرفیت سیسکو که آسیب پذیر بوده‌اند صورت گرفته و این روترها به حالت تنظیم کارخانه‌یی بازگشته‌اند. حمله مذکور ظاهرا به بیش از ۲۰۰هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله‌یی گسترده بوده است، در کشور ما حدود ۳۵۰۰ روتر سوئیچ مورد حمله واقع شده که ۵۵۰ فقره در تهران، ۱۷۰ فقره استان سمنان، ۸۸ فقره استان اصفهان بوده و بیشترین آسیب‌پذیری از نقطه تعداد در شرکت‌های رسپینا، ایزایران و شاتل رخ داده است. لیکن اختلال تعداد کمی روتر در برخی مراکز سرویس‌های پرکاربردی را از دسترس خارج کرد.

با تشکیل گروه‌های واکنش سریع و تلاش همه متخصصان و فعالان همه شرکت‌ها به سرعت اقدمات اجرایی آغاز شد و با توجه به اینکه برای فعالیت مجدد روترها نیاز به حضور فیزیکی کارشناسان بود با اقدام به موقع تا ساعت ۱۲ شب بیش از ۹۵ درصد شبکه به حالت اولیه برگشت. خوشبختانه با توجه به پیش‌بینی‌های لازم در زیرساخت ارتباطی کشور شبکه زیرساخت دچار هیچ اختلالی نشد و کمترین اختلال نیز در سه اپراتور تلفن همراه و مراکز داده شرکت‌های پارس آنلاین و تبیان گزارش شد.

 در خصوص منشأ حمله از طریق مراکز بین‌المللی پیگیری لازم صورت خواهد گرفت. لیکن با توجه به اینکه در این حمله از پرچم کشور امریکا و شعاری در خصوص عدم دخالت در انتخابات این کشور استفاده شده و همچنین زمان وقوع حمله که جمعه شب بوده است به نظر می‌رسد منشأ حمله از منطقه خاورمیانه نبوده است.

 شرکت سیسکو ۱۰ روز پیش موضوع آسیب‌پذیری روتر سوئیچ‌های مذکور را اعلام کرده بود. لیکن به دلیل اینکه بسیاری از شرکت‌های خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را در حالت فریز نگهداری می‌کنند و همچنین عدم اطلاع‌رسانی تاکیدی «مرکز ماهر» و عدم هشدار به این شرکت‌ها برای به‌روزرسانی تنظیمات شبکه خود منجر به آسیب‌پذیری شبکه این شرکت‌ها شد.

 براساس اعلام مرکز ماهر، مرکز آپای دانشگاه همدان پیش از وقوع حمله موضوع را در دست تحلیل و پایش داشته و منتظر تکمیل پایش تجهیزات کشور بوده که متاسفانه قبل از تکمیل گزارش نهایی حمله مذکور اتفاق افتاد.  آنچه مشخص است در این حمله ظاهرا سازمان یافته، با وجود نقاط مثبتی همچون واکنش سریع، عدم تاثیر‌پذیری هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت، عدم اختلال جدی شبکه سه اپراتور تلفن همراه و برخی از FCPها، متاسفانه ضعف اطلاع‌رسانی به موقع توسط مرکز ماهر و عدم وجود پیکره‌بندی مناسب در مراکز داده و سرویس‌دهندگان فناوری اطلاعات مستقر در این مراکز داده، باعث تشدید عوارض این حمله شد. بر همین اساس اصلاحات لازم در مجموعه‌های مرتبط و نیز تذکرات لازم به بخش خصوصی اجرایی خواهد شد.

  از استاکس نت تا حمله شبانه هکرها

این در حالی است که ایران تجربه مقابله با ویروس استاکس نت و استارس و شعله را دارد، استاکس نت معروف‌ترین آنها، یک بدافزار رایانه‌یی بود که نخستین‌بار در ژوئیه ۲۰۱۰ توسط ضدویروس وی‌بی‌ای۳۲ شناسایی شد. در اواخر ماه مه ۲۰۱۲ رسانه‌های امریکایی اعلام کردند که استاکس‌نت مستقیماً به دستور اوباما رییس‌جمهور امریکا طراحی، ساخته و راه‌اندازی شده است. گرچه در همان زمان احتمال این می‌رفت که امریکا تنها عامل سازنده نباشد. در تاریخ ۷ ژوئیه سال ۲۰۱۳ میلادی، ادوارد اسنودن در مصاحبه‌یی با اشپیگل اعلام کرد این بدافزار با همکاری مشترک آژانس امنیت ملی ایالات متحده امریکا و اسراییل ساخته شده است. در سال 2016 میلادی الکس گیبنی مستندی به نام روزهای صفر در مورد استاکس‌نت منتشر کرد که در آن این ویروس محصول مشترک ایالات متحده امریکا و واحد 8200 ارتش اسراییل معرفی شده است. این بدافزار برای خرابکاری در تاسیسات غنی‌سازی اورانیوم نطنز طراحی شده بود.

اما ویروس استارس نیز ویروس رایانه‌یی دیگری بود که در آوریل ۲۰۱۱ در ایران شناسایی شد. این ویروس که از خانواده‌ استاکس‌نت دانسته می‌شود، خود را در میان پرونده‌های پی‌دی‌اف مخفی می‌کرد و به گفته رییس سازمان پدافند غیر عامل ایران، استارس با فایل‌های اجرایی سازمان‌های دولتی ایران اشتباه گرفته می‌شد.

بد نیست بدانید در سال 94 شرکت امنیتی اینترنتی Trend Micro، هند و ایران را دو کشوری اعلام کرد که مورد بیشترین حملات هکری قرار می‌گیرند. این در حالی است که در شهریور ماه سال 94 نیز محمود خسروی مدیرعامل وقت شرکت ارتباطات زیرساخت اعلام کرده بود: بطور متوسط روزانه ۱۰ میلیون رخداد امنیتی در شبکه شناسایی می‌شود که با راه‌اندازی مراکز عملیات امنیت، حملات هدفمند روی شبکه‌های حساس کشور قابل شناسایی و پیگیری است.

همچنین واعظی وزیر ارتباطات وقت نیز در اظهارنظری اعلام کرده بود: روزانه تعداد زیادی حمله سایبری به کشور داریم که اغلب اینها در دروازه زیرساخت اصلی کشور - گیت وی بین‌المللی - خنثی می‌شود.

واعظی عامل بیشترین حملات سایبری به ایران را رژیم صهیونیستی معرفی و اعلام کرد: روزانه تعداد زیادی حملات سایبری شناسایی و خنثی می‌شوند اما از رژیم صهیونیستی حملات بیشتری داریم و برخی کشورهای عربی و برخی کشورهای غربی نیز در رده‌های بعدی این اقدامات هدفمند قرار دارند.

  بیشترین آسیب‌پذیری شبکه در تهران

بر اساس گزارش خبرنگار ما از حمله سایبری اخیر به دیتا سنتر‌های کشور، آذری جهرمی، وزیر ارتباطات پس از این رخداد در گفت‌وگویی با صدا و سیما، ضمن بیان اینکه حمله سایبری جمعه شب گذشته به تجهیزات برخی سرویس‌دهنده‌های اینترنت در ایران ظرف ۲ ساعت، کنترل شد، ادعا کرد: ایران به لحاظ حجم حمله در جمع ۱۰ کشور اول جهان نبوده است.

محمدجواد آذری جهرمی در این گفت‌وگو به بیان توضیحاتی درباره حمله سایبری اخیر به برخی مراکز داده داخلی پرداخت و با اشاره به گستردگی جغرافیایی این حمله سایبری گفت: بررسی‌های فنی از نقشه منتشر شده از این حمله سایبری نشان می‌دهد که بیشترین گستردگی جغرافیایی مربوط به کشورهای اروپایی، هندوستان و ایالات متحده امریکا بوده است.

وی با بیان اینکه از میزان این حمله اینترنتی در جهان تنها دو درصد در ایران روی داده است، افزود: ایران به لحاظ حجم حمله، در جمع ۱۰ کشور اول جهان نبوده است. به بیان دیگر بزرگی میزان تاثیرپذیری این حمله سایبری در ایران ۲ درصد بوده و نقشه تاثیر حملات نیز نشان می‌دهد که روسیه و امریکا بیشترین آسیب را از این حملات دیده‌اند.

وزیر ارتباطات با بیان اینکه از میان ۱۹۵ هزار تجهیزات مورد حمله واقع شده مربوط به کمپانی سیسکو، ۵۵ هزار مورد در امریکا و ۱۴ هزار مورد در چین بوده است و ایران در جمع ۱۰ کشور از این لحاظ نبوده است، افزود: اما به لحاظ اثرپذیری شرکت‌ها، شرکت توزیع‌کننده خدمات اینترنت رسپینا ششمین شرکت اثرپذیر در این حمله سایبری گزارش شده است. به نحوی که ۱۷۰۰ روتر از این شرکت، آسیب‌پذیر بوده‌اند.

جهرمی با بیان اینکه بیشترین میزان حملات نیز مربوط به تجهیزات روتر و سوئیچ در تهران با آسیب‌پذیری ۵۵۰ تجهیز گزارش شده است، ادامه داد: بعد از تهران، بیشترین حملات مربوط به سمنان بود و پس از رسپینا، شرکت ایز ایران با آسیب‌پذیری ۱۰۳ روتر و شرکت شاتل با آسیب‌پذیری ۶۵ روتر، دچار اختلال شدند. وی با اشاره به اینکه این حملات از نوع منع سرویس بوده و سرقت اطلاعاتی در این زمینه صورت نگرفته است، خاطرنشان کرد: از زمان آغاز حمله و از دسترس خارج شدن روترها، شاهد افت ترافیکی در شبکه ارتباطی کشور بودیم که در کمتر از ۲ ساعت، ۹۵ درصد تجهیزات و ترافیک ارتباطی به حالت عادی برگشت.

وزیر ارتباطات توضیح داد: این اشکال امنیتی براساس خطای روترهای سامانه سیسکو به وجود آمد و دسترسی را با اشکال مواجه کرد و در نهایت تجهیزات از مدار خارج شد. البته حفره امنیتی در تجهیزات سیسکو حدود ۱۰ روز پیش منتشر شد که شرکت ارتباطات زیرساخت و اپراتورهای تلفن همراه و برخی اپراتورهای اینترنت به این تذکر توجه کرده بودند اما مابقی به دلیل تعطیلات عید به این موضوع توجهی نشان ندادند.

وی با تاکید براینکه وزارت ارتباطات در چارچوب مسوولیت خود شبکه ارتباطی را ایمن داشته و آن را مدیریت کرده است، افزود: از این جهت، هسته شبکه ملی اطلاعات با مشکلی مواجه نشد. البته وظیفه مرکز ماهر این بود که با درجه اهمیت بالا این حفره امنیتی را منعکس می‌کرد اما شبکه شرکت‌ها به دلیل فریزنگهداشته شدن، این هشدار را جدی نگرفتند.

جهرمی از تشکیل جلسه مجدد برای رسیدگی کامل‌تر به این موضوع خبر داد و گفت: حملات سایبری یکی از واقعیات فضای مجازی است و نظام‌هایی برای جلوگیری از عوارض و حواشی این حملات وجود دارد که باید آن را چابکتر و فعالتر کنیم. از سوی دیگر مرکز پیشگیری حوادث سایبری ما و شرکت‌های ارائه‌دهنده خدمات باید روابطشان عمیق‌تر شود و دستورالعمل‌های امنیتی باید بروزرسانی شود.

در این ارتباط سرهنگ علی نیک‌نفس - رییس مرکز تشخیص سایبری پلیس فتا - هم با اشاره به حمله سایبری با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفت: بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان‌دهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است و این حمله سایبری ناشی از آسیب‌پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچ‌های مورد استفاده در سرویس‌دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.

وی افزود: حدود یک‌سال قبل نیز شرکت مورد نظر هشداری مبنی بر جست‌وجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور (smart install client) بر روی آنها فعال است را منتشر کرده بود. به گفته نیک‌نفس، چنانچه قبلا نیز مکرراً تاکید شده است مسوولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید مستمراً رصد و شناسایی آسیب‌پذیری‌های جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.