پنجشنبه ۶ دی ۱۴۰۳ , 26 Dec 2024
جالب است ۰
بررسی یک حمله سایبری از پیش شناخته‌شده

امنیت سایبری را به تعطیلات نفرستیم

بی‌توجهی به هشدارهای امنیتی جهانی در تعطیلات سال جدید باعث شد تا هکرها بتوانند اینترنت کشور را برای ساعاتی مختل کنند.
منبع : همشهری
بی‌توجهی به هشدارهای امنیتی جهانی در تعطیلات سال جدید باعث شد تا هکرها بتوانند اینترنت کشور را برای ساعاتی مختل کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، جمعه شب یک حمله گسترده شبانه باعث اختلال سراسری در اینترنت کشور شد و شماری از سایت‌ها از کار افتادند. روز بعد، هرچند به‌نظر همه‌‌چیز به حالت عادی بازگشته بود، اما موج این حمله سایبری ادامه داشت. حمله مختص به ایران نبود؛ حدود ۲۰۰ هزار روتر سوئیچ سیسکو در کشورهای مختلف جهان هدف حمله قرار گرفتند که ۳۵۰۰ موردشان در کشور ما بود. اما به‌نظر تنها در ایران بود که ضربه این حمله بسیار سنگین توسط کاربران احساس شد و برای ساعاتی ترافیک اینترنت کشور را مختل کرد. هرچند اطلاعاتی به بیرون درز نکرد و حمله تنها از نوع منع دسترسی بود، اما بیشتر از هرچیز مشکلات دفاع سایبری در این رابطه به چشم آمد.

شرکت سیسکو از ۱۰ روز قبل، این نقص امنیتی را هشدار داده‌بود، اما مرکز ماهر هشداری در این رابطه نداد و مراکز داده و شرکت‌های مهم اینترنتی هم در تعطیلات عید توجهی به این ماجرا نکردند. هرچند به گفته وزیر ارتباطات هسته اصلی شبکه ملی اطلاعات از حمله سایبری در امان بود، اما بی‌توجهی به امنیت سایبری به‌خاطر تعطیلات عید در میان خطوط گزارش وزارت ارتباطات هم به چشم می‌خورد. جان‌ کلام حرف‌های وزیر ارتباطات این بود که توجه نکردن به نکات امنیتی و نبود اطلاع‌رسانی در این حوزه باعث شد چنین حمله‌ای رخ دهد و به شرکت‌ها آسیب بزند؛ دو نکته‌ای که پیشگیری کردن از آن بسیار ساده‌تر از دست و پنجه نرم کردن با حمله‌های بزرگ اینترنتی است.

عامل حمله که بود؟
مانند حملات سایبری دیگر هنوز هکرهای عامل حمله مشخص نیستند. در کدنویسی این حمله، پرچم آمریکا و عبارت «به انتخابات ما کاری نداشته‌باشید»‌ دیده‌می‌شود که باعث شد تا برخی منشاء آن را آمریکا و هدف اصلی حمله را کشور روسیه بدانند. این در حالی است که در جدول قربانیان این حمله آمریکا و روسیه هر دو در میان ۱۰ کشور اصلی هدف حمله قرار دارند. شرکت سیمانتک حتی روسیه را متهم کرده و گروه هکرهای موسوم به Dragonfly را پشت پرده این حمله دانسته‌است. ضمن اینکه، طبق اطلاعات منتشره توسط وزارت ارتباطات، این حمله ظاهرا به بیش از ۲۰۰هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله‌ای گسترده بوده‌است. در کشور ما حدود 3500 روتر سوئیچ مورد حمله واقع شده‌اند که ۵۵۵ مورد در تهران،  ۱۷۰مورد استان سمنان و ۸۸ مورد استان اصفهان بوده‌است.

چه شرکت‌هایی هدف قرار گرفتند؟
هدف اصلی در داخل کشور چند FCP (شرکت‌های دارای پروانه ارتباطات ثابت) بودند که تعدادی از آنها به‌خاطر به‌روزرسانی سیستم‌های امنیتی‌شان، آسیبی ندیده‌بودند. این‌طور که وزارت ارتباطات گزارش داده‌است «بیشترین آسیب‌پذیری در شرکت‌های رسپینا، ایزایران و شاتل رخ داده‌است‌، اما علاوه‌بر این اختلال تعداد کمی روتر در برخی مراکز سرویس‌های پرکاربرد را از دسترس خارج کرد».

شرکت ایرانی رسپینا جزو ۱۰شرکتی است که در دنیا بیشترین تأثیرات را از این حمله داشته‌است. در ایران هم تهران با ۵۵۵ موردتجهیزات بیشترین ضربه را در این حمله متحمل شد.FCP ها از طرف سازمان تنظیم مقررات مجوز ارائه‌ خدمات اینترنت را در کشور دارند و به ISP‌ها، یعنی شرکت‌های کوچک‌تری که خدمات اینترنت را در سراسر کشور پخش می‌کنند خدمات می‌دهند. کمتر از ۲۴ ساعت بعد از این حمله، ‌وزیر ارتباطات اعلام کرد ‌۹۵درصد مشکل برطرف شد، اما این‌طور که نعیم فرهادیان، کارشناس امنیت شبکه در یکی از شرکت‌های امنیت اینترنتی کشور، می‌گوید: «شرکت‌های اصلی و بزرگ مشکل‌شان حل شده‌است، اما آی.اس.پی‌ها که شرکت‌های کوچک‌تر ارائه‌دهنده خدمات اینترنت در کشور هستند، ‌هنوز مشکلاتی دارند.»

حمله چطور صورت گرفت؟
این حمله سایبری یک‌سری دستگاه‌ها، سوئیچ‌ها و روترهای سیسکو را هدف قرار داده‌بود. این‌طور که نعیم فرهادیان، کارشناس امنیت شبکه می‌گوید: «دستگاه‌هایی که به مشکل خورده‌اند، ‌بیشتر از سری ۳۰۰۰ شرکت سیسکو بوده‌اند.»

آن‌طور که بررسی‌ها نشان می‌دهد این آسیب‌پذیری به‌دلیل وجود یک نقص در قابلیت «Smart Install Client» تجهیزات سری ۳x و ۴x شرکت سیسکو به‌وجود آمد و باعث شد تا مهاجمان بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر سوئیچ‌ها اقدام کرده و مانع خدمات‌دهی این تجهیزات شوند. هر دیتاسنتری در ساعت خاصی متوجه حمله شد، اما عموما تا حوالی ساعت ۹و ۳۰ دقیقه شب تمام شرکت‌ها از این مسئله باخبر بودند. برخی تا حوالی نیمه‌شب و گروهی دیگر تا حوالی ساعت ۳ بامداد مشکل‌شان را حل کردند.

بی‌‌توجهی به آپدیت‌ها و پچ‌های امنیتی
این حمله به هیچ عنوان غیرمنتظره نبوده و شرکت سیسکو که سخت‌افزارهای موردنیاز این شرکت‌ها را فراهم می‌کند در روز ۲۸ مارس (۸ فروردین‌ماه) هشدار داده‌بود پکیج‌های امنیتی‌شان را به‌روزرسانی کرده و خودشان را در مقابل مشکلی که احتمال وقوع آن بالاست، ایمن کنند. درست یک روز پیش از حمله نیز هشدار مشابهی توسط سیسکو اعلام شده‌بود، اما عموما به آن بی‌توجهی شد. طبق اطلاعیه وزارت ارتباطات به‌دلیل اینکه بسیاری از شرکت‌های خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را در حالت فریز نگهداری می‌کنند و عدم‌هشدار به این شرکت‌ها برای به‌روز رسانی منجر به آسیب‌پذیری شبکه این شرکت‌ها شده‌است.» در این حمله، ‌دستگاه‌هایی که لایه دوم و سوم سرورها را به هم متصل می‌کنند، هدف قرار داده و تمام تنظیمات‌شان را پاک کرده‌بودند. درنتیجه، ‌این شرکت‌ها مجبور شدند تمام اطلاعات‌شان را از نسخه‌های پشتیبان قبلی بارگذاری کنند که همین موضوع باعث قطعی و اختلال در شبکه شد.

همه‌چیز قابل پیشگیری بود

جلوگیری از این حمله کار چندان دشواری نبود چون شرکت «سیسکو» از قبل تمام هشدارها را اعلام کرده و پکیج‌های آپدیت را نیز ارائه کرده‌بود. تنها کاری که شرکت‌ها ازجمله آی‌اس‌پی‌ها باید انجام می‌دادند، ‌اعلام لزوم به‌روزرسانی به مشتری‌هایشان و قطع شبکه برای مدتی کوتاه بود تا بتوانند شبکه‌شان را به‌روزرسانی کنند. به جز این، مرکز ماهر که در چنین مواقعی هشدارهای امنیتی را برای کاربران ایرانی منتشر می‌کند، ‌عملا تا بعد از پایان حمله هیچ واکنشی نداشت. نعیم فرهادیان، مشاور امنیت شبکه می‌گوید که ‌سیسکو یک روز قبل از حمله، هشدار دیگری هم ارائه داده‌بود، اما به آن بی‌توجهی شد.

نعمت‌الله کلانتری، معاون سخت‌افزار یکی از بانک‌های خصوصی کشور در این‌باره می‌گوید: «بانک‌ها چون هم‌زمان از چند FCP خدمات می‌گیرند، زمانی که دسترسی‌شان به یک سرور مختل بشود، به‌طور خودکار روی سیستم دیگری سوئیچ می‌کنند و در این حمله نیز کوچک‌ترین آسیبی ندیدند، اما این مشکل ممکن است دوباره رخ بدهد و باید با بهترین شیوه برای مقابله با آن آماده باشیم. اشتباه بسیاری از شرکت‌ها این است که امنیت شبکه برایشان در اولویت نیست. خیلی از این سازمان‌ها نگاه‌شان به سازمان‌هایی مثل مرکز ماهر و اطلاعیه‌های آنهاست، اما روش بهتر این است که خود شرکت‌ها یک‌سری کارشناس، مخصوص ساختار شبکه خودشان داشته‌باشند که راه‌حل‌های سریع‌تر و شخصی‌سازی شده‌ای را ارائه کنند.»

سید مجتبی مصطفوی، کارشناس امنیت شبکه، درباره مشکلی که باعث شده این حمله‌ها در چند وقت اخیر به شبکه داخلی کشور آسیب بزند، می‌گوید: ارگان‌های دولتی ما عموما به مسئله امنیت شبکه بی‌توجه هستند. این ارگان‌ها یا کارشناس امنیتی ندارند یا اگر داشته‌باشند، ‌سطح دانش آن کارشناس بسیار پایین است. بودجه و ارائه تجهیزات وجود دارد. از شرکت‌های بومی و داخلی هم دعوت می‌کنند، اما کسی از ما توقع سطح بالایی ندارد. خیلی از کارشناسان هم اگر واقعا کاربلد باشند راه‌حل‌های ساده‌ای را آن‌طور که مشتری درخواست کرده‌است، ارائه می‌کنند. نتیجه نهایی این است که سیستم‌ها بسیار آسیب‌پذیر می‌شوند.»

تجهیزات در معرض تهدید
«تالوس سکیوریتی» پیش‌تر نسبت به‌وجود حفره ناشناخته در سوئیچ‌های سیسکو خبر داده و به سازمان‌های استفاده‌کننده نسبت به حمله سایبری هشدار داده‌بود.

در ۲۸ مارس شرکت Cisco یک آسیب‌پذیری بحرانی را اعلام کرد که با استفاده از آسیب‌پذیری قابلیت Smart Install نفوذگران می‌توانستند کنترل برخی از سوئیچ‌های Cisco با سیستم عامل IOS و IOS XR را از راه دور در اختیار بگیرند و نسبت به reload دستگاه، بازنشانی و پاک کردن پیکربندی آن و یا اجرای کد دلخواه خود اقدام کنند. اسکن ۲۹ مارس روی ۸.۵ میلیون دستگاه حکایت از وجود حفره روی ۲۵۰هزار سوئیچ داشت که به مالکان آن هشدار امنیتی داده‌شد. کارشناسان می‌گویند سوءاستفاده از پروتکل Smart Install، هنگام نصب از طریق کنسول روی سوئیچ‌های سیسکو، شبیه کاری است که پیش‌تر، هکرهای دولتی روس برای حمله به تاسیسات هسته‌ای و انرژی آمریکا بهره برده‌بودند.

ظاهرا پورت ۴۷۸۶ روی سوئیچ‌ها (مدل‌های ۲۹۶۰، ۴۵۰۰، ۳۸۵۰، ۳۷۵۰، ۳۵۶۰، ۲۹۷۵) به‌صورت پیش‌فرض باز بوده و کارشناسان فنی نیز از موضوع خبر ندارند. هکرها نیز حمله تعریف شده را از طریق این پورت انجام دادند و سوئیچ‌ها را به حالت کارخانه‌ای بازگرداندند.
کد مطلب : 13903
https://aftana.ir/vdcfm1dy.w6dmxagiiw.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی