منشأ نامعلوم حمله هکری به سایت‌ها

گروه دانش و فن| مرجان محمدی|

هفته گذشته باج‌افزاری تحت عنوان wannacrypt با قابلیت خودانتشاری در شبکه کشورها شیوع یافت که براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شد و در چند روز نخستین به حدود دو هزار قربانی رسید، اما با اطلاع‌رسانی به موقع انجام شده و عملیاتی شدن اقدام‌های لازم، این موضوع در کشور کنترل و گزارش‌های آلودگی به آن به‌شدت کاهش یافت.

باج‌افزار مذکور برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی امریکا به نام EternalBlue استفاده می‌کند که مدتی پیش توسط گروه shadowbrokers منتشر شد. این کد اکسپلویت از یک آسیب‌پذیری در سرویس SMB سیستم‌های عامل ویندوز با شناسه

17-010MS استفاده می‌کند. در حال حاضر این آسیب‌پذیری توسط مایکروسافت مرتفع شده است اما کامپیوترهایی که بروزرسانی مربوطه را دریافت نکرده‌اند نسبت به این حمله و آلودگی به این باج‌افزار آسیب‌پذیر هستند.

با توجه به راهنماها و راه‌حل‌های منتشر شده در سایت‌های مختلف مبنی بر امکان بازیابی داده‌های رمز شده توسط باج‌افزارها، مرکز ماهر ضمن انجام بررسی‌های فنی و دقیق مستند کاملی را در این خصوص منتشر کرد که لازم است کاربران هرچه سریع‌تر نسبت به بروزرسانی سیستم‌ها براساس دستورالعمل‌های قبلی مرکز ماهر اقدام کنند. این در حالی است که روز گذشته وزیر ارتباطات و فناوری اطلاعات در حاشیه جلسه هیات دولت از نامعلوم بودن منشأ حملات هکری خبر داد و گفت: در حال حاضر و در دنیای امروز با توجه به اینکه فضای مجازی به سرعت در حال گسترش است اینگونه حملات انجام می‌شود و تقریبا در روز نیست که ما هزاران حمله از خارج نداشته باشیم که از آنها جلوگیری می‌کنیم که برخی از آنها نوعی ویروس است که یک‌جا می‌نشیند و اثر می‌گذارد لذا بلافاصله ظرف حدود دو ساعت همکاران ما وارد عمل شده‌اند و مشکل را رفع کردند.

واعظی تاکید کرد: هنوز منشا آن مشخص نیست و در حال بررسی است اما یکی از آنها آی‌پی داخلی و حدود دو ویروس آی‌پی خارجی بود که هر دو مورد بررسی قرار می‌گیرند. این در حالی است که

شرکت آنتی ویروس امریکایی «سیمانتک» اعلام کرده گروه هکری «لازاروس» که گفته می‌شود به کره شمالی ارتباط دارد به احتمال زیاد مسوول حمله جهانی سایبری «Wannacry» اوایل ماه جاری است. از سوی دیگر کره شمالی به‌شدت گزارش‌ها مبنی بر ارتباط این کشور با ویروسی که صدها هزار کامپیوتر را فلج کرد، رد می‌کند. هکرهای لازاروس در ازای بازگرداندن کنترل سیستم‌ها به کاربران مبلغی را درخواست می‌کنند. اما شرکت سیمانتک می‌گوید، این باج‌افزار اشتراکات بسیاری با سایر حملات سایبری لازاروس از جمله حمله سال ۲۰۱۴ شرکت «سونی پیکچرز» و دزدی چندین میلیون دلاری از بانک مرکزی بنگلادش دارد. این شرکت در گزارش خود بدون نام بردن از ارتباط این گروه به کره‌شمالی نوشته است: پیش از حمله سایبری جهانی در ۱۲ مه یک نوع کوچک شده‌یی از حملهWannacry انجام شده بود. در این گزارش آمده است: تحلیلگران و کارشناسان معتقدند شباهت‌های اساسی در ابزارها، تکنیک‌ها و ساختارهای مورد استفاده در این حملات با حملات پیشین لازاروس وجود داشته که احتمال این مساله که لازاروس پشت حمله Wannacry بوده است را افزایش می‌دهد.

در حالی که پیونگ یانگ اتهامات علیه خود را در این زمینه رد می‌کند، کارشناسان می‌گویند این کشور طی سال‌های اخیر در تلاش برای کسب پول خارجی جهت دور زدن تحریم‌های سازمان ملل، حملات سایبری خود را افزایش داده است.

همچنین کارشناسان رایانه‌یی اعلام کردند سازندگان اصلی ویروس باج‌افزار واناکری یکی از کشورهای چین، هنگ‌کنگ، تایوان یا سنگاپور هستند. کارشناسان جهانی رایانه‌یی اعلام کردند، براساس داده‌های جدید به دست آمده، کدهای این ویروس ابتدا به زبان چینی و گویش مناطق جنوبی نوشته شده که در چین، هنگ کنگ، تایوان و سنگاپور استفاده می‌شود و سپس به زبان انگلیسی تغییر پیدا کرده‌اند. پیشتر شرکت امنیتی سیمانتک امریکا، کره شمالی را مسوول ساخت و انتشار این ویروس معرفی کرده بود. این ویروس پیشرفته توانست ۴۵۰۰۰ رایانه را در ۷۴کشور جهان آلوده کند و از قربانیان خود بین ۳۰۰ تا ۶۰۰دلار برای بازگشت اطلاعات اخاذی کند.

همچنین سیدهادی سجادی - معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات - درباره رواج باج افزار اخیر در فضای سایبری کشور گفت: باج افزارها گونه‌یی از انواع بدافزارها هستند با این تفاوت که وقتی وارد سامانه مربوطه می‌شوند و قربانی مورد نظر سامانه‌اش آلوده به این باج‌افزار می‌شود، کل اطلاعات داخل سامانه‌شان رمزگزاری شده و عملاً کاربر به هیچ یک از اطلاعات خود در داخل کامپیوتر دسترسی ندارد و کلید در اختیار باج افزار است.

وی ادامه داد: باج افزار برای اینکه کلید را در اختیار شما قرار دهد، درخواست باج می‌کند که از طریق پول‌های فضای مجازی مثل بیت کوین انجام می‌شود که توسط سیستم بانکی‌های دنیا امکان رد یابی وجود ندارد.

این مقام مسوول با اشاره به رواج انواع فراوانی از این باج افزار‌ها در دنیا افزود: این باج‌افزارها طیف وسیعی از سازمان‌ها و شبکه‌های دنیا را در بر گرفته و هر روز قربانی می‌گیرند و هم‌اکنون بیش از ۱۰۰ کشور دنیا از جمله انگلیس، روسیه، اوکراین، ایران و... را درگیر کرده است. وی با اشاره به اینکه منشأ این باج‌افزار مرتبط به آسیب‌پذیری در سیستم عامل ویندوز قبلا توسط مایکروسافت اعلام شده است، افزود: بسیاری از کاربران آپدیت را انجام نمی‌دهند. درحالی که کاربرانی که به شکل اتومات به روزرسانی می‌شوند از این آسیب‌ها مصون هستند.

به گفته سجادی آنها که سیستم‌هایشان را به روز رسانی نکرده‌اند، باج افزار سیستم‌های شان را آلوده کرده، در خواست باج می‌کند، در این باج افزار جدید، معمولاً شش ساعت فرصت می‌دهند تا مبلغ مورد نظر دریافت شود، در غیر این صورت، هر یک ساعت بر مبلغ آن، افزوده شود. سجادی با تاکید بر اینکه مردم و سازمان باید به روز رسانی ویندوز را جدی بگیرند؛ افزود: در این میان نقش مدیران سازمان‌ها و شبکه‌ها بسیارحائز اهمیت است تا پروتکل SMB را ببندند تا به روز رسانی صورت گیرد.

مشاهده صفحات روزنامه