جزئیات تازه از حمله سایبری به سایت‌های خبری
گزارش‌های تحلیلی مرکز ماهر درباره حملات سایبری به سایت سه رسانه رسمی کشور نشان می‌دهد که برخی مراکز داده کشور نظیر تبیان چندان ایمن نیست و قابلیت هک دارد و این حملات سایبری از انگلستان و امریکا به سایتهای خبری ایران صورت گرفته است.

به گزارش تسنیم، مرکز ماهر وزارت ارتباطات و فناوری اطلاعات در پی حمله به تعدادی از پورتال ها و وب‌سایتهای خبری، این موضوع را مورد بررسی قرار داد و اقدامات فنی لازم را در این باره به عمل آورد.

برای اطلاعات و رعایت نکات مهم مطرح در این زمینه، توضیح اجمالی حمله فوق در گزارش زیر آمده است.

وب‌سایتهای خبری که مورد حمله قرار گرفته‌اند شامل روزنامه‌های قانون، آرمان و ستاره صبح بوده که در مرکز داده تبیان و شرکت پیشتاز میزبانی می‌شده‌اند.

گروه فنی ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف کرده و در این فرآیند مشخص شده که تمامی این سامانه‌ها توسط یک شرکت و در بستر سیستم‌عامل ویندوز با سرویس‌دهنده وب IIS و زبان برنامه‌نویسی ASP.NET توسعه داده شده‌اند.

شرکت تولید‌کننده نرم‌افزار این سامانه‌ها مجری بیش از 30 وب سایت خبری به زیر در کشور است که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کردند؛ تهدید اخیر کماکان برای این سایتها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال کنند.

• armandaily.ir
• aminejameeh.ir
• kaenta.ir
• ghanoondaily.ir
• asreneyriz.ir
• sharghdaily.ir
• ecobition.ir
• karoondaily.ir
• baharesalamat.ir
• tafahomnews.com
• bankvarzesh.com
• niloofareabi.ir
• shahrvandnewspaper.ir
• etemadnewspaper.ir
• vareshdaily.ir
• bahardaily.ir
• nishkhat.ir
• sayehnews.com
• nimnegahshiraz.ir
• shahresabzeneyriz.ir
• neyrizanfars.ir
• sarafrazannews.ir
• tweekly.ir
• armanmeli.ir
• davatonline.ir
• setaresobh.ir
• noavaranonline.ir
• bighanoononline.ir
• naghshdaily.ir
• hadafeconomic.ir

اقدامات فنی اولیه توسط ماهر به شرح زیر صورت گرفت:

1. شناسایی داراییهای مرتبط با سامانه‌ها برای تحلیل دقیق که در این زمینه مرکز داده تبیان هیچگونه همکاری را به عمل نیاورده است.
2. از دسترس خارج کردن سامانه‌هایی که مورد حمله قرار گرفته‌اند برای بازیابی حذف تغییرات در محتوای پیامها
3. تغییر یا غیرفعال سازی نام کاربری اشتراکی و پیش فرض در تمامی سامانه‌ها
4. ایجاد یک Snapshot و همچنین یک کپی سالم و دست نخورده از سرویس‌دهنده‌های مجازی که مورد حمله قرار گرفته‌اند.
5. کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویس‌دهنده‌های هدف.

پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویس‌دهنده‌ها با تحلیل و بررسی تاریخچه حملات و آسیب‌پذیریها حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و آی‌پی مبدأ حملات استخراج شد که شامل پنج آی‌پی از کشورهای انگلستان وامریکا بوده است.
 


شواهد موجود در فایلهای ثبت وقایع نشان می‌دهد که مهاجمان از چهار روز قبل (از تاریخ 8/2/2018 الی 10/2/2018) پس از کشف آسیب‌پذیریهای از قبیل انواع Injectionها، در تلاش برای نفوذ با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعات نظیر نام کاربری و کلمات عبور در پایگاه داده سامانه‌ها بوده‌اند.

تمامی فعالیتها و عملیات مخرب برای کشف آسیب‌پذیری و نفوذ به سامانه‌ها که متعلق به آدرسهای IP حمله کننده استخراج و بررسی شد.

اقدامات اصلاحی انجام شده

1.    تغییر نام کاربری و کلمه عبور پیش فرض راهبر سامانه در تمامی محصولات شرکت

توضیح مهم در این زمینه این است که تمامی سایتهای خبری مورد حمله دارای نام کاربری و کلمه عبور پیش فرض و یکسان توسط شرکت پشتیبان بوده است همچنین در بررسی مشخص شد که آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا برابر ****@gmail.com است که نام کاربری و کلمه عبور استفاده شده در سایتها نیز همان است.

این موارد نشان می‌دهد متأسفانه حداقل موارد امنیتی رعایت نشده است.

اطلاع‌رسانی به تمامی دارندگان و استفاده‌کنندگان محصول شرکت مورد هدف.

کشف ماژولها و بخشهای آسیب‌پذیر در سایتهای مورد حمله و اطلاع به پشتیبان برای وصله امنیتی سریع.

هشدارها و راهنماییهای لازم برای حفاظت، پیکربندی و مقاوم‌سازی سرویس‌دهنده و فایل ثبت وقایع بر روی تمامی سرویس‌دهنده‌ها.

اقدامات لازم برای انجام آزمون نفوذپذیری بر روی تمامی بخشها و ماژولهای سامانه مشترک.