‫خطر حمله‌ی سایبری به وب‌سایت و پورتال‌های خبری همچنان وجود دارد

اخباری در 22 الی 20 بهمن‌ ماه حدود ساعت 21 بهمن ماه در روز شنبه مورخ 22 در آستانهی برگزاری راه‌پیمایی باشکوه خصوص حمله سایبری به تعدادی از پورتالها و وبسایتهای خبری منتشر و باعث ایجاد نگرانیهایی در سطح جامعه شد. مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص بعمل آورد. جهت اطلاع و رعایت نکات مهم مطرح در این زمینه، توضیح اجمالی حمله سایبری فوق در گزارش حاضر آمده است.

وب‌سایت‌های خبری که مورد حمله قرار گرفته‌اند شامل: روزنامهی قانون، روزنامه‌ی آرمان، روزنامه ستاره صبح بوده که در مرکز داده‌ی تبیان و مرکز داده شرکت پیشتاز میزبانی شده‌اند. گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم‌های هدف نموده و در این فرایند مشخص گردیده که تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل ویندوز با توسعه داده شده اند .ASP.Net و زبان برنامه نویسی IIS سرویس دهنده‌ی وب وبسایت خبری به شرح زیر در کشور میباشد که نفوذگران از 30 شرکت تولید کننده نرم افزار این سامانه ها مجری بیشاز این حیث به مجموعه اهداف مناسبی دست پیدا نمودند. تهدید اخیر کماکان برای این سایت‌ها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال نمایند.

1- armandaily.ir 2- aminejameeh.ir 3 kaenta.ir ghanoondaily.ir 4 asreneyriz.ir 5 sharghdaily.ir 6 ecobition.ir 7 karoondaily.ir 8 baharesalamat.ir 9 tafahomnews.com 10 bankvarzesh.com 11 niloofareabi.ir 12 shahrvand-newspaper.ir 13 14 etemadnewspaper.ir 15 vareshdaily.ir 15 bahardaily.ir 16 nishkhat.ir 17 18 sayeh-news.com nimnegahshiraz.ir 19 shahresabzeneyriz.ir 20 neyrizanfars.ir 21 sarafrazannews.ir 22 tweekly.ir 23 armanmeli.ir 24 davatonline.ir 25 setaresobh.ir 26 noavaranonline.ir 27 bighanoononline.ir 28 naghshdaily.ir 29 hadafeconomic.ir 30 اقدامات فنی اولیه توسط مرکز ماهر به شرح زیر صورت پذیرفت:

• شناسایی دارایی های مرتبط با سامانه‌ها جهت تحلیل دقیق (در این زمینه متاسفانه مرکز داده تبیان هیچگونه همکاری را بعمل نیاورده است)
• از دسترس خارج نمودن سامانه‌های که مورد حمله قرار گرفته‌اند، جهت بازیابی و حذف تغییرات در محتوی پیام‌ها
• تغییر و یا غیرفعال سازی نام‌کاربری اشتراکی و پیش‌فرض در تمامی سامانه‌ها
• ایجاد یک Snapshot و همچنین یک کپی سالم و دست نخورده از سرویس‌دهنده‌های مجازی که مورد حمله  قرار گرفته‌اند
• کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویسدهندههای هدف

پس از دریافت فایلهای ثبت وقایع از حملات سایبری انجام شده از سرویس‌دهنده‌ها با تحلیل و بررسی تاریخچهی حملات و آیپی 5 آسیب‌پذیری‌ها حجم بالایی از فایل‌ها مورد تحلیل و آنالیز قرار گرفت و آیپی مبدا حملات استخراج شد که شامل از کشورهای انگلستان و آمریکا بوده است.  

شواهد موجود در فایلهای ثبت وقایع نشان میدهد که مهاجمان از دو روز قبل از تاریخ 08/02/2018 الی 10/02/2018 پس از کشف آسیب‌پذیری‌های از قبیل انواع Injectionها، در تلاش جهت نفوذ با ابزارهای خودکار و نیمه‌خودکار جهت استخراج اطلاعات نظیر نام‌کاربری و کلمات عبور در پایگاه‌داده‌ی سامانه‌ها بوده‌اند. تمامی فعالیت‌ها و عملیات مخرب جهت کشف آسیب‌پذیری و نفوذ به سامانه‌ها، که متعلق به آدرسهای IP حمله کننده استخراج و بررسی شد.

اقدامات اصلاحی انجام شده:

1- تغییر نام کاربری و کلمه عبور پیش فرض راهبر سامانه در تمامی محصولات شرکت  توضیح مهم در این زمینه: تمامی سایت‌های خبری مورد حمله دارای نامکاربری و کلمه‌ی عبور پیشفرض (*****) و یکسان توسط شرکت پشتیبان بوده‌ است. همچنین در بررسی مشخص گردید که متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا برابر @gmail.com***** می‌باشد که نام‌کاربری و کلمه‌ی عبور استفاده شده در سایت‌ها نیز همان می‌باشد. این موارد نشان میدهد متاسفانه حداقل موارد امنیتی رعایت نشده است.

2- اطلاع رسانی به تمامی دارندگان و استفاده‌کنندگان محصول شرکت مورد هدف

3- کشف ماژول‌ها و بخشهای آسیب‌پذیر در سایت‌های مورد حمله و اطلاع به پشتیبان جهت وصله امنیتی سریع

4- هشدارها و راهنمایی‌های لازم جهت حفاظت و پیکربندی و مقاوم‌سازی سرویس‌دهنده و فایل ثبت وقایع بر روی تمامی سرویس دهنده‌ها

5- اقدامات لازم برای انجام آزمون نفوذپذیری بر روی تمامی بخش‌ها و ماژول‌های سامانه مشترک سخت افزار