برخی مراکز داده کشور جمعه شب با حمله سایبری مواجه شدند که وزیر ارتباطات همان لحظه با انتشار توئیتی گفت که تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند.
شایلی قرایی
به گزارش کسب و کار نیوز، برخی مراکز داده کشور جمعه شب با حمله سایبری مواجه شدند که وزیر ارتباطات همان لحظه با انتشار توئیتی گفت که تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند. مرکز ماهر با یاری رساندن به این مراکز داده حمله را کنترل کرد و در حال اصلاح شبکههای آنان و برگرداندن وضعیت به حالت طبیعی است. همچنین به گفته رئیس مرکز تشخیص سایبری، این آسیبپذیری حدود ۱۰ روز قبل توسط این شرکت اعلام و رسانهای شده بود که اطلاعات آن در سایت پلیس فتا و مرکز ماهر موجود است، اما بررسیهای مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) هم نشان داده که این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندیهای این تجهیزات (شامل running-config و startup-config) حذف شده است. در موارد بررسیشده پیغامی با این مضمون در قالب startup-config مشاهده شد: دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بوده و هر سیستمعاملی که این ویژگی روی آن فعال باشد، در معرض آسیبپذیری مذکور قرار داشته و مهاجمان میتوانند با استفاده از اکسپلویت منتشرشده نسبت به اجرای کد از راه دور روی روتر / سوئیچ اقدام کنند. در این ارتباط سرهنگ علی نیکنفس، رئیس مرکز تشخیص سایبری پلیس فتا هم با اشاره به حمله سایبری با اشاره به اختلال رخداده در سرویس اینترنت کشور گفت: بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشاندهنده وجود این نقص امنیتی در بیش از ۱۶۸ هزار ابزار فعال در شبکه اینترنت بوده است و این حمله سایبری ناشی از آسیبپذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچهای مورد استفاده در سرویسدهندههای اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب میشوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکهها را در پی داشته است. وی افزود: حدود یک سال قبل نیز شرکت مورد نظر هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور (smart install client) روی آنها فعال است را منتشر کرده بود. به گفته نیکنفس، چنانچه قبلاً نیز مکرراً تاکید شده است، مسئولان فناوری اطلاعات سازمانها و شرکتها باید مستمرا رصد و شناسایی آسیبپذیریهای جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود. رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا با بیان اینکه هکرها میتوانند با سوءاستفاده از آسیبپذیری شناساییشده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچها و روترهای سیسکو و کار انداختن خدمات آنها اقدام کنند و همچنین قابلیت اجرای کد از راه دور روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه میشود مدیران شبکه سازمانها و شرکتها با استفاده از دستور «show vstack» به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور «no vstack» آن را غیرفعال کنند. به گفته او، به علاوه با توجه به اینکه حمله مزبور روی پورت 4786TCP صورت گرفته است؛ ازاینرو بستن ورودی پورت مزبور روی فایروالهای شبکه نیز توصیه میشود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است بهروزرسانی به آخرین نسخههای پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیشگفته انجام شود. وی ادامه داد: همچنین پیشبینی میشود که با آغاز ساعت کاری سازمانها، ادارات و شرکتها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند. بنابراین مدیران سیستمهای آسیبدیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راهاندازی مجدد تجهیزات خود کنند یا در صورت عدم وجود کپی پشتیبان، راهاندازی و پیکربندی تجهیزات مجدداً انجام پذیرد. براساس اعلام مرکز اطلاعرسانی فتا، نیکنفس با اشاره به اینکه قابلیت آسیبپذیر smart install client نیز با اجرای دستور «no vstack» غیرفعال شود، تاکید کرد: لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیدهاند)
انجام شود. توصیه میشود در روتر لبه شبکه با استفاده از فهرست کنترل دسترسی (ACL) ترافیک ورودی TCP 4786 نیز مسدود شود. رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اضافه کرد: مجدداً تاکید میشود که مسئولان فناوری اطلاعات سازمانها و شرکتها نسبت به بررسی مستمر آخرین آسیبپذیرهای سامانهها و ابزارها اقدام و نسبت به بهروزرسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند.
در امان ماندن شبکه ملی اطلاعات از حملات سایبری
این در حالیست که وزیر ارتباطات و فناوری اطلاعات با بیان اینکه هسته شبکه ملی اطلاعات از حمله سایبری ۱۷ فروردین در امان بوده، بر وجود ضعف در اطلاعرسانی مرکز ماهر به شرکتها و نیز ضعف در پیکرهبندی مراکز داده تاکید کرده است. محمدجواد آذریجهرمی با انتشار توئیتی اعلام کرد که جلسه اضطراری بررسی حمله خاتمه یافته و بیانیه رسمی نتایج از سوی روابطعمومی وزارت ارتباطات منتشر خواهد شد. وی همچنین اعلام کرد که هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بودهاند. آذریجهرمی همچنین اعلام کرده که حدود ۳۵۰۰ مسیریاب از مجموع چند صد هزار مسیریاب شبکه کشور متأثر از حمله شدهاند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است؛ ضعف در اطلاعرسانی مرکز ماهر به شرکتها و نیز ضعف در پیکرهبندی مراکز داده وجود داشته است.
ضرورت سنجش توانایی سایبری ایران
ارشیا عالی، کارشناس سایبری
درست است که این حمله سایبری فقط در ایران اتفاق نیفتاده و برخی از کشورهای دیگر نیز درگیر این حمله شدهاند، اما باید توجه داشت که آمادگی در برابر این نوع حملات در کشور به چه اندازهای است. آیا توان مقابله و زیرساختها وجود دارد و نیروی ماهر و کارشناسان سایبری به آن اندازه توانایی دارند که با این نوع حملات مقابله کنند تا زیرساختها در کشور در امان بماند. آیا هنگامی که همواره صحبت از استفاده از سرویسهای داخلی است آن هم به این جهت که اطلاعات نباید به سرورهای خارجی منتقل شود، اگر یک شبه و به دلیل نداشتن امکانات و زیرساختها با این مدل حملات سایبری تمام اطلاعات کشور مورد حمله قرار بگیرد، آن موقع تکلیف چیست؟ علاوه بر این توضیحات، لزوم طراحی سلاح سایبری در این مورد بسیار ضروری به نظر میرسد. از این سلاح جهت بازدارندگی و پاسخ متوازن به حملههای احتمالی استفاده خواهد شد. این سلاح در امور پرواز، مبارزه و پیروز شدن در آسمان، فضا و فضای مجازی کاربرد دارد و برای کشور ما نیز طراحی آن ضرورت بسیاری دارد، چراکه به دلایل مختلف ایران همواره در معرض خطر حملههای سایبری قرار دارد. همچنین باید در این رابطه و در کنار داشتن سلاح سایبری از یک فرماندهی سایبری نیز استفاده کنیم. در حمله اخیر مشاهده کردیم که شرکت ماهر شاید نتوانست آنطور که باید، در اطلاعرسانی به شرکتها موفق عمل کند. همانطور که وزیر ارتباطات نیز به آن اشاره کرد، وجود ضعف در اطلاعرسانی مرکز ماهر به شرکتها و نیز ضعف در پیکرهبندی مراکز داده وجود داشته است. بنابراین باید هرچه زودتر فرماندهی سایبری در ایران تأسیس شود تا این نهاد جدید بتواند در تحقق ساخت سلاحهای سایبری، تدوین استراتژی امنیت ملی سایبری و تقویت زیرساختهای کشور در قبال حملات سایبری در راستای امنیت بیشتر کشور عمل کند.
انجام شود. توصیه میشود در روتر لبه شبکه با استفاده از فهرست کنترل دسترسی (ACL) ترافیک ورودی TCP 4786 نیز مسدود شود. رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اضافه کرد: مجدداً تاکید میشود که مسئولان فناوری اطلاعات سازمانها و شرکتها نسبت به بررسی مستمر آخرین آسیبپذیرهای سامانهها و ابزارها اقدام و نسبت به بهروزرسانی و رفع نواقص احتمالی در اسرع وقت اقدام کنند.
در امان ماندن شبکه ملی اطلاعات از حملات سایبری
این در حالیست که وزیر ارتباطات و فناوری اطلاعات با بیان اینکه هسته شبکه ملی اطلاعات از حمله سایبری ۱۷ فروردین در امان بوده، بر وجود ضعف در اطلاعرسانی مرکز ماهر به شرکتها و نیز ضعف در پیکرهبندی مراکز داده تاکید کرده است. محمدجواد آذریجهرمی با انتشار توئیتی اعلام کرد که جلسه اضطراری بررسی حمله خاتمه یافته و بیانیه رسمی نتایج از سوی روابطعمومی وزارت ارتباطات منتشر خواهد شد. وی همچنین اعلام کرد که هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بودهاند. آذریجهرمی همچنین اعلام کرده که حدود ۳۵۰۰ مسیریاب از مجموع چند صد هزار مسیریاب شبکه کشور متأثر از حمله شدهاند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است؛ ضعف در اطلاعرسانی مرکز ماهر به شرکتها و نیز ضعف در پیکرهبندی مراکز داده وجود داشته است.
ضرورت سنجش توانایی سایبری ایران
ارشیا عالی، کارشناس سایبری
درست است که این حمله سایبری فقط در ایران اتفاق نیفتاده و برخی از کشورهای دیگر نیز درگیر این حمله شدهاند، اما باید توجه داشت که آمادگی در برابر این نوع حملات در کشور به چه اندازهای است. آیا توان مقابله و زیرساختها وجود دارد و نیروی ماهر و کارشناسان سایبری به آن اندازه توانایی دارند که با این نوع حملات مقابله کنند تا زیرساختها در کشور در امان بماند. آیا هنگامی که همواره صحبت از استفاده از سرویسهای داخلی است آن هم به این جهت که اطلاعات نباید به سرورهای خارجی منتقل شود، اگر یک شبه و به دلیل نداشتن امکانات و زیرساختها با این مدل حملات سایبری تمام اطلاعات کشور مورد حمله قرار بگیرد، آن موقع تکلیف چیست؟ علاوه بر این توضیحات، لزوم طراحی سلاح سایبری در این مورد بسیار ضروری به نظر میرسد. از این سلاح جهت بازدارندگی و پاسخ متوازن به حملههای احتمالی استفاده خواهد شد. این سلاح در امور پرواز، مبارزه و پیروز شدن در آسمان، فضا و فضای مجازی کاربرد دارد و برای کشور ما نیز طراحی آن ضرورت بسیاری دارد، چراکه به دلایل مختلف ایران همواره در معرض خطر حملههای سایبری قرار دارد. همچنین باید در این رابطه و در کنار داشتن سلاح سایبری از یک فرماندهی سایبری نیز استفاده کنیم. در حمله اخیر مشاهده کردیم که شرکت ماهر شاید نتوانست آنطور که باید، در اطلاعرسانی به شرکتها موفق عمل کند. همانطور که وزیر ارتباطات نیز به آن اشاره کرد، وجود ضعف در اطلاعرسانی مرکز ماهر به شرکتها و نیز ضعف در پیکرهبندی مراکز داده وجود داشته است. بنابراین باید هرچه زودتر فرماندهی سایبری در ایران تأسیس شود تا این نهاد جدید بتواند در تحقق ساخت سلاحهای سایبری، تدوین استراتژی امنیت ملی سایبری و تقویت زیرساختهای کشور در قبال حملات سایبری در راستای امنیت بیشتر کشور عمل کند.