مرکز مدیریت راهبردی افتای ریاست جمهوری حملات سایبری به وزارت راه و شهرسازی و شرکت راهآهن کشور را در هفتههای گذشته تایید کرد. این اتفاق در حالی رخ میدهد که در زمان این حمله حداقل شرکت راه آهن در اطلاعیهای اعلام کرده بود که مورد هیچ حمله سایبری قرار نگرفته است. حالا مرکز مدیریت راهبردی افتا اعلام کرده که کمتوجهی و ساده انگاری به هشدارهای این مرکز باعث بروز حملات به این دو نهاد شده است.
اوایل هفته گذشته (۱۹ تیرماه) وزیر ارتباطات و فناوری اطلاعات از مشاهده تحرکات جدید توسط مهاجمان سایبری برای طراحی حملات باجافزاری خبر داد. در همان زمان محمدجواد آذری جهرمی اعلام کرد که این تحرکات جدید شباهت زیادی به حملات باجافزاری اردیبهشت سال ۱۳۹۷ دارد. مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) در اردیبهشت ۹۷ در اطلاعیهای که روی سایت خود منتشر کرده اعلام کرده بود که « رصد فضای مجازی نشان دهنده حملاتی مبتنی بر آسیبپذیریهای موجود در سرویس iLo سرورهای HP بوده است.»
حال امروز (۲۷ تیر) مرکز مدیریت راهبردی افتا جزئیات بیشتری از این حملات را منتشر کرده است. این مرکز ساده انگاری و کمتوجهی به هشدارهای افتا را عامل اصلی این حملات سایبری، کم دفاع شدن یا سست شدن سیستم امنیت سایبری وزارت راه و شهرسازی و شرکت راهآهن اعلام کرده است.
کارشناسان امنیت سایبری افتا در مورد نتایج بررسیهای کارشناسی و جزئیات این حملات گفتهاند که مهاجمان توانستهاند به برخی از مدیریت سیستمها دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند. به گفته این کارشناسان نفوذ به سامانه های وزارت راه و شهرسازی و شرکت راهآهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان ازهفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکرها آن را، حدود ۷ روز قبل از حادثه سایبری آماده کردهاند.
بر اساس نظر کارشناسان افتا، مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستمها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستمها را غیرفعال کرده بودند. آنطور که کارشناسان امنیت سایبری افتا ادعا کردهاند بدلیل زمان بر بودن تخریب دیتاها، مهاجمان تنها به تخریب برخی از ساختارهای دیتا بسنده کردهاند.
در اطلاعیه مرکز راهبردی افتای ریاست جمهوری آمده که مهاجم یا مهاجمان سایبری در صورتی که در حمله سایبری خود، کنترل سیستم را به دست بگیرند، همه زیرساختهای IP را تخریب می کنند و بیشترین ضربه را وارد میکنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.
رعایت نکردن مسائل امنیتی در دورکاریها، سیستمهای ناقص، سهلانگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروسها، سرمایهگذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است. تغییر امتیازات و دسترسی های موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستمهای وزارت راه و شهرسازی و شرکت راهآهن بوده است. مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمانهای زیرساختی خواسته تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورتهای مدیریتی سرورها و تجهیزات ILO و IPMI سیستمهای خود اعمال کنند.