جزئیات حمله سایبری و اختلال اینترنت در ایران

یورونیوز : به دنبال حمله سایبری گسترده به برخی مراکز داده ایران و از کار افتادن موقتی شمار زیادی از وبگاه‌های ایرانی، جزئیات تازه‌ای از این رویداد کم‌پیشینه کشف و منتشر شد.
 
شب گذشته وزیر ارتباطات و فناوری اطلاعات با انتشار توئیتی از حمله گسترده به برخی مراکز داده کشور خبر داده بود.
 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) ایران با انتشار اطلاعیه‌ای اعلام کرد در پی حملات سایبری شب گذشته هیچ دسترسی غیرمجازی به اطلاعات شهروندان اتفاق نیفتاده است.
 
ماهر اعلام کرد: «در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود ۲۰ و ۱۵ دقیقه ۱۷ فروردین ماه ۹۷ بررسی و رسیدگی فنی به موضوع انجام و مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات (شامل running-config و startup-config) حذف گردیده است.»
 
در اطلاعیه ماهر همچنین آمده است: «در موارد بررسی شده پیغامی با این مضمون در غالب startup-config مشاهده گردید: "دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بوده و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند."»
 
ماهر به مدیران سیستم توصیه می‌کند با استفاده از دستور«no vstack» نسبت به غیرفعال‌سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ‌ها و روترهای خود اقدام کنند. ماهر همچنین بستن پورت ۴۷۸۶ در لبه‌ شبکه را نیز توصیه کرده و می‌افزاید در صورت نیاز به استفاده از ویژگی smart installلازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد.
 
محتوای قرار گرفته در تنظیمات startup-config روترهای آسیب دیده به شرح زیر است:
  در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس ‌دهنده‌های عمده اینترنت کشور مسدود شد.
 
ماهر اعلام کرده است که تا این لحظه، سرویس‌دهی شرکت ها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
 
شب گذشته ارتباط دیتاسنتر میزبان وب سایت خود مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل حل شد.
 
همچنین پیش‌بینی شده بود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند. ماهر از مدیران سیستم‌های آسیب‌دیده خواسته بود اقدامات زیر را انجام دهند:
 
با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب‌پذیر smart install client را با اجرای دستور «no vstack» غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام شود و رمز عبور قبلی تجهیز تغییر داده شود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در پایان توصیه کرده است که در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود شود و اعلام کرده که متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان را منتشر خواهد کرد.
 
به گزارش خبرگزاری ایسنا سرهنگ علی نیک‌نفس، رئیس مرکز تشخیص سایبری پلیس فتا هم با اشاره به حمله سایبری شب گذشته با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفته است: «بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از ۱۶۸ هزار ابزار فعال در شبکه اینترنت بوده است.»
 
وی افزود: «حدود یک‌سال قبل نیز شرکت مورد نظر هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client) بر روی آنها فعال است را منتشر کرده بود».
دلیل نفوذپذیری مراکز داده ایران
به جز نقایص امنیت سایبری و «حفره»‌هایی که کارشناسان تاکنون از آنها به عنوان علت نفوذ هکرها به مراکز داده ایران نام برده‌اند، عامل انسانی نیز در این ماجرا نقش داشته است.
 
علیرضا خراسانی در این زمینه در پایگاه خبری خبرآنلاین می‌نویسد: «غفلت ادمین‌ها و مدیران مراکز داده در ایران به رغم هشدارهای بین‌المللی داده شده، باعث شد تا زیرساخت‌های ارتباطاتی کشور اسیر حمله سایبری شود.»
 
این در حالی است که به گفته نویسنده این مقاله کمپانی سیسکو در روز ۲۸ مارس (۱۰ فروردین) وصله امنیتی برای رفع باگ روی سوئیچ‌های خود را منتشر کرد و روز ۲۹ مارس (۱۱ فروردین) نیز نسبت به در معرض خطر بودن ۱۶۸ هزار دستگاه از ۸.۵ میلیون دستگاه فروخته شده هشدار داد. وی در ادامه می‌نویسد: «با همه اینها ادمین‌های ایرانی در خواب غفلت به سر برده و زمانی متوجه حمله شدند که کار از کار گذشته بود.»
 
علیرضا خراسانی با یادآوری «دیرمتوجه شدن مرکز ماهر»، مسئول رسمی پاسخگویی به حملات سایبری تحت عنوان مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای این مرکز را متهم کرده که هشدارها را «جدی نگرفته» و با نبستن پورت ۴۷۸۶ به هکرها اجازه نفوذ داده است.
 
در حمله سایبری جمعه شب از طریق باگ CVE-2018-0171 روی Smart Install سرویس‌دهی شرکت‌ها و مراکز داده افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا دچار اختلال چند ساعته شد.
 
به نوشته خبرآنلاین، «حمله سایبری شب گذشته نشان داد زیرساخت‌های ارتباطاتی کشور علی رغم تعاریف مدیران آی‌تی از خود و پروپاگاندای توئیتری و اینستاگرامی، به شدت آسیب پذیر است.»
 
هنوز هیچ گونه اطلاع رسمی در مورد هویت مهاجمان سایبری و انگیزه آنان از حمله به مراکز داده ایران منتشر نشده است.
+22
رأی دهید
-0

نظر شما چیست؟
جهت درج دیدگاه خود می بایست در سایت عضو شده و لوگین نمایید.