کشف ۲۰ فایل بدافزاری در حملات سایبری روزهای اخیر

وقوع حملات سایبری به برخی سامانه‌های کشور از جمله سامانه‌های شرکت راه‌آهن و ستاد وزارت راه و شهرسازی به دلیل ضعف لایه‌های امنیتی از روز جمعه رسانه‌ای شده است، به نحوی که گفته شد هک سامانه‌های شرکت راه‌آهن باعث شده این شرکت به ناچار گراف (مدیریت سیر و حرکت) قطارهای باری و مسافری را از حالت سیستمی به دستی تغییر دهد. با توجه به حملات سایبری اخیر به برخی از سازمان‌ها، بیش از ۲۰ فایل بدافزاری کشف و نمونه‌برداری شده و پیکربندی نادرست، عدم به‌روزرسانی به موقع و عدم اعمال سیاست‌های صحیح امنیتی از دلایل اصلی ضعف در شبکه‌های کشور اعلام شد.  با وجود تعاریف مشخصی که برای امنیت سایبری در شبکه ملی اطلاعات به وزارت ارتباطات و سایر دستگاه‌های متولی تکلیف شده اما همچنان وضعیت مقابله با تهدیدات سایبری، حفاظت و صیانت از داده و اطلاعات و مدیریت مخاطرات در داخل کشور قابل دفاع نیست. حملات سایبری حمله به هرگونه تلاش برای افشا، تغییر، غیرفعال کردن، تخریب، سرقت یا دستیابی به دسترسی غیرمجاز یا استفاده غیرمجاز از یک دارایی است در واقع هر نوع مانور تهاجمی است که سامانه‌های اطلاعات رایانه‌ای، زیرساخت‌ها، شبکه‌های رایانه‌ای یا دستگاه‌های رایانه شخصی را هدف قرار می‌دهد. حمله سایبری مشاغل ممکن است با هک کردن یک سامانه مستعد، هدف مشخص شده را دزدی تغییر داده یا از بین ببرد. حملات سایبری می‌تواند از نصب جاسوس افزارها بر روی رایانه شخصی تا تلاش برای تخریب زیرساخت‌های کل ملل باشد. اینگونه از حملات سایبری به‌طور فزاینده‌ای پیچیده و خطرناک است. برای پیشگیری از این حملات می‌توان از تجزیه و تحلیل رفتار کاربر استفاده کرد. طی روزهای گذشته دو اختلال در حوزه بازرگانی شرکت راه‌آهن و وزارت راه و شهرسازی رخ داد. شرکت راه‌آهن اعلام کرد هیچ اختلال یا حمله سایبری به حوزه مسافری، باری یا ایستگاه‌های قطار بین شهری صورت نگرفته اما اختلالاتی در حوزه بازرگانی به وجود آمده است. پس از آن سایت وزارت راه و شهرسازی از دسترس خارج شد و این وزارتخانه اعلام کرد اختلال سایبری در سیستم‌های کامپیوتری کارکنان ستاد این وزارتخانه ظاهر شد که در پی آن پورتال وزارتخانه و سایت‌های زیرپورتال آن از دسترس خارج شد. همچنین پس از آن، محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات، هشدار داد: مجدداً هشدار اردیبهشت ۱۳۹۷ در مورد حملات باج‌افزاری با سوءاستفاده از درگاه مدیریتی ILO سرورهای HP را یادآوری می‌کنیم. تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات سایبری با استفاده از این نقیصه، رصد و گزارش شده است. در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) اعلام کرد بررسی سه آسیب‌پذیری

 out HP-Integerated lights در سطح کشور نشان می‌دهد، برخی از شبکه‌های کشور در برابر این ضعف‌ها به درستی محافظت نشده‌اند. پیکربندی نادرست، عدم به‌روزرسانی به موقع و عدم اعمال سیاست‌های صحیح امنیتی در هنگام استفاده ازHP Integrated Lights-Out از دلایل اصلی این ضعف در شبکه‌های کشور است. 

     دستورالعمل‌هایی برای جلوگیری

 از وقوع حملات سایبری 

به کاربران توصیه می‌شود اگر دسترسی به این سرویس از طریق اینترنت ضروری نیست، دسترسی به آن را محدود به شبکه داخلی خود کنند، با به‌روزرسانی محصولات خود مطمئن شوند که تحت تاثیر این سه آسیب‌پذیری قرار ندارند. با توجه به امکان نفوذ به این سرویس توسط گره‌های آلوده‌شده شبکه داخلی، سیاست‌های امنیتی سختگیرانه‌ای از جمله vlanبندی مجزا برای دسترسی به این سرویس از طریق شبکه داخلی اکیدا توصیه می‌شود. همچنین با تنظیم تجهیزات امنیتی و رویدادنگاری حساسیت ویژه نسبت به تلاش برای دسترسی به پورت‌های ILO یا SSH سرورها در نظر گرفته شود. کنترل دسترسی به پیکربندی سرویس‌های سرور HP و بازبینی دوره‌ای سطح دسترسی‌های سطح ادمین اکتیودایرکتوری و مرور لاگهای دسترسی به ILO سرورها می‌تواند نقش بسزایی در تشخیص و جلوگیری از حملات اخیر داشته باشد. با توجه به حملات سایبری اخیر به برخی از سازمان‌ها و بررسی‌های صورت‌گرفته، بیش از ۲۰ فایل بدافزاری برای پلتفرم‌های متفاوت ویندوز، ESX  و سفت‌افزار کشف و نمونه‌برداری شده است. تمامی این بدافزارها از تاریخ ۱۹ تیرماه ۱۴۰۰ توسط پادویش تشخیص‌ داده شده و از آلودگی به آنها جلوگیری می‌شود. هیچ‌کدام از این فایل‌ها تا این لحظه توسط آنتی‌ویروس‌های جهانی تشخیص داده نمی‌شوند. با توجه به سطح پیشرفته نفوذ و حملات سایبری انجام‌شده که با شناخت کامل از شبکه قربانی صورت گرفته است، در خصوص امن‌سازی لازم است حتما سیاست‌های دفاع در عمق با اولویت بالا رعایت شود. برای انجام ایمن‌سازی، لازم است تمامی دسترسی‌های سطح ادمین به اکتیودایرکتوری مورد بازبینی قرار گرفته و تا جای ممکن پسوردهای قبلی اکانت‌های ادمین به سرعت تغییر کند. همچنین نسبت به قرارگیری اسکریپت لاگین و استارتاپ حساس بوده و این موارد بررسی شود. تمامی دسترسی‌های سطح روت به سرورهای ESX, Xen, انواع Linux و انواع ویندوز سرورهای نصب‌شده روی سرورهای فیزیکی مورد بازبینی قرار گرفته و تا جای ممکن، رمز اکانت‌های روت/ ادمین بازنشانی شود. لازم است سرویس SSH را در سرورهای ESX غیرفعال کنید، دسترسی پورت‌های ILO در سرورهای HP از شبکه کاملا قطع شود. همچنین توصیه می‌شود دسترسی از راه دور به شبکه در ساعات غیرکاری تا جای ممکن محدود شود و از VPN (مبتنی بر کلید خصوصی نرم‌افزاری یا توکن) به جای اتصال مستقیم به سرورها استفاده شود، سامانه‌های ثبت وقایع شبکه مورد بازیینی قرار گرفته و تمامی رخدادهای امنیتی و پیکره‌بندی سیستم‌ها را شامل شود. نسبت به تلاش برای دسترسی به پورت‌های ILO یا SSH به سرورها و دسترسی‌های ریموت خارج سازمان حساس بوده و موارد هشدار را با اولویت پیگیری کنید. تهیه پشتیبان منظم از داده‌ها بر روی رسانه‌های آفلاین و اطمینان از صحت پشتیبان‌ها هم از دیگر راه‌کارهای امنیتی است.

     به‌روزرسانی‌ها باید اعمال شوند

 اما نه بدون تحلیل

گزارش وقوع حمله، کمک به خود و سایر قربانیان است. اگر شرکت‌ها و سازمان‌های قربانی حملات سایبری به جای توضیح و تشریح حمله، وقوع آن را کتمان کنند نه تنها به جای سایر قربانیان به مهاجم کمک می‌کنند؛ بلکه کمک دیگران را از خود دریغ کرده‌اند. سوال معمول آن است که آیا به‌روزرسانی‌ها نباید نصب و اعمال شوند؟! در پاسخ باید گفت حتما باید به‌روزرسانی‌ها اعمال شوند ولی نه به صورت خودکار و بدون تحلیل. در رویکرد اعتماد صفر، شما نباید هر وصله یا فایل را بدون تحلیل بارگذاری و نصب کنید. مهم‌تر از همه آنکه اهمیت شرکت یا سازمان وابسته‌تان را جدی بگیرید. به زنجیره تامین شرکت یا سازمان خود توجه کنید و هرگونه ارتباط با حلقه‌های ضعیف‌تر این زنجیره را رصد کنید. توجه کنید که اگر به زیرساخت‌های پیچیده شرکت‌های مطرح و مهمی مانند سولارویندز، فایرآی، مایکروسافت، سیسکو و سازمان‌هایی مانند پنتاگون، وزارتخانه‌های ایالات متحده، ناتو حمله شده است؛ حمله به شرکت یا سازمان شما نیز ممکن است.