بسم الله
 
EN

بازدیدها: 75

مهمترين حملات سايبري سال 96/ 14 تهديد مخرب در فضاي مجازي کشف شد

  1397/1/10
خلاصه: در سال 1396 بالغ بر 14 حمله مخرب نرم افزاري، فضاي مجازي کشور را تهديد کرد. مهمترين اين حملات کشف بدافزار «واناکراي» و ويروس «پتيا» بود که منجر به آلودگي سيستم هاي رايانه اي شد.

به گزارش خبرنگار مهر، مهمترين اتفاقات سايبري سال 96 را مي توان در محور جاسوس افزارها، حملات بدافزاري و آلودگي سيستم هاي رايانه اي دسته بندي کرد. اين تهديدات سايبري در سالي که گذشت از سوي مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي (مرکز ماهر) اعلام شد.

بررسي ها نشان مي دهد که بالغ بر 14 حمله اينترنتي مهم، منجر به تهديد فضاي سايبري کشور شد. در اين راستا مرکز ماهر بالغ بر 10 هشدار مرتبط با تهديدات سايبري به کاربران فضاي مجازي داد.

ارديبهشت 96 و نفوذ بزرگترين باج گير سايبري


ارديبهشت 96 نرم افزار مخربي تحت عنوان «واناکراي- wannacry » با قابليت خود انتشاري در شبکه حدود 100 کشور شيوع يافته و بالغ بر 75 هزار سيستم کامپيوتري را آلوده کرد. براساس رصدهاي انجام شده توسط مرکز ماهر، اين بدافزار باج گير، در سطح شبکه کشور ما نيز مشاهده شد؛ به نحوي که طبق آخرين آمار اين مرکز، بيش از 50 اپراتور ارتباطي و سازمان، قرباني اين باج افزار در کشور شد که بيشتر اين آلودگي ها نيز در حوزه اپراتورهاي ارتباطي و حوزه پزشکي، سلامت و دانشگاهها و در تهران و اصفهان شناسايي شد.

درهمين حال تحليلگران امنيت سايبري موسسات تحقيقاتي دنيا نيز اعلام کردند که بيش از 97 درصد رايانه هاي مبتلا به ويروس واناکراي از سيستم عامل ويندوز 7 استفاده مي کرده اند. رايانه هاي داراي سيستم عامل XP مبتلا به ويروس واناکراي نيز به طور دستي و توسط مالکانشان به آن مبتلا شدند.

درنهايت در تيرماه رئيس يکي از مراکز آگاهي رساني، پشتيباني و امداد رخدادهاي رايانه اي از مهار باج گير سايبري «واناکراي » در ايران خبر داد و گفت: واکنش در ايران به اين حمله سايبري، واکنش مناسبي بود. البته اين به اين معني نيست که هيچ آلودگي را مشاهده نکريم، بلکه منظور اين است که حملات اين ويروس از تب و تاب افتاد و آسيب پذيري سيستم ها، در همان حدود و حدود اوليه متوقف شد.

خرداد 96 و حمله به چند وبسايت دولتي


هفتم خردادماه، برخي وبسايتها و پرتال هاي سازمانها و دستگاه هاي اجرايي از دسترس خارج شد. به دنبال حمله و از دسترس خارج شدن اين وبسايت ها، سازمان فناوري اطلاعات ايران با تاييد حمله سايبري صورت گرفته به اين وبسايت ها، از کنترل اين حملات خبر داد.

طبق اعلام مرکز ماهر ، هدف اين حمله، منع سرويس توزيع شده سيستم‌هاي عامل ويندوز با سرويس‌دهنده‌هاي وب IIS بوده ‌است و تمامي اهداف مورد حمله قرار گرفته، از شرايط فني يکسان برخوردار بوده‌اند.

تيرماه 96 و 3 حمله سايبري براي آلودگي سيستم هاي کامپيوتري  


تيرماه سال 96 خبر گسترش باج افزار جديدي به نام پتيا (Goldeneye/Petya) در نقاط مختلف جهان بازتاب وسيعي داشت. مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي با اعلام اينکه گزارشي مبني بر آلودگي کاربران داخل کشور به ويروس باج گير سايبري پتيا (petya) دريافت نشده، اعلام کرد: نحوه گسترش اين باج افزار و نيز عملکرد آن بسيار مشابه به باج افزار واناکراي ( WannaCry) است.

براين اساس اعلام شد که بالغ بر 32 قرباني توسط «پتيا» آسيب ديده و فايلهايشان رمرگذاري شده که قربانيان مبلغي معادل 8150 دلار به صورت بيت کوين(پول مجازي) براي بازپس گيري اطلاعاتشان پرداخت کردند. بيشترين آسيب پذيري مربوط به کشور اوکراين بود به نحوي که گفته شد کمپاني بزرگ نفتي روسي به نام Roseneft ، کمپاني هاي توليدکننده برق اوکرايني، بانکهايي مانند NBU و کمپاني استخراج معدن Evraz هدف اين حمله قرار گرفتند.

درهمين حال افزايش حمله باج افزاري به سرورهاي ويندوزي در کشور، از طريق سرويس Remote Desktop از ديگر اتفاقات تيرماه 96 بود. بررسي‌هاي فني در اين زمينه نشان داد که در اين حملات مهاجمان با سوءاستفاده از دسترسي‌هاي حفاطت نشده به سرويس ريموت دسکتاپ ‌ويندوز (پروتکل RDP) وارد شده، آنتي ويروس نصب شده را غيرفعال کرده و با انتقال فايل باج افزار، اقدام به رمزگزاري فايل‌هاي سرور کرده است.

در اين ماه مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي نيز از هک تعدادي از سامانه هاي دانشگاهي خبر داد. براين اساس مشخص شد که علت اصلي رخداد ايجاد شده وجود يک آسيب پذيري در يکي از مولفه هاي جانبي سايت هاي دانشگاهي براي مديريت و داوري همايشها بود. اين آسيب پذيري منجر به بارگذاري يک صفحه توسط مهاجمين در وب سايتهاي مذکور شد.

مرداد 96 و خسارت باج افزاري به سامانه‌هاي بيمارستاني کشور


مردادماه نيز مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي از بروز حملات باج افزاري به سرورهاي ويندوزي چندين سامانه بيمارستاني در کشور خبر داد و اعلام کرد: گزارش هاي متعددي از حمله باج افزارها (نرم افزار مخرب باج گير) به سرورهاي ويندوزي از جمله چندين سامانه بيمارستاني در کشور واصل شده است که خسارات جبران ناپذيري به بار آورده است.

بررسي‌هاي فني نشان داد که در بسياري از اين حملات،  مهاجمان با سوء استفاده از دسترسي‌ به «سرويس دسترسي از راه دور» در سيستم‌ عامل ويندوز که مبتني بر پروتکل ريموت دسکتاپ (RDP) است، وارد شده، آنتي ويروس نصب شده را غيرفعال کرده و با انتقال فايل باج افزار، اقدام به رمزگذاري فايل‌هاي سرور کردند.

حتي در مواردي، مشاهده شدکه مهاجمان، با صرف زمان کافي و پس از کسب شناخت و انجام انواع ديگري از سوء استفاده‌هاي ممکن، زمان و الگوي انجام پشتيبان‌گيري از اطلاعات را نيز شناسايي کرده و موفق به انجام حملات باج‌افزاري بي‌نقص شدند.

مهرماه 96 و شيوع باج گير سايبري جديد در کشور


مهرماه مرکز ماهر نسبت به انتشار نوع جديدي از بدافزار باج گير در فضاي سايبري کشور هشدار داد که اين ويروس، براي هدف قراردادن کاربران فارسي زبان طراحي شد.

بررسي هاي مرکز ماهر نشان داد که باج افزاري موسوم به TYRANT (تاي رنت) با الهام از يک باج افزار متن باز در فضاي سايبري منتشر شد که از صفحه باج خواهي به زبان فارسي استفاده کرده و طبيعتا براي هدف قرار دادن کاربران فارسي زبان طراحي شد.

روش انتشار اين باج افزار استفاده از پوشش فيلترشکن سايفون بود و از طريق شبکه هاي اجتماعي با فريفتن کاربران، آنها را تشويق به دريافت و اجراي فايلي اجرايي با ظاهر سايفون مي کرد.

آبان ماه 96 و شيوع باج گيرهاي سايبري


آبان ماه خبر انتشار جاسوس افزاري به نام دادسراي الکترونيکي (e_dadsara) که با هدف سرقت اطلاعات حساب بانکي کاربران، فعال شد، منتشر شد. اين بدافزار از آيکوني مشابه آيکون مورد استفاده براي نمايش فولدرها توسط ويندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغيب به باز کردن پوشه‌اي حاوي اطلاعات الکترونيکي دادسرا مي کرد. هدف اصلي اين جاسوس‌افزار، سرقت اطلاعات قرباني به خصوص اطلاعات حساب‌هاي بانکي کاربران از طريق ضبط کليدهاي فشرده شده توسط کاربر، رويدادهاي ماوس، گرفتن تصاوير از سيستم، محتواي کليپ‌بورد و برنامه‌هاي اجرا شده توسط کاربر است.

همچنين مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي، از انتشار باج افزار خطرناک «خرگوش بد» خبر داد که احتمال حمله بين‌المللي از طريق اين باج افزار بسيار بالا بود.

باج افزار خرگوش بد (BadRabbit)، سومين نسخه از باج افزار هاي مهم و پر نشر در چند سال گذشته عنوان شد که ادامه مسير بدافزارهاي معروفي چون NotPetya و WannaCry را پيش برده و بيش از 13 درصد از کد باج افزار NotPetya را با خود به طور مشترک به همراه داشت.

شرکت‌هاي امنيتي Kaspersky و Avast، چندين مورد حمله به اوکراين و آمريکا را گزارش کردند و شرکت امنيتي ESET، اعلام کرد که بيش از 65 درصد قربانيان در کشور روسيه قرار داشتند. پس از آن، اوکراين با 12.2 درصد، بلغارستان با 10.2 درصد، ترکيه با 6.4 درصد و در نهايت ژاپن با 3.8 درصد بيشترين قربانيان اين بدافزار بودند.

از سوي ديگر جاسوسي صوتي و تصويري از کاربران مرورگر کروم نيز در اين ماه کشف شد که يک نقص طراحي UX در مرورگر Chrome اجازه مي داد وبسايت هاي مخرب صدا يا ويدئو کاربر را بدون هيچگونه هشدار يا نشانه هاي بصري ضبط کرده و بدين صورت کاربر مورد سوء استفاده قرار گيرد.

آذر 96 و شناسايي حمله بدافزاري به «فلش پلير»


مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي از هشدار ادوب (Adobe) براي دريافت آخرين نسخه‌ فلش‌پلير در راستاي جلوگيري از حملات بدافزاري خبر داد و اعلام کرد: هشدار Adobe مربوط به آسيب‌پذيري موجود در بسته‌ نرم‌افزاري چندرسانه‌اي «فلش‌پلير» بود. به همين دليل، اين شرکت از کاربران خود خواست تا با وصله کردن سامانه‌هاي خود، از اين حملات جلوگيري کنند.

محققان امنيتي آزمايشگاه کسپرسکي، استفاده از اين آسيب‌پذيري براي اجراي کدهاي کنترل از راه دور را در Adobe Flash پيدا کردند که توسط گروهي به نام BlackOasis ارائه شده بود.اين گروه قربانياني را در کشورهاي مختلف از جمله روسيه، عراق، افغانستان، نيجريه، ليبي، اردن، تونس، عربستان سعودي، ايران، هلند، بحرين، انگليس و آنگولا مورد هدف قرار داده بود.

دي ماه 96 و سوءاستفاده بدافزاري از فيلترشکن


در دي ماه سالي که گذشت مرکز ماهر موضوع حمله بدافزاري در پوشش يک فيلترشکن که با سوءاستفاده از ناآگاهي کاربران موبايل منتشر شد را اعلام کرد.

تحليل‌هاي فني روي کد مهاجم نشان داد که حمله اين بدافزار، با دريافت يک پيامک فريبنده که مدعي ارائه فيلترشکن از طريق يک آدرس وب بود آغاز شد. با کليک کردن کاربر روي لينک مذکور، بدافزار روي تلفن قرباني دانلود مي‌شد.

بهمن ماه و حمله سايبري به سايت هاي خبري


در  آستانه برگزاري راهپيمايي باشکوه 22 بهمن ماه اخباري در خصوص حمله به تعدادي از پورتال ها و وبسايت هاي خبري منتشر شد.

بر اساس بررسي هاي صورت گرفته مشخص شد وبسايت هاي خبري که مورد حمله قرار گرفته بودند در مرکز داده (ديتا سنتر) تبيان و مرکز داده شرکت پيشتاز ميزباني شده اند. بر اين اساس گروه فني مرکز ماهر اقدام به شناسايي نقاط اشتراک سيستم هاي هدف کرد و در اين فرآيند مشخص شد تمامي اين سامانه ها توسط يک شرکت و در بستر سيستم عامل با سرويس دهنده وب IIS و زبان برنامه نويسي ASP.Net توسعه داده شده اند.

شرکت توليدکننده نرم افزار اين سامانه ها مجري بيش از 30 وبسايت خبري (از جمله وبسايت هاي مورد حمله قرار گرفته) در کشور بود که نفوذگران از اين حيث به مجموعه اهداف مناسبي دست پيدا کرده اند.

شواهد موجود در فايل هاي ثبت وقايع نشان داد که مهاجمان در تلاش براي نفود با ابزارهاي خودکار و نيمه خودکار براي استخراج اطلاعاتي نظير نام کاربري و کلمات عبور، در پايگاه داده سامانه هاي فوق بودند. همچنين تمامي فعاليت ها و عمليات مخرب براي کشف آسيب پذيري و نفوذ به سامانه ها متعلق به آدرس هاي IP حمله کننده، استخراج و بررسي شد.

در اين حمله مشخص شد که تمامي سايت هاي خبري مورد حمله داراي نام کاربري و کلمه عبور پيش فرض يکسان توسط شرکت پشتيبان بودند و آدرس پست الکترونيکي راهبر ارشد سامانه با سطح دسترسي بالا همان نام کاربري و کلمه عبور استفاده شده در سايت ها بوده و اين موارد نشان داد که حداقل موارد امنيتي در مديريت اين سايت ها رعايت نشده بود.

اسفند ماه و 140 وبسايت داخلي که هک شد


در اسفندماه 96 نيز مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي از هک 140 وبسايت داخلي خبر داد.

اين مرکز موضوع را سريعا مورد بررسي قرار داد و اقدامات فني لازم را از همان ابتداي لحظات حادثه مذکور با همکاري شرکت ميزبان انجام داد.

سايت‌هاي مورد حمله همگي روي يک ميزبان اشتراکي قرار داشته و دسترسي برقرار شده بصورت محدود و تنها شامل بارگزاري يک فايل متني بود.

10 هشدار مرکز ماهر براي رخدادهاي سايبري


به گزارش مهر، در سالي که گذشت از سوي مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي برخي هشدارها براي پيشگيري از رخدادهاي سايبري نيز منتشر شد.

در فروردين ماه اين مرکز نسبت به تلاش بدافزارها و نرم افزارهاي مخرب براي آلوده کردن شبکه هاي صنعتي هشدار داد. چرا که محققان امنيتي دنيا محاسبه کردند که سالانه حدود 3000 واحد صنعتي با انواع بدافزارها و نرم افزارهاي غيرهدف دار و روزمره، آلوده مي شوند.

در ارديبهشت ماه مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي هشدار داد که هکرها مي توانند گذر واژه کاربران سايت‏هايي که با وردپرس نوشته شده ‏اند را تغيير دهند. وردپرس محبوب‌ترين سيستم مديريت محتوا (CMS) در جهان، با داشتن يک آسيب‌پذيري منطقي به هکر اين امکان را مي‌دهد که گذرواژه‏ کاربر را تغيير دهد.

در خردادماه اين مرکز اعلام کرد که کاربران رايانه هاي خانگي به دليل بي توجهي و تعلل در به روزرساني سيستم عامل ويندوز خود، بيشتر در معرض خطر حمله باج افزار سايبري «واناکراي» قرار دارند. در اين اطلاع رسامي با اشارخ به 4 هزار رايانه آلوده به اين بدافزار باج گير، اعلام کرد که بسياري از اين رايانه ها، مربوط به سازمانهاي مختلف بودند که نسبت به رفع مشکل اقدام کرده و دستورالعمل هاي امنيتي را رعايت کردند.

در تيرماه، ابزارهاي دروغ رمزگشايي «واناکراي» شناسايي شد که به دروغ خود را به عنوان ابزارهايي براي رمزگشايي اين باج گير سايبري معرفي کردند. در بررسي و تحليل سيستم هاي رايانه اي مشخص شد که ابزارهاي بسياري در اينترنت مدعي شده اند که اطلاعات قربانيان اين حمله را مي توانند بازگردانند.از اين رو به کاربران اينترنت هشدار داده شد که نرم افزارهاي ناشناخته و جعلي نصب نکنند.

در مردادماه مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي از ارائه خدمات ابري توزيع محتوا، با هدف ارتقاي امنيت، مقابله با حملات سايبري و افزايش ظرفيت وب سايتهاي دولتي خبر داد و اعلام کرد که براي کمک به وبسايتهاي دولتي در پاسخگويي به حجم درخواستها و مراجعات بالا و همچنين حفاظت از آنها در برابر حملات رايج، اقدام به ارائه خدمات حفاظت سامانه هاي تحت وب کرده است.

در شهريور ماه مرکز مديريت امداد وهماهنگي عمليات رخدادهاي رايانه اي با اعلام هشدار به کاربران براي به‌روزرساني سيستم‌ عامل پيش‌بيني کرد که ممکن است اتفاقاتي شبيه بروز باج افزار سايبري واناکراي مجدد رخ دهد.

اين مرکز با اشاره به اينکه پس از به‌روزرساني ويندوز که لااقل 48 آسيب‌پذيري وصله شد (25 تاي آن‌ها بحراني بوده‌اند)، اين آسيب‌پذيري‌ها افشاء شده‌اند، اعلام کرد: يکي از اين آسيب‌پذيري‌ها بسيار خطرناک بوده و همه نسخه‌هاي ويندوز را تحت تاثير قرار داده است.

آذرماه مرکز ماهر به توسعه دهندگان اندرويدي هشدار داد. چرا که گوگل نيز با ارسال ايميلي به توسعه دهندگان اپليکيشن هاي اندرويد، بزرگترين مشکل امنيتي نرم افزارهاي مخرب اندرويدي و حذف آنها از پلي استور را هشدار داد.

دي ماه سال 96 مرکز ماهر، ايران را در بين 10 کشور نفوذپذير سيستم هاي سايبري صنعتي اعلام کرد. نتايج به دست آمده از تهديدات سامانه‌هاي کنترل صنعتي در 6 ماهه‌ اول سال 2017 نشان داد که ايران در ميان 10 کشور اولي است که سامانه هاي آن به دليل تهديدات سايبري، آلوده شده اند.

بر مبناي اين بررسي ها همچنين مشخص شد در نيمه اول سال 2017 در بين 15 کشوري که بالاترين درصد سامانه‌هاي کنترل صنعتي مورد حمله قرار گرفته را، دارا هستند، ايران رتبه هفتم را به خود اختصاص داده است.

از سوي ديگر در دي ماه مرکز ماهر نسبت به کشف آسيب‌پذيري‌ مهمي که همه‌ پردازنده‌هاي سخت افزاري را تحت تاثير قرار داده هشدار داد. اين آسيب‌پذيري‌ها همه‌ پردازنده‌هاي مهم از جمله AMD، ARM و Intel را تحت تاثير قرار داد.

بهمن ماه محققان امنيتي يک جاسوس‌افزار اندرويدي بسيار پيشرفته با نام Skygofree کشف کردند که به هکرها امکان مي داد پيام‌هاي واتس اپ (WhatsApp) قرباني را بدزدد و امکان کنترل کامل دستگاه آلوده را از راه دور مي‌داد..

همچنين در اين ماه بدافزاري که سيستم‌هاي اينترنت اشياء را هدف قرار مي‌داد کشف شد. اين اولين باري بود که يک بدافزار، به‌طور خاص سيستم‌هاي مبتني بر ARC را هدف قرار مي‌داد. بدافزار Mirai Okiru در زمان کشف براي بيشتر آنتي‌ويروس‌ها غيرقابل تشخيص بود.

در نهايت اينکه مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي نسبت به پيش بيني جهاني از تهديدات سايبري براي پول هاي رمزنگاري شده در سال 2018 هشدار داد و اعلام کرد: با وجودي که در سال 2017 باج افزارها تهديد اصلي براي کاربران فضاي سايبر محسوب مي شدند، پيش بيني ها حاکي از آن است که «پول هاي رمزنگاري شده» مهمترين تهديد سايبري در سال 2018 خواهد بود.





برای دادن نظر، باید به صورت رایگان در سایت عضو شوید. [عضویت در سایت]



مشاوره حقوقی رایگان