۲۰ بدافزار در حمله سایبری به سازمان های دولتی كشف شد

بی بدیل پرداز: باتوجه به حملات سایبری اخیر به تعدادی از سازمان ها، بیش از 20 فایل بدافزاری کشف و نمونه برداری شده و پیکربندی نادرست، عدم بروزرسانی بموقع و عدم اعمال سیاست های صحیح امنیتی از دلیلهای اصلی ضعف در شبکه های کشور اعلام گردید.

به گزارش بی بدیل پرداز به نقل از ایسنا،، طی روزهای گذشته دو اختلال در زمینه تجاری شرکت راه آهن و وزارت راه و شهرسازی رخ داد. شرکت راه آهن اعلام نمود هیچ اختلال یا حمله سایبری به حوزه مسافری، باری یا ایستگاه های قطار بین شهری صورت نگرفته اما اختلالاتی در زمینه تجاری به وجود آمده است. بعد از آن سایت وزارت راه و شهرسازی از دسترس خارج شد و این وزارتخانه اعلام نمود اختلال سایبری در سیستم های کامپیوتری کارکنان ستاد این وزارتخانه ظاهر شد که در پی آن پورتال وزارتخانه و سایت های زیرپرتال آن از دسترس خارج شد.
همین طور بعد از آن، محمدجواد آذری جهرمی -وزیر ارتباطات و فناوری اطلاعات- هشدار داد: مجدداً هشدار اردیبهشت ۱۳۹۷ در مورد حملات باج افزاری با سوءاستفاده از درگاه مدیریتی iLo سرورهای HP را یادآوری می نماییم. تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات سایبری با بهره گیری از این نقیصه، رصد و گزارش شده است.
در این راستا مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) اعلام نمود بررسی سه ‫آسیب پذیری out HP-Integerated lights با شناسه های CVE-2017-12542، CVE-2018-7105، CVE-2018-7078 در سطح کشور نشان می دهد، تعدادی از شبکه های کشور در مقابل این ضعف ها به درستی محافظت نشده اند. پیکربندی نادرست، عدم بروزرسانی بموقع و عدم اعمال سیاست های صحیح امنیتی در هنگام استفاده ازHP Integrated Lights-Out از دلیلهای اصلی این ضعف در شبکه های کشور است. جدول زیر مشخصات این سه لطمه پذیری را نمایش می دهد.



به کاربران سفارش می شود اگر دسترسی به این سرویس بوسیله اینترنت ضروری نیست، دسترسی به آنرا محدود به شبکه داخلی خود کنند، با بروزرسانی محصولات خود مطمئن شوند که تحت تاثیر این سه لطمه پذیری قرار ندارند. باتوجه به امکان نفوذ به این سرویس توسط گره های آلوده شده شبکه داخلی، سیاست های امنیتی سخت گیرانه ای همچون vlanبندی مجزا برای دسترسی به این سرویس بوسیله شبکه داخلی اکیدا سفارش می شود. همین طور با تنظیم تجهیزات امنیتی و رویدادنگاری حساسیت ویژه نسبت به کوشش برای دسترسی به پورت های ILO یا SSH سرورها در نظر گرفته شود.

دستورالعمل هایی برای جلوگیری از وقوع حملات سایبری
کنترل دسترسی به پیکربندی خدمات سرور HP و بازنگری دوره ای سطح دسترسی های سطح ادمین اکتیودایرکتوری و مرور لاگهای دسترسی به ILO سرورها می تواند نقش به سزایی در تشخیص و جلوگیری از حملات اخیر داشته باشد. باتوجه به حملات سایبری اخیر به تعدادی از سازمان ها و بررسی های صورت گرفته، بیش از ۲۰ فایل بدافزاری برای پلتفرم های متفاوت ویندوز، ESX و سفت افزار کشف و نمونه برداری شده است. تمامی این بدافزارها از تاریخ ۱۴۰۰/۰۴/۱۹ توسط پادویش تشخیص داده شده و از آلودگی به آنها جلوگیری می شود.
هیچ کدام از این فایل ها تا این لحظه توسط آنتی ویروس های جهانی تشخیص داده نمی شوند. باتوجه به سطح پیشرفته نفوذ و حملات سایبری انجام شده که با شناخت کامل از شبکه قربانی صورت گرفته است، درباب امن سازی لازم است حتما سیاست های دفاع در عمق با اولویت بالا رعایت شود.
برای انجام ایمن سازی، لازم است تمامی دسترسی های سطح ادمین به اکتیودایرکتوری مورد بازنگری قرار گرفته و تا جای ممکن پسوردهای قبلی اکانت های ادمین به سرعت تغییر کند. همین طور نسبت به قرارگیری اسکریپت لاگین و استارتاپ حساس بوده و این موارد بررسی شود. تمامی دسترسی های سطح روت به سرورهای ESX، Xen، انواع Linux و انواع ویندوز سرورهای نصب شده روی سرورهای فیزیکی مورد بازنگری قرار گرفته و تا جای ممکن، رمز اکانت های روت/ ادمین بازنشانی شود. لازم است سرویس SSH را در سرورهای ESX غیرفعال کنید، دسترسی پورت های ILO در سرورهای HP از شبکه کاملا قطع شود.
همین طور سفارش می شود دسترسی ازراه دور به شبکه در ساعات غیرکاری تا جای ممکن محدود شود و از VPN (مبتنی بر کلید خصوصی نرم افزاری یا توکن) بجای اتصال مستقیم به سرورها استفاده شود، سامانه های ثبت وقایع شبکه مورد بازیینی قرار گرفته و تمامی رخدادهای امنیتی و پیکره بندی سیستم ها را شامل شود. نسبت به کوشش برای دسترسی به پورت های ILO یا SSH به سرورها و دسترسی های ریموت خارج سازمان حساس بوده و موارد هشدار را با اولویت پیگیری کنید. تهیه پشتیبان منظم از داده ها بر روی رسانه های آفلاین و اطمینان از صحت پشتیبان ها هم از دیگر راه کارهای امنیتی است.