کشف ۲۰ بدافزار در حمله سایبری به ادارات دولتی کشور

کشف ۲۰ بدافزار در حمله سایبری به ادارات دولتی کشور
تاریخ انتشار : ۲۱ تير ۱۴۰۰

با توجه به حملات سایبری اخیر به برخی از سازمان‌ها، بیش از ۲۰ فایل بدافزاری کشف و نمونه‌برداری شده و پیکربندی نادرست، عدم به‌روزرسانی به موقع و عدم اعمال سیاست‌های صحیح امنیتی از دلایل اصلی ضعف در شبکه‌های کشور اعلام شد.

به گزارش گرداب، طی روز‌های گذشته دو اختلال در حوزه بازرگانی شرکت راه‌آهن و وزارت راه و شهرسازی رخ داد. شرکت راه‌آهن اعلام کرد هیچ اختلال یا حمله سایبری به حوزه مسافری، باری یا ایستگاه‌های قطار بین شهری صورت نگرفته، اما اختلالاتی در حوزه بازرگانی به وجود آمده است. پس از آن سایت وزارت راه و شهرسازی از دسترس خارج شد و این وزارتخانه اعلام کرد اختلال سایبری در سیستم‌های کامپیوتری کارکنان ستاد این وزارتخانه ظاهر شد که در پی آن پورتال وزارتخانه و سایت‌های زیرپرتال آن از دسترس خارج شد.

همچنین پس از آن، محمدجواد آذری جهرمی -وزیر ارتباطات و فناوری اطلاعات- هشدار داد: مجدداً هشدار اردیبهشت ۱۳۹۷ در مورد حملات باج‌افزاری با سوءاستفاده از درگاه مدیریتی iLo سرور‌های HP را یادآوری می‌کنیم. تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات سایبری با استفاده از این نقیصه، رصد و گزارش شده است.

در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخداد‌های رایانه‌ای) اعلام کرد بررسی سه ‫آسیب‌پذیری out HP-Integerated lights با شناسه‌های CVE-۲۰۱۷-۱۲۵۴۲، CVE-۲۰۱۸-۷۱۰۵، CVE-۲۰۱۸-۷۰۷۸ در سطح کشور نشان می‌دهد، برخی از شبکه‌های کشور در برابر این ضعف‌ها به درستی محافظت نشده‌اند. پیکربندی نادرست، عدم به‌روزرسانی به موقع و عدم اعمال سیاست‌های صحیح امنیتی در هنگام استفاده از HP Integrated Lights-Out از دلایل اصلی این ضعف در شبکه‌های کشور است. جدول زیر مشخصات این سه آسیب‌پذیری را نمایش می‌دهد.

کشف ۲۰ بدافزار در حمله سایبری به ادارات دولتی کشور
به کاربران توصیه می‌شود اگر دسترسی به این سرویس از طریق اینترنت ضروری نیست، دسترسی به آن را محدود به شبکه داخلی خود کنند، با به‌روزرسانی محصولات خود مطمئن شوند که تحت تاثیر این سه آسیب‌پذیری قرار ندارند. با توجه به امکان نفوذ به این سرویس توسط گره‌های آلوده‌شده شبکه داخلی، سیاست‌های امنیتی سخت‌گیرانه‌ای از جمله vlan بندی مجزا برای دسترسی به این سرویس از طریق شبکه داخلی اکیدا توصیه می‌شود. همچنین با تنظیم تجهیزات امنیتی و رویدادنگاری حساسیت ویژه نسبت به تلاش برای دسترسی به پورت‌های ILO یا SSH سرور‌ها در نظر گرفته شود.

دستورالعمل‌هایی برای جلوگیری از وقوع حملات سایبری

کنترل دسترسی به پیکربندی سرویس‌های سرور HP و بازبینی دوره‌ای سطح دسترسی‌های سطح ادمین اکتیودایرکتوری و مرور لاگ‌های دسترسی به ILO سرور‌ها می‌تواند نقش بسزایی در تشخیص و جلوگیری از حملات اخیر داشته باشد. با توجه به حملات سایبری اخیر به برخی از سازمان‌ها و بررسی‌های صورت‌گرفته، بیش از ۲۰ فایل بدافزاری برای پلت‌فرم‌های متفاوت ویندوز، ESX و سفت‌افزار کشف و نمونه‌برداری شده است. تمامی این بدافزار‌ها از تاریخ ۱۴۰۰/۰۴/۱۹ توسط پادویش تشخیص داده شده و از آلودگی به آن‌ها جلوگیری می‌شود.

هیچ‌کدام از این فایل‌ها تا این لحظه توسط آنتی‌ویروس‌های جهانی تشخیص داده نمی‌شوند. با توجه به سطح پیشرفته نفوذ و حملات سایبری انجام‌شده که با شناخت کامل از شبکه قربانی صورت گرفته است، در خصوص امن‌سازی لازم است حتما سیاست‌های دفاع در عمق با اولویت بالا رعایت شود.

برای انجام ایمن‌سازی، لازم است تمامی دسترسی‌های سطح ادمین به اکتیودایرکتوری مورد بازبینی قرار گرفته و تا جای ممکن پسورد‌های قبلی اکانت‌های ادمین به سرعت تغییر کند. همچنین نسبت به قرارگیری اسکریپت لاگین و استارتاپ حساس بوده و این موارد بررسی شود.

تمامی دسترسی‌های سطح روت به سرور‌های ESX, Xen, انواع Linux و انواع ویندوز سرور‌های نصب‌شده روی سرور‌های فیزیکی مورد بازبینی قرار گرفته و تا جای ممکن، رمز اکانت‌های روت/ ادمین بازنشانی شود. لازم است سرویس SSH را در سرور‌های ESX غیرفعال کنید، دسترسی پورت‌های ILO در سرور‌های HP از شبکه کاملا قطع شود.

همچنین توصیه می‌شود دسترسی از راه دور به شبکه در ساعات غیرکاری تا جای ممکن محدود شود و از VPN (مبتنی بر کلید خصوصی نرم‌افزاری یا توکن) به جای اتصال مستقیم به سرور‌ها استفاده شود، سامانه‌های ثبت وقایع شبکه مورد بازیینی قرار گرفته و تمامی رخداد‌های امنیتی و پیکره‌بندی سیستم‌ها را شامل شود. نسبت به تلاش برای دسترسی به پورت‌های ILO یا SSH به سرور‌ها و دسترسی‌های ریموت خارج سازمان حساس بوده و موارد هشدار را با اولویت پیگیری کنید. تهیه پشتیبان منظم از داده‌ها بر روی رسانه‌های آفلاین و اطمینان از صحت پشتیبان‌ها هم از دیگر راه‌کار‌های امنیتی است.