در سال ۹۶ بالغ بر ۱۴ حمله مخرب نرم افزاری، فضای مجازی کشور را تهدید کرد. مهمترین این حملات کشف بدافزار «واناکرای» و ویروس «پتیا» بود که منجر به آلودگی سیستم های رایانه ای شد.
به گزارش مهر، مهمترین اتفاقات سایبری سال ۹۶ را می توان در محور جاسوس افزارها، حملات بدافزاری و آلودگی سیستم های رایانه ای دسته بندی کرد. این تهدیدات سایبری در سالی که گذشت از سوی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (مرکز ماهر) اعلام شد.
بررسی ها نشان می دهد که بالغ بر ۱۴ حمله اینترنتی مهم، منجر به تهدید فضای سایبری کشور شد. در این راستا مرکز ماهر بالغ بر ۱۰ هشدار مرتبط با تهدیدات سایبری به کاربران فضای مجازی داد.
اردیبهشت ۹۶ و نفوذ بزرگترین باج گیر سایبری
اردیبهشت ۹۶ نرم افزار مخربی تحت عنوان «واناکرای- wannacry » با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بالغ بر ۷۵ هزار سیستم کامپیوتری را آلوده کرد. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باج گیر، در سطح شبکه کشور ما نیز مشاهده شد؛ به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمان، قربانی این باج افزار در کشور شد که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها و در تهران و اصفهان شناسایی شد.
درهمین حال تحلیلگران امنیت سایبری موسسات تحقیقاتی دنیا نیز اعلام کردند که بیش از ۹۷ درصد رایانه های مبتلا به ویروس واناکرای از سیستم عامل ویندوز ۷ استفاده می کرده اند. رایانه های دارای سیستم عامل XP مبتلا به ویروس واناکرای نیز به طور دستی و توسط مالکانشان به آن مبتلا شدند.
درنهایت در تیرماه رئیس یکی از مراکز آگاهی رسانی، پشتیبانی و امداد رخدادهای رایانه ای از مهار باج گیر سایبری «واناکرای » در ایران خبر داد و گفت: واکنش در ایران به این حمله سایبری، واکنش مناسبی بود. البته این به این معنی نیست که هیچ آلودگی را مشاهده نکریم، بلکه منظور این است که حملات این ویروس از تب و تاب افتاد و آسیب پذیری سیستم ها، در همان حدود و حدود اولیه متوقف شد.
خرداد ۹۶ و حمله به چند وبسایت دولتی
هفتم خردادماه، برخی وبسایتها و پرتال های سازمانها و دستگاه های اجرایی از دسترس خارج شد. به دنبال حمله و از دسترس خارج شدن این وبسایت ها، سازمان فناوری اطلاعات ایران با تایید حمله سایبری صورت گرفته به این وبسایت ها، از کنترل این حملات خبر داد.
طبق اعلام مرکز ماهر ، هدف این حمله، منع سرویس توزیع شده سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بوده است و تمامی اهداف مورد حمله قرار گرفته، از شرایط فنی یکسان برخوردار بودهاند.
تیرماه ۹۶ و ۳ حمله سایبری برای آلودگی سیستم های کامپیوتری
تیرماه سال ۹۶ خبر گسترش باج افزار جدیدی به نام پتیا (Goldeneye/Petya) در نقاط مختلف جهان بازتاب وسیعی داشت. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باج گیر سایبری پتیا (petya) دریافت نشده، اعلام کرد: نحوه گسترش این باج افزار و نیز عملکرد آن بسیار مشابه به باج افزار واناکرای ( WannaCry) است.
براین اساس اعلام شد که بالغ بر ۳۲ قربانی توسط «پتیا» آسیب دیده و فایلهایشان رمرگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت کوین(پول مجازی) برای بازپس گیری اطلاعاتشان پرداخت کردند. بیشترین آسیب پذیری مربوط به کشور اوکراین بود به نحوی که گفته شد کمپانی بزرگ نفتی روسی به نام Roseneft ، کمپانی های تولیدکننده برق اوکراینی، بانکهایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفتند.
درهمین حال افزایش حمله باج افزاری به سرورهای ویندوزی در کشور، از طریق سرویس Remote Desktop از دیگر اتفاقات تیرماه ۹۶ بود. بررسیهای فنی در این زمینه نشان داد که در این حملات مهاجمان با سوءاستفاده از دسترسیهای حفاطت نشده به سرویس ریموت دسکتاپ ویندوز (پروتکل RDP) وارد شده، آنتی ویروس نصب شده را غیرفعال کرده و با انتقال فایل باج افزار، اقدام به رمزگزاری فایلهای سرور کرده است.
در این ماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نیز از هک تعدادی از سامانه های دانشگاهی خبر داد. براین اساس مشخص شد که علت اصلی رخداد ایجاد شده وجود یک آسیب پذیری در یکی از مولفه های جانبی سایت های دانشگاهی برای مدیریت و داوری همایشها بود. این آسیب پذیری منجر به بارگذاری یک صفحه توسط مهاجمین در وب سایتهای مذکور شد.
مرداد ۹۶ و خسارت باج افزاری به سامانههای بیمارستانی کشور
مردادماه نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از بروز حملات باج افزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد و اعلام کرد: گزارش های متعددی از حمله باج افزارها (نرم افزار مخرب باج گیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است.
بررسیهای فنی نشان داد که در بسیاری از این حملات، مهاجمان با سوء استفاده از دسترسی به «سرویس دسترسی از راه دور» در سیستم عامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP) است، وارد شده، آنتی ویروس نصب شده را غیرفعال کرده و با انتقال فایل باج افزار، اقدام به رمزگذاری فایلهای سرور کردند.
حتی در مواردی، مشاهده شدکه مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفادههای ممکن، زمان و الگوی انجام پشتیبانگیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باجافزاری بینقص شدند.
مهرماه ۹۶ و شیوع باج گیر سایبری جدید در کشور
مهرماه مرکز ماهر نسبت به انتشار نوع جدیدی از بدافزار باج گیر در فضای سایبری کشور هشدار داد که این ویروس، برای هدف قراردادن کاربران فارسی زبان طراحی شد.
بررسی های مرکز ماهر نشان داد که باج افزاری موسوم به TYRANT (تای رنت) با الهام از یک باج افزار متن باز در فضای سایبری منتشر شد که از صفحه باج خواهی به زبان فارسی استفاده کرده و طبیعتا برای هدف قرار دادن کاربران فارسی زبان طراحی شد.
روش انتشار این باج افزار استفاده از پوشش فیلترشکن سایفون بود و از طریق شبکه های اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می کرد.
آبان ماه ۹۶ و شیوع باج گیرهای سایبری
آبان ماه خبر انتشار جاسوس افزاری به نام دادسرای الکترونیکی (e_dadsara) که با هدف سرقت اطلاعات حساب بانکی کاربران، فعال شد، منتشر شد. این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشهای حاوی اطلاعات الکترونیکی دادسرا می کرد. هدف اصلی این جاسوسافزار، سرقت اطلاعات قربانی به خصوص اطلاعات حسابهای بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپبورد و برنامههای اجرا شده توسط کاربر است.
همچنین مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، از انتشار باج افزار خطرناک «خرگوش بد» خبر داد که احتمال حمله بینالمللی از طریق این باج افزار بسیار بالا بود.
باج افزار خرگوش بد (BadRabbit)، سومین نسخه از باج افزار های مهم و پر نشر در چند سال گذشته عنوان شد که ادامه مسیر بدافزارهای معروفی چون NotPetya و WannaCry را پیش برده و بیش از ۱۳ درصد از کد باج افزار NotPetya را با خود به طور مشترک به همراه داشت.
شرکتهای امنیتی Kaspersky و Avast، چندین مورد حمله به اوکراین و آمریکا را گزارش کردند و شرکت امنیتی ESET، اعلام کرد که بیش از ۶۵ درصد قربانیان در کشور روسیه قرار داشتند. پس از آن، اوکراین با ۱۲.۲ درصد، بلغارستان با ۱۰.۲ درصد، ترکیه با ۶.۴ درصد و در نهایت ژاپن با ۳.۸ درصد بیشترین قربانیان این بدافزار بودند.
از سوی دیگر جاسوسی صوتی و تصویری از کاربران مرورگر کروم نیز در این ماه کشف شد که یک نقص طراحی UX در مرورگر Chrome اجازه می داد وبسایت های مخرب صدا یا ویدئو کاربر را بدون هیچگونه هشدار یا نشانه های بصری ضبط کرده و بدین صورت کاربر مورد سوء استفاده قرار گیرد.
آذر ۹۶ و شناسایی حمله بدافزاری به «فلش پلیر»
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از هشدار ادوب (Adobe) برای دریافت آخرین نسخه فلشپلیر در راستای جلوگیری از حملات بدافزاری خبر داد و اعلام کرد: هشدار Adobe مربوط به آسیبپذیری موجود در بسته نرمافزاری چندرسانهای «فلشپلیر» بود. به همین دلیل، این شرکت از کاربران خود خواست تا با وصله کردن سامانههای خود، از این حملات جلوگیری کنند.
محققان امنیتی آزمایشگاه کسپرسکی، استفاده از این آسیبپذیری برای اجرای کدهای کنترل از راه دور را در Adobe Flash پیدا کردند که توسط گروهی به نام BlackOasis ارائه شده بود.این گروه قربانیانی را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا مورد هدف قرار داده بود.
دی ماه ۹۶ و سوءاستفاده بدافزاری از فیلترشکن
در دی ماه سالی که گذشت مرکز ماهر موضوع حمله بدافزاری در پوشش یک فیلترشکن که با سوءاستفاده از ناآگاهی کاربران موبایل منتشر شد را اعلام کرد.
تحلیلهای فنی روی کد مهاجم نشان داد که حمله این بدافزار، با دریافت یک پیامک فریبنده که مدعی ارائه فیلترشکن از طریق یک آدرس وب بود آغاز شد. با کلیک کردن کاربر روی لینک مذکور، بدافزار روی تلفن قربانی دانلود میشد.
بهمن ماه و حمله سایبری به سایت های خبری
در آستانه برگزاری راهپیمایی باشکوه ۲۲ بهمن ماه اخباری در خصوص حمله به تعدادی از پورتال ها و وبسایت های خبری منتشر شد.
بر اساس بررسی های صورت گرفته مشخص شد وبسایت های خبری که مورد حمله قرار گرفته بودند در مرکز داده (دیتا سنتر) تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند. بر این اساس گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم های هدف کرد و در این فرآیند مشخص شد تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل با سرویس دهنده وب IIS و زبان برنامه نویسی ASP.Net توسعه داده شده اند.
شرکت تولیدکننده نرم افزار این سامانه ها مجری بیش از ۳۰ وبسایت خبری (از جمله وبسایت های مورد حمله قرار گرفته) در کشور بود که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کرده اند.
شواهد موجود در فایل های ثبت وقایع نشان داد که مهاجمان در تلاش برای نفود با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعاتی نظیر نام کاربری و کلمات عبور، در پایگاه داده سامانه های فوق بودند. همچنین تمامی فعالیت ها و عملیات مخرب برای کشف آسیب پذیری و نفوذ به سامانه ها متعلق به آدرس های IP حمله کننده، استخراج و بررسی شد.
در این حمله مشخص شد که تمامی سایت های خبری مورد حمله دارای نام کاربری و کلمه عبور پیش فرض یکسان توسط شرکت پشتیبان بودند و آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا همان نام کاربری و کلمه عبور استفاده شده در سایت ها بوده و این موارد نشان داد که حداقل موارد امنیتی در مدیریت این سایت ها رعایت نشده بود.
اسفند ماه و ۱۴۰ وبسایت داخلی که هک شد
در اسفندماه ۹۶ نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از هک ۱۴۰ وبسایت داخلی خبر داد.
این مرکز موضوع را سریعا مورد بررسی قرار داد و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد.
سایتهای مورد حمله همگی روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده بصورت محدود و تنها شامل بارگزاری یک فایل متنی بود.
۱۰ هشدار مرکز ماهر برای رخدادهای سایبری
به گزارش مهر، در سالی که گذشت از سوی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای برخی هشدارها برای پیشگیری از رخدادهای سایبری نیز منتشر شد.
در فروردین ماه این مرکز نسبت به تلاش بدافزارها و نرم افزارهای مخرب برای آلوده کردن شبکه های صنعتی هشدار داد. چرا که محققان امنیتی دنیا محاسبه کردند که سالانه حدود ۳۰۰۰ واحد صنعتی با انواع بدافزارها و نرم افزارهای غیرهدف دار و روزمره، آلوده می شوند.
در اردیبهشت ماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای هشدار داد که هکرها می توانند گذر واژه کاربران سایتهایی که با وردپرس نوشته شده اند را تغییر دهند. وردپرس محبوبترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیبپذیری منطقی به هکر این امکان را میدهد که گذرواژه کاربر را تغییر دهد.
در خردادماه این مرکز اعلام کرد که کاربران رایانه های خانگی به دلیل بی توجهی و تعلل در به روزرسانی سیستم عامل ویندوز خود، بیشتر در معرض خطر حمله باج افزار سایبری «واناکرای» قرار دارند. در این اطلاع رسامی با اشارخ به ۴ هزار رایانه آلوده به این بدافزار باج گیر، اعلام کرد که بسیاری از این رایانه ها، مربوط به سازمانهای مختلف بودند که نسبت به رفع مشکل اقدام کرده و دستورالعمل های امنیتی را رعایت کردند.
در تیرماه، ابزارهای دروغ رمزگشایی «واناکرای» شناسایی شد که به دروغ خود را به عنوان ابزارهایی برای رمزگشایی این باج گیر سایبری معرفی کردند. در بررسی و تحلیل سیستم های رایانه ای مشخص شد که ابزارهای بسیاری در اینترنت مدعی شده اند که اطلاعات قربانیان این حمله را می توانند بازگردانند.از این رو به کاربران اینترنت هشدار داده شد که نرم افزارهای ناشناخته و جعلی نصب نکنند.
در مردادماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از ارائه خدمات ابری توزیع محتوا، با هدف ارتقای امنیت، مقابله با حملات سایبری و افزایش ظرفیت وب سایتهای دولتی خبر داد و اعلام کرد که برای کمک به وبسایتهای دولتی در پاسخگویی به حجم درخواستها و مراجعات بالا و همچنین حفاظت از آنها در برابر حملات رایج، اقدام به ارائه خدمات حفاظت سامانه های تحت وب کرده است.
در شهریور ماه مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای با اعلام هشدار به کاربران برای بهروزرسانی سیستم عامل پیشبینی کرد که ممکن است اتفاقاتی شبیه بروز باج افزار سایبری واناکرای مجدد رخ دهد.
این مرکز با اشاره به اینکه پس از بهروزرسانی ویندوز که لااقل ۴۸ آسیبپذیری وصله شد (۲۵ تای آنها بحرانی بودهاند)، این آسیبپذیریها افشاء شدهاند، اعلام کرد: یکی از این آسیبپذیریها بسیار خطرناک بوده و همه نسخههای ویندوز را تحت تاثیر قرار داده است.
آذرماه مرکز ماهر به توسعه دهندگان اندرویدی هشدار داد. چرا که گوگل نیز با ارسال ایمیلی به توسعه دهندگان اپلیکیشن های اندروید، بزرگترین مشکل امنیتی نرم افزارهای مخرب اندرویدی و حذف آنها از پلی استور را هشدار داد.
دی ماه سال ۹۶ مرکز ماهر، ایران را در بین ۱۰ کشور نفوذپذیر سیستم های سایبری صنعتی اعلام کرد. نتایج به دست آمده از تهدیدات سامانههای کنترل صنعتی در ۶ ماهه اول سال ۲۰۱۷ نشان داد که ایران در میان ۱۰ کشور اولی است که سامانه های آن به دلیل تهدیدات سایبری، آلوده شده اند.
بر مبنای این بررسی ها همچنین مشخص شد در نیمه اول سال ۲۰۱۷ در بین ۱۵ کشوری که بالاترین درصد سامانههای کنترل صنعتی مورد حمله قرار گرفته را، دارا هستند، ایران رتبه هفتم را به خود اختصاص داده است.
از سوی دیگر در دی ماه مرکز ماهر نسبت به کشف آسیبپذیری مهمی که همه پردازندههای سخت افزاری را تحت تاثیر قرار داده هشدار داد. این آسیبپذیریها همه پردازندههای مهم از جمله AMD، ARM و Intel را تحت تاثیر قرار داد.
بهمن ماه محققان امنیتی یک جاسوسافزار اندرویدی بسیار پیشرفته با نام Skygofree کشف کردند که به هکرها امکان می داد پیامهای واتس اپ (WhatsApp) قربانی را بدزدد و امکان کنترل کامل دستگاه آلوده را از راه دور میداد..
همچنین در این ماه بدافزاری که سیستمهای اینترنت اشیاء را هدف قرار میداد کشف شد. این اولین باری بود که یک بدافزار، بهطور خاص سیستمهای مبتنی بر ARC را هدف قرار میداد. بدافزار Mirai Okiru در زمان کشف برای بیشتر آنتیویروسها غیرقابل تشخیص بود.
در نهایت اینکه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به پیش بینی جهانی از تهدیدات سایبری برای پول های رمزنگاری شده در سال ۲۰۱۸ هشدار داد و اعلام کرد: با وجودی که در سال ۲۰۱۷ باج افزارها تهدید اصلی برای کاربران فضای سایبر محسوب می شدند، پیش بینی ها حاکی از آن است که «پول های رمزنگاری شده» مهمترین تهدید سایبری در سال ۲۰۱۸ خواهد بود.