بیتوجهی به هشدارهای امنیتی جهانی در تعطیلات سال جدید باعث شد تا هکرها بتوانند اینترنت کشور را برای ساعاتی مختل کنند.
۰
بررسی یک حمله سایبری از پیش شناختهشده
امنیت سایبری را به تعطیلات نفرستیم
منبع : همشهری
بیتوجهی به هشدارهای امنیتی جهانی در تعطیلات سال جدید باعث شد تا هکرها بتوانند اینترنت کشور را برای ساعاتی مختل کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، جمعه شب یک حمله گسترده شبانه باعث اختلال سراسری در اینترنت کشور شد و شماری از سایتها از کار افتادند. روز بعد، هرچند بهنظر همهچیز به حالت عادی بازگشته بود، اما موج این حمله سایبری ادامه داشت. حمله مختص به ایران نبود؛ حدود ۲۰۰ هزار روتر سوئیچ سیسکو در کشورهای مختلف جهان هدف حمله قرار گرفتند که ۳۵۰۰ موردشان در کشور ما بود. اما بهنظر تنها در ایران بود که ضربه این حمله بسیار سنگین توسط کاربران احساس شد و برای ساعاتی ترافیک اینترنت کشور را مختل کرد. هرچند اطلاعاتی به بیرون درز نکرد و حمله تنها از نوع منع دسترسی بود، اما بیشتر از هرچیز مشکلات دفاع سایبری در این رابطه به چشم آمد.
شرکت سیسکو از ۱۰ روز قبل، این نقص امنیتی را هشدار دادهبود، اما مرکز ماهر هشداری در این رابطه نداد و مراکز داده و شرکتهای مهم اینترنتی هم در تعطیلات عید توجهی به این ماجرا نکردند. هرچند به گفته وزیر ارتباطات هسته اصلی شبکه ملی اطلاعات از حمله سایبری در امان بود، اما بیتوجهی به امنیت سایبری بهخاطر تعطیلات عید در میان خطوط گزارش وزارت ارتباطات هم به چشم میخورد. جان کلام حرفهای وزیر ارتباطات این بود که توجه نکردن به نکات امنیتی و نبود اطلاعرسانی در این حوزه باعث شد چنین حملهای رخ دهد و به شرکتها آسیب بزند؛ دو نکتهای که پیشگیری کردن از آن بسیار سادهتر از دست و پنجه نرم کردن با حملههای بزرگ اینترنتی است.
عامل حمله که بود؟
مانند حملات سایبری دیگر هنوز هکرهای عامل حمله مشخص نیستند. در کدنویسی این حمله، پرچم آمریکا و عبارت «به انتخابات ما کاری نداشتهباشید» دیدهمیشود که باعث شد تا برخی منشاء آن را آمریکا و هدف اصلی حمله را کشور روسیه بدانند. این در حالی است که در جدول قربانیان این حمله آمریکا و روسیه هر دو در میان ۱۰ کشور اصلی هدف حمله قرار دارند. شرکت سیمانتک حتی روسیه را متهم کرده و گروه هکرهای موسوم به Dragonfly را پشت پرده این حمله دانستهاست. ضمن اینکه، طبق اطلاعات منتشره توسط وزارت ارتباطات، این حمله ظاهرا به بیش از ۲۰۰هزار روتر سوئیچ در کل دنیا صورت گرفته و حملهای گسترده بودهاست. در کشور ما حدود 3500 روتر سوئیچ مورد حمله واقع شدهاند که ۵۵۵ مورد در تهران، ۱۷۰مورد استان سمنان و ۸۸ مورد استان اصفهان بودهاست.
چه شرکتهایی هدف قرار گرفتند؟
هدف اصلی در داخل کشور چند FCP (شرکتهای دارای پروانه ارتباطات ثابت) بودند که تعدادی از آنها بهخاطر بهروزرسانی سیستمهای امنیتیشان، آسیبی ندیدهبودند. اینطور که وزارت ارتباطات گزارش دادهاست «بیشترین آسیبپذیری در شرکتهای رسپینا، ایزایران و شاتل رخ دادهاست، اما علاوهبر این اختلال تعداد کمی روتر در برخی مراکز سرویسهای پرکاربرد را از دسترس خارج کرد».
شرکت ایرانی رسپینا جزو ۱۰شرکتی است که در دنیا بیشترین تأثیرات را از این حمله داشتهاست. در ایران هم تهران با ۵۵۵ موردتجهیزات بیشترین ضربه را در این حمله متحمل شد.FCP ها از طرف سازمان تنظیم مقررات مجوز ارائه خدمات اینترنت را در کشور دارند و به ISPها، یعنی شرکتهای کوچکتری که خدمات اینترنت را در سراسر کشور پخش میکنند خدمات میدهند. کمتر از ۲۴ ساعت بعد از این حمله، وزیر ارتباطات اعلام کرد ۹۵درصد مشکل برطرف شد، اما اینطور که نعیم فرهادیان، کارشناس امنیت شبکه در یکی از شرکتهای امنیت اینترنتی کشور، میگوید: «شرکتهای اصلی و بزرگ مشکلشان حل شدهاست، اما آی.اس.پیها که شرکتهای کوچکتر ارائهدهنده خدمات اینترنت در کشور هستند، هنوز مشکلاتی دارند.»
حمله چطور صورت گرفت؟
این حمله سایبری یکسری دستگاهها، سوئیچها و روترهای سیسکو را هدف قرار دادهبود. اینطور که نعیم فرهادیان، کارشناس امنیت شبکه میگوید: «دستگاههایی که به مشکل خوردهاند، بیشتر از سری ۳۰۰۰ شرکت سیسکو بودهاند.»
آنطور که بررسیها نشان میدهد این آسیبپذیری بهدلیل وجود یک نقص در قابلیت «Smart Install Client» تجهیزات سری ۳x و ۴x شرکت سیسکو بهوجود آمد و باعث شد تا مهاجمان بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر سوئیچها اقدام کرده و مانع خدماتدهی این تجهیزات شوند. هر دیتاسنتری در ساعت خاصی متوجه حمله شد، اما عموما تا حوالی ساعت ۹و ۳۰ دقیقه شب تمام شرکتها از این مسئله باخبر بودند. برخی تا حوالی نیمهشب و گروهی دیگر تا حوالی ساعت ۳ بامداد مشکلشان را حل کردند.
بیتوجهی به آپدیتها و پچهای امنیتی
این حمله به هیچ عنوان غیرمنتظره نبوده و شرکت سیسکو که سختافزارهای موردنیاز این شرکتها را فراهم میکند در روز ۲۸ مارس (۸ فروردینماه) هشدار دادهبود پکیجهای امنیتیشان را بهروزرسانی کرده و خودشان را در مقابل مشکلی که احتمال وقوع آن بالاست، ایمن کنند. درست یک روز پیش از حمله نیز هشدار مشابهی توسط سیسکو اعلام شدهبود، اما عموما به آن بیتوجهی شد. طبق اطلاعیه وزارت ارتباطات بهدلیل اینکه بسیاری از شرکتهای خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را در حالت فریز نگهداری میکنند و عدمهشدار به این شرکتها برای بهروز رسانی منجر به آسیبپذیری شبکه این شرکتها شدهاست.» در این حمله، دستگاههایی که لایه دوم و سوم سرورها را به هم متصل میکنند، هدف قرار داده و تمام تنظیماتشان را پاک کردهبودند. درنتیجه، این شرکتها مجبور شدند تمام اطلاعاتشان را از نسخههای پشتیبان قبلی بارگذاری کنند که همین موضوع باعث قطعی و اختلال در شبکه شد.
همهچیز قابل پیشگیری بود
جلوگیری از این حمله کار چندان دشواری نبود چون شرکت «سیسکو» از قبل تمام هشدارها را اعلام کرده و پکیجهای آپدیت را نیز ارائه کردهبود. تنها کاری که شرکتها ازجمله آیاسپیها باید انجام میدادند، اعلام لزوم بهروزرسانی به مشتریهایشان و قطع شبکه برای مدتی کوتاه بود تا بتوانند شبکهشان را بهروزرسانی کنند. به جز این، مرکز ماهر که در چنین مواقعی هشدارهای امنیتی را برای کاربران ایرانی منتشر میکند، عملا تا بعد از پایان حمله هیچ واکنشی نداشت. نعیم فرهادیان، مشاور امنیت شبکه میگوید که سیسکو یک روز قبل از حمله، هشدار دیگری هم ارائه دادهبود، اما به آن بیتوجهی شد.
نعمتالله کلانتری، معاون سختافزار یکی از بانکهای خصوصی کشور در اینباره میگوید: «بانکها چون همزمان از چند FCP خدمات میگیرند، زمانی که دسترسیشان به یک سرور مختل بشود، بهطور خودکار روی سیستم دیگری سوئیچ میکنند و در این حمله نیز کوچکترین آسیبی ندیدند، اما این مشکل ممکن است دوباره رخ بدهد و باید با بهترین شیوه برای مقابله با آن آماده باشیم. اشتباه بسیاری از شرکتها این است که امنیت شبکه برایشان در اولویت نیست. خیلی از این سازمانها نگاهشان به سازمانهایی مثل مرکز ماهر و اطلاعیههای آنهاست، اما روش بهتر این است که خود شرکتها یکسری کارشناس، مخصوص ساختار شبکه خودشان داشتهباشند که راهحلهای سریعتر و شخصیسازی شدهای را ارائه کنند.»
سید مجتبی مصطفوی، کارشناس امنیت شبکه، درباره مشکلی که باعث شده این حملهها در چند وقت اخیر به شبکه داخلی کشور آسیب بزند، میگوید: ارگانهای دولتی ما عموما به مسئله امنیت شبکه بیتوجه هستند. این ارگانها یا کارشناس امنیتی ندارند یا اگر داشتهباشند، سطح دانش آن کارشناس بسیار پایین است. بودجه و ارائه تجهیزات وجود دارد. از شرکتهای بومی و داخلی هم دعوت میکنند، اما کسی از ما توقع سطح بالایی ندارد. خیلی از کارشناسان هم اگر واقعا کاربلد باشند راهحلهای سادهای را آنطور که مشتری درخواست کردهاست، ارائه میکنند. نتیجه نهایی این است که سیستمها بسیار آسیبپذیر میشوند.»
تجهیزات در معرض تهدید
«تالوس سکیوریتی» پیشتر نسبت بهوجود حفره ناشناخته در سوئیچهای سیسکو خبر داده و به سازمانهای استفادهکننده نسبت به حمله سایبری هشدار دادهبود.
در ۲۸ مارس شرکت Cisco یک آسیبپذیری بحرانی را اعلام کرد که با استفاده از آسیبپذیری قابلیت Smart Install نفوذگران میتوانستند کنترل برخی از سوئیچهای Cisco با سیستم عامل IOS و IOS XR را از راه دور در اختیار بگیرند و نسبت به reload دستگاه، بازنشانی و پاک کردن پیکربندی آن و یا اجرای کد دلخواه خود اقدام کنند. اسکن ۲۹ مارس روی ۸.۵ میلیون دستگاه حکایت از وجود حفره روی ۲۵۰هزار سوئیچ داشت که به مالکان آن هشدار امنیتی دادهشد. کارشناسان میگویند سوءاستفاده از پروتکل Smart Install، هنگام نصب از طریق کنسول روی سوئیچهای سیسکو، شبیه کاری است که پیشتر، هکرهای دولتی روس برای حمله به تاسیسات هستهای و انرژی آمریکا بهره بردهبودند.
ظاهرا پورت ۴۷۸۶ روی سوئیچها (مدلهای ۲۹۶۰، ۴۵۰۰، ۳۸۵۰، ۳۷۵۰، ۳۵۶۰، ۲۹۷۵) بهصورت پیشفرض باز بوده و کارشناسان فنی نیز از موضوع خبر ندارند. هکرها نیز حمله تعریف شده را از طریق این پورت انجام دادند و سوئیچها را به حالت کارخانهای بازگرداندند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، جمعه شب یک حمله گسترده شبانه باعث اختلال سراسری در اینترنت کشور شد و شماری از سایتها از کار افتادند. روز بعد، هرچند بهنظر همهچیز به حالت عادی بازگشته بود، اما موج این حمله سایبری ادامه داشت. حمله مختص به ایران نبود؛ حدود ۲۰۰ هزار روتر سوئیچ سیسکو در کشورهای مختلف جهان هدف حمله قرار گرفتند که ۳۵۰۰ موردشان در کشور ما بود. اما بهنظر تنها در ایران بود که ضربه این حمله بسیار سنگین توسط کاربران احساس شد و برای ساعاتی ترافیک اینترنت کشور را مختل کرد. هرچند اطلاعاتی به بیرون درز نکرد و حمله تنها از نوع منع دسترسی بود، اما بیشتر از هرچیز مشکلات دفاع سایبری در این رابطه به چشم آمد.
شرکت سیسکو از ۱۰ روز قبل، این نقص امنیتی را هشدار دادهبود، اما مرکز ماهر هشداری در این رابطه نداد و مراکز داده و شرکتهای مهم اینترنتی هم در تعطیلات عید توجهی به این ماجرا نکردند. هرچند به گفته وزیر ارتباطات هسته اصلی شبکه ملی اطلاعات از حمله سایبری در امان بود، اما بیتوجهی به امنیت سایبری بهخاطر تعطیلات عید در میان خطوط گزارش وزارت ارتباطات هم به چشم میخورد. جان کلام حرفهای وزیر ارتباطات این بود که توجه نکردن به نکات امنیتی و نبود اطلاعرسانی در این حوزه باعث شد چنین حملهای رخ دهد و به شرکتها آسیب بزند؛ دو نکتهای که پیشگیری کردن از آن بسیار سادهتر از دست و پنجه نرم کردن با حملههای بزرگ اینترنتی است.
عامل حمله که بود؟
مانند حملات سایبری دیگر هنوز هکرهای عامل حمله مشخص نیستند. در کدنویسی این حمله، پرچم آمریکا و عبارت «به انتخابات ما کاری نداشتهباشید» دیدهمیشود که باعث شد تا برخی منشاء آن را آمریکا و هدف اصلی حمله را کشور روسیه بدانند. این در حالی است که در جدول قربانیان این حمله آمریکا و روسیه هر دو در میان ۱۰ کشور اصلی هدف حمله قرار دارند. شرکت سیمانتک حتی روسیه را متهم کرده و گروه هکرهای موسوم به Dragonfly را پشت پرده این حمله دانستهاست. ضمن اینکه، طبق اطلاعات منتشره توسط وزارت ارتباطات، این حمله ظاهرا به بیش از ۲۰۰هزار روتر سوئیچ در کل دنیا صورت گرفته و حملهای گسترده بودهاست. در کشور ما حدود 3500 روتر سوئیچ مورد حمله واقع شدهاند که ۵۵۵ مورد در تهران، ۱۷۰مورد استان سمنان و ۸۸ مورد استان اصفهان بودهاست.
چه شرکتهایی هدف قرار گرفتند؟
هدف اصلی در داخل کشور چند FCP (شرکتهای دارای پروانه ارتباطات ثابت) بودند که تعدادی از آنها بهخاطر بهروزرسانی سیستمهای امنیتیشان، آسیبی ندیدهبودند. اینطور که وزارت ارتباطات گزارش دادهاست «بیشترین آسیبپذیری در شرکتهای رسپینا، ایزایران و شاتل رخ دادهاست، اما علاوهبر این اختلال تعداد کمی روتر در برخی مراکز سرویسهای پرکاربرد را از دسترس خارج کرد».
شرکت ایرانی رسپینا جزو ۱۰شرکتی است که در دنیا بیشترین تأثیرات را از این حمله داشتهاست. در ایران هم تهران با ۵۵۵ موردتجهیزات بیشترین ضربه را در این حمله متحمل شد.FCP ها از طرف سازمان تنظیم مقررات مجوز ارائه خدمات اینترنت را در کشور دارند و به ISPها، یعنی شرکتهای کوچکتری که خدمات اینترنت را در سراسر کشور پخش میکنند خدمات میدهند. کمتر از ۲۴ ساعت بعد از این حمله، وزیر ارتباطات اعلام کرد ۹۵درصد مشکل برطرف شد، اما اینطور که نعیم فرهادیان، کارشناس امنیت شبکه در یکی از شرکتهای امنیت اینترنتی کشور، میگوید: «شرکتهای اصلی و بزرگ مشکلشان حل شدهاست، اما آی.اس.پیها که شرکتهای کوچکتر ارائهدهنده خدمات اینترنت در کشور هستند، هنوز مشکلاتی دارند.»
حمله چطور صورت گرفت؟
این حمله سایبری یکسری دستگاهها، سوئیچها و روترهای سیسکو را هدف قرار دادهبود. اینطور که نعیم فرهادیان، کارشناس امنیت شبکه میگوید: «دستگاههایی که به مشکل خوردهاند، بیشتر از سری ۳۰۰۰ شرکت سیسکو بودهاند.»
آنطور که بررسیها نشان میدهد این آسیبپذیری بهدلیل وجود یک نقص در قابلیت «Smart Install Client» تجهیزات سری ۳x و ۴x شرکت سیسکو بهوجود آمد و باعث شد تا مهاجمان بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر سوئیچها اقدام کرده و مانع خدماتدهی این تجهیزات شوند. هر دیتاسنتری در ساعت خاصی متوجه حمله شد، اما عموما تا حوالی ساعت ۹و ۳۰ دقیقه شب تمام شرکتها از این مسئله باخبر بودند. برخی تا حوالی نیمهشب و گروهی دیگر تا حوالی ساعت ۳ بامداد مشکلشان را حل کردند.
بیتوجهی به آپدیتها و پچهای امنیتی
این حمله به هیچ عنوان غیرمنتظره نبوده و شرکت سیسکو که سختافزارهای موردنیاز این شرکتها را فراهم میکند در روز ۲۸ مارس (۸ فروردینماه) هشدار دادهبود پکیجهای امنیتیشان را بهروزرسانی کرده و خودشان را در مقابل مشکلی که احتمال وقوع آن بالاست، ایمن کنند. درست یک روز پیش از حمله نیز هشدار مشابهی توسط سیسکو اعلام شدهبود، اما عموما به آن بیتوجهی شد. طبق اطلاعیه وزارت ارتباطات بهدلیل اینکه بسیاری از شرکتهای خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را در حالت فریز نگهداری میکنند و عدمهشدار به این شرکتها برای بهروز رسانی منجر به آسیبپذیری شبکه این شرکتها شدهاست.» در این حمله، دستگاههایی که لایه دوم و سوم سرورها را به هم متصل میکنند، هدف قرار داده و تمام تنظیماتشان را پاک کردهبودند. درنتیجه، این شرکتها مجبور شدند تمام اطلاعاتشان را از نسخههای پشتیبان قبلی بارگذاری کنند که همین موضوع باعث قطعی و اختلال در شبکه شد.
همهچیز قابل پیشگیری بود
جلوگیری از این حمله کار چندان دشواری نبود چون شرکت «سیسکو» از قبل تمام هشدارها را اعلام کرده و پکیجهای آپدیت را نیز ارائه کردهبود. تنها کاری که شرکتها ازجمله آیاسپیها باید انجام میدادند، اعلام لزوم بهروزرسانی به مشتریهایشان و قطع شبکه برای مدتی کوتاه بود تا بتوانند شبکهشان را بهروزرسانی کنند. به جز این، مرکز ماهر که در چنین مواقعی هشدارهای امنیتی را برای کاربران ایرانی منتشر میکند، عملا تا بعد از پایان حمله هیچ واکنشی نداشت. نعیم فرهادیان، مشاور امنیت شبکه میگوید که سیسکو یک روز قبل از حمله، هشدار دیگری هم ارائه دادهبود، اما به آن بیتوجهی شد.
نعمتالله کلانتری، معاون سختافزار یکی از بانکهای خصوصی کشور در اینباره میگوید: «بانکها چون همزمان از چند FCP خدمات میگیرند، زمانی که دسترسیشان به یک سرور مختل بشود، بهطور خودکار روی سیستم دیگری سوئیچ میکنند و در این حمله نیز کوچکترین آسیبی ندیدند، اما این مشکل ممکن است دوباره رخ بدهد و باید با بهترین شیوه برای مقابله با آن آماده باشیم. اشتباه بسیاری از شرکتها این است که امنیت شبکه برایشان در اولویت نیست. خیلی از این سازمانها نگاهشان به سازمانهایی مثل مرکز ماهر و اطلاعیههای آنهاست، اما روش بهتر این است که خود شرکتها یکسری کارشناس، مخصوص ساختار شبکه خودشان داشتهباشند که راهحلهای سریعتر و شخصیسازی شدهای را ارائه کنند.»
سید مجتبی مصطفوی، کارشناس امنیت شبکه، درباره مشکلی که باعث شده این حملهها در چند وقت اخیر به شبکه داخلی کشور آسیب بزند، میگوید: ارگانهای دولتی ما عموما به مسئله امنیت شبکه بیتوجه هستند. این ارگانها یا کارشناس امنیتی ندارند یا اگر داشتهباشند، سطح دانش آن کارشناس بسیار پایین است. بودجه و ارائه تجهیزات وجود دارد. از شرکتهای بومی و داخلی هم دعوت میکنند، اما کسی از ما توقع سطح بالایی ندارد. خیلی از کارشناسان هم اگر واقعا کاربلد باشند راهحلهای سادهای را آنطور که مشتری درخواست کردهاست، ارائه میکنند. نتیجه نهایی این است که سیستمها بسیار آسیبپذیر میشوند.»
تجهیزات در معرض تهدید
«تالوس سکیوریتی» پیشتر نسبت بهوجود حفره ناشناخته در سوئیچهای سیسکو خبر داده و به سازمانهای استفادهکننده نسبت به حمله سایبری هشدار دادهبود.
در ۲۸ مارس شرکت Cisco یک آسیبپذیری بحرانی را اعلام کرد که با استفاده از آسیبپذیری قابلیت Smart Install نفوذگران میتوانستند کنترل برخی از سوئیچهای Cisco با سیستم عامل IOS و IOS XR را از راه دور در اختیار بگیرند و نسبت به reload دستگاه، بازنشانی و پاک کردن پیکربندی آن و یا اجرای کد دلخواه خود اقدام کنند. اسکن ۲۹ مارس روی ۸.۵ میلیون دستگاه حکایت از وجود حفره روی ۲۵۰هزار سوئیچ داشت که به مالکان آن هشدار امنیتی دادهشد. کارشناسان میگویند سوءاستفاده از پروتکل Smart Install، هنگام نصب از طریق کنسول روی سوئیچهای سیسکو، شبیه کاری است که پیشتر، هکرهای دولتی روس برای حمله به تاسیسات هستهای و انرژی آمریکا بهره بردهبودند.
ظاهرا پورت ۴۷۸۶ روی سوئیچها (مدلهای ۲۹۶۰، ۴۵۰۰، ۳۸۵۰، ۳۷۵۰، ۳۵۶۰، ۲۹۷۵) بهصورت پیشفرض باز بوده و کارشناسان فنی نیز از موضوع خبر ندارند. هکرها نیز حمله تعریف شده را از طریق این پورت انجام دادند و سوئیچها را به حالت کارخانهای بازگرداندند.
کد مطلب : 13903
https://aftana.ir/vdcfm1dy.w6dmxagiiw.htmlaftana.ir/vdcfm1dy.w6dmxagiiw.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵