مهمترین حملات سایبری در سال ۱۳۹۶


 بازدید: 2.7k
 تاریخ انتشار: ۱۶ فروردین، ۱۳۹۷، ۲:۰۴ ب.ظ
مهمترین حملات سایبری در سال ۱۳۹۶

مهمترین اتفاقات سایبری سال ۹۶ را می توان در محور جاسوس افزارها، حملات بدافزاری و آلودگی سیستم های رایانه ای دسته بندی کرد. این تهدیدات سایبری در سالی که گذشت از سوی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (مرکز ماهر) اعلام شد.

بررسی ها نشان می دهد که بالغ بر ۱۴ حمله اینترنتی مهم، منجر به تهدید فضای سایبری کشور شد. در این راستا مرکز ماهر بالغ بر ۱۰ هشدار مرتبط با تهدیدات سایبری به کاربران فضای مجازی داد.



اردیبهشت ۹۶ و نفوذ بزرگترین باج گیر سایبری

اردیبهشت ۹۶ نرم افزار مخربی تحت عنوان «واناکرای- wannacry » با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بالغ بر ۷۵ هزار سیستم کامپیوتری را آلوده کرد. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باج گیر، در سطح شبکه کشور ما نیز مشاهده شد؛ به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمان، قربانی این باج افزار در کشور شد که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها و در تهران و اصفهان شناسایی شد.

درهمین حال تحلیلگران امنیت سایبری موسسات تحقیقاتی دنیا نیز اعلام کردند که بیش از ۹۷ درصد رایانه های مبتلا به ویروس واناکرای از سیستم عامل ویندوز ۷ استفاده می کرده اند. رایانه های دارای سیستم عامل XP مبتلا به ویروس واناکرای نیز به طور دستی و توسط مالکانشان به آن مبتلا شدند.

درنهایت در تیرماه رئیس یکی از مراکز آگاهی رسانی، پشتیبانی و امداد رخدادهای رایانه ای از مهار باج گیر سایبری «واناکرای » در ایران خبر داد و گفت: واکنش در ایران به این حمله سایبری، واکنش مناسبی بود. البته این به این معنی نیست که هیچ آلودگی را مشاهده نکریم، بلکه منظور این است که حملات این ویروس از تب و تاب افتاد و آسیب پذیری سیستم ها، در همان حدود و حدود اولیه متوقف شد.

خرداد ۹۶ و حمله به چند وبسایت دولتی

هفتم خردادماه، برخی وبسایتها و پرتال های سازمانها و دستگاه های اجرایی از دسترس خارج شد. به دنبال حمله و از دسترس خارج شدن این وبسایت ها، سازمان فناوری اطلاعات ایران با تایید حمله سایبری صورت گرفته به این وبسایت ها، از کنترل این حملات خبر داد.

طبق اعلام مرکز ماهر ، هدف این حمله، منع سرویس توزیع شده سیستم‌های عامل ویندوز با سرویس‌دهنده‌های وب IIS بوده ‌است و تمامی اهداف مورد حمله قرار گرفته، از شرایط فنی یکسان برخوردار بوده‌اند.

تیرماه ۹۶ و ۳ حمله سایبری برای آلودگی سیستم های کامپیوتری  

تیرماه سال ۹۶ خبر گسترش باج افزار جدیدی به نام پتیا (Goldeneye/Petya) در نقاط مختلف جهان بازتاب وسیعی داشت. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باج گیر سایبری پتیا (petya) دریافت نشده، اعلام کرد: نحوه گسترش این باج افزار و نیز عملکرد آن بسیار مشابه به باج افزار واناکرای ( WannaCry) است.

براین اساس اعلام شد که بالغ بر ۳۲ قربانی توسط «پتیا» آسیب دیده و فایلهایشان رمرگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت کوین(پول مجازی) برای بازپس گیری اطلاعاتشان پرداخت کردند. بیشترین آسیب پذیری مربوط به کشور اوکراین بود به نحوی که گفته شد کمپانی بزرگ نفتی روسی به نام Roseneft ، کمپانی های تولیدکننده برق اوکراینی، بانکهایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفتند.

درهمین حال افزایش حمله باج افزاری به سرورهای ویندوزی در کشور، از طریق سرویس Remote Desktop از دیگر اتفاقات تیرماه ۹۶ بود. بررسی‌های فنی در این زمینه نشان داد که در این حملات مهاجمان با سوءاستفاده از دسترسی‌های حفاطت نشده به سرویس ریموت دسکتاپ ‌ویندوز (پروتکل RDP) وارد شده، آنتی ویروس نصب شده را غیرفعال کرده و با انتقال فایل باج افزار، اقدام به رمزگزاری فایل‌های سرور کرده است.

در این ماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نیز از هک تعدادی از سامانه های دانشگاهی خبر داد. براین اساس مشخص شد که علت اصلی رخداد ایجاد شده وجود یک آسیب پذیری در یکی از مولفه های جانبی سایت های دانشگاهی برای مدیریت و داوری همایشها بود. این آسیب پذیری منجر به بارگذاری یک صفحه توسط مهاجمین در وب سایتهای مذکور شد.

مرداد ۹۶ و خسارت باج افزاری به سامانه‌های بیمارستانی کشور

مردادماه نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از بروز حملات باج افزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد و اعلام کرد: گزارش های متعددی از حمله باج افزارها (نرم افزار مخرب باج گیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است.

بررسی‌های فنی نشان داد که در بسیاری از این حملات،  مهاجمان با سوء استفاده از دسترسی‌ به «سرویس دسترسی از راه دور» در سیستم‌ عامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP) است، وارد شده، آنتی ویروس نصب شده را غیرفعال کرده و با انتقال فایل باج افزار، اقدام به رمزگذاری فایل‌های سرور کردند.

حتی در مواردی، مشاهده شدکه مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفاده‌های ممکن، زمان و الگوی انجام پشتیبان‌گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باج‌افزاری بی‌نقص شدند.

مهرماه ۹۶ و شیوع باج گیر سایبری جدید در کشور

مهرماه مرکز ماهر نسبت به انتشار نوع جدیدی از بدافزار باج گیر در فضای سایبری کشور هشدار داد که این ویروس، برای هدف قراردادن کاربران فارسی زبان طراحی شد.

بررسی های مرکز ماهر نشان داد که باج افزاری موسوم به TYRANT (تای رنت) با الهام از یک باج افزار متن باز در فضای سایبری منتشر شد که از صفحه باج خواهی به زبان فارسی استفاده کرده و طبیعتا برای هدف قرار دادن کاربران فارسی زبان طراحی شد.

روش انتشار این باج افزار استفاده از پوشش فیلترشکن سایفون بود و از طریق شبکه های اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می کرد.

آبان ماه ۹۶ و شیوع باج گیرهای سایبری

آبان ماه خبر انتشار جاسوس افزاری به نام دادسرای الکترونیکی (e_dadsara) که با هدف سرقت اطلاعات حساب بانکی کاربران، فعال شد، منتشر شد. این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشه‌ای حاوی اطلاعات الکترونیکی دادسرا می کرد. هدف اصلی این جاسوس‌افزار، سرقت اطلاعات قربانی به خصوص اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپ‌بورد و برنامه‌های اجرا شده توسط کاربر است.

همچنین مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، از انتشار باج افزار خطرناک «خرگوش بد» خبر داد که احتمال حمله بین‌المللی از طریق این باج افزار بسیار بالا بود.

باج افزار خرگوش بد (BadRabbit)، سومین نسخه از باج افزار های مهم و پر نشر در چند سال گذشته عنوان شد که ادامه مسیر بدافزارهای معروفی چون NotPetya و WannaCry را پیش برده و بیش از ۱۳ درصد از کد باج افزار NotPetya را با خود به طور مشترک به همراه داشت.

شرکت‌های امنیتی Kaspersky و Avast، چندین مورد حمله به اوکراین و آمریکا را گزارش کردند و شرکت امنیتی ESET، اعلام کرد که بیش از ۶۵ درصد قربانیان در کشور روسیه قرار داشتند. پس از آن، اوکراین با ۱۲.۲ درصد، بلغارستان با ۱۰.۲ درصد، ترکیه با ۶.۴ درصد و در نهایت ژاپن با ۳.۸ درصد بیشترین قربانیان این بدافزار بودند.

از سوی دیگر جاسوسی صوتی و تصویری از کاربران مرورگر کروم نیز در این ماه کشف شد که یک نقص طراحی UX در مرورگر Chrome اجازه می داد وبسایت های مخرب صدا یا ویدئو کاربر را بدون هیچگونه هشدار یا نشانه های بصری ضبط کرده و بدین صورت کاربر مورد سوء استفاده قرار گیرد.

آذر ۹۶ و شناسایی حمله بدافزاری به «فلش پلیر»

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از هشدار ادوب (Adobe) برای دریافت آخرین نسخه‌ فلش‌پلیر در راستای جلوگیری از حملات بدافزاری خبر داد و اعلام کرد: هشدار Adobe مربوط به آسیب‌پذیری موجود در بسته‌ نرم‌افزاری چندرسانه‌ای «فلش‌پلیر» بود. به همین دلیل، این شرکت از کاربران خود خواست تا با وصله کردن سامانه‌های خود، از این حملات جلوگیری کنند.

محققان امنیتی آزمایشگاه کسپرسکی، استفاده از این آسیب‌پذیری برای اجرای کدهای کنترل از راه دور را در Adobe Flash پیدا کردند که توسط گروهی به نام BlackOasis ارائه شده بود.این گروه قربانیانی را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا مورد هدف قرار داده بود.

دی ماه ۹۶ و سوءاستفاده بدافزاری از فیلترشکن

در دی ماه سالی که گذشت مرکز ماهر موضوع حمله بدافزاری در پوشش یک فیلترشکن که با سوءاستفاده از ناآگاهی کاربران موبایل منتشر شد را اعلام کرد.

تحلیل‌های فنی روی کد مهاجم نشان داد که حمله این بدافزار، با دریافت یک پیامک فریبنده که مدعی ارائه فیلترشکن از طریق یک آدرس وب بود آغاز شد. با کلیک کردن کاربر روی لینک مذکور، بدافزار روی تلفن قربانی دانلود می‌شد.

بهمن ماه و حمله سایبری به سایت های خبری

در  آستانه برگزاری راهپیمایی باشکوه ۲۲ بهمن ماه اخباری در خصوص حمله به تعدادی از پورتال ها و وبسایت های خبری منتشر شد.

بر اساس بررسی های صورت گرفته مشخص شد وبسایت های خبری که مورد حمله قرار گرفته بودند در مرکز داده (دیتا سنتر) تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند. بر این اساس گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم های هدف کرد و در این فرآیند مشخص شد تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل با سرویس دهنده وب IIS و زبان برنامه نویسی ASP.Net توسعه داده شده اند.

شرکت تولیدکننده نرم افزار این سامانه ها مجری بیش از ۳۰ وبسایت خبری (از جمله وبسایت های مورد حمله قرار گرفته) در کشور بود که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کرده اند.

شواهد موجود در فایل های ثبت وقایع نشان داد که مهاجمان در تلاش برای نفود با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعاتی نظیر نام کاربری و کلمات عبور، در پایگاه داده سامانه های فوق بودند. همچنین تمامی فعالیت ها و عملیات مخرب برای کشف آسیب پذیری و نفوذ به سامانه ها متعلق به آدرس های IP حمله کننده، استخراج و بررسی شد.

در این حمله مشخص شد که تمامی سایت های خبری مورد حمله دارای نام کاربری و کلمه عبور پیش فرض یکسان توسط شرکت پشتیبان بودند و آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا همان نام کاربری و کلمه عبور استفاده شده در سایت ها بوده و این موارد نشان داد که حداقل موارد امنیتی در مدیریت این سایت ها رعایت نشده بود.

اسفند ماه و ۱۴۰ وبسایت داخلی که هک شد

در اسفندماه ۹۶ نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از هک ۱۴۰ وبسایت داخلی خبر داد.

این مرکز موضوع را سریعا مورد بررسی قرار داد و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد.

سایت‌های مورد حمله همگی روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده بصورت محدود و تنها شامل بارگزاری یک فایل متنی بود.

۱۰ هشدار مرکز ماهر برای رخدادهای سایبری

به گزارش مهر، در سالی که گذشت از سوی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای برخی هشدارها برای پیشگیری از رخدادهای سایبری نیز منتشر شد.

در فروردین ماه این مرکز نسبت به تلاش بدافزارها و نرم افزارهای مخرب برای آلوده کردن شبکه های صنعتی هشدار داد. چرا که محققان امنیتی دنیا محاسبه کردند که سالانه حدود ۳۰۰۰ واحد صنعتی با انواع بدافزارها و نرم افزارهای غیرهدف دار و روزمره، آلوده می شوند.

در اردیبهشت ماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای هشدار داد که هکرها می توانند گذر واژه کاربران سایت‌هایی که با وردپرس نوشته شده ‌اند را تغییر دهند. وردپرس محبوب‌ترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیب‌پذیری منطقی به هکر این امکان را می‌دهد که گذرواژه‌ کاربر را تغییر دهد.

در خردادماه این مرکز اعلام کرد که کاربران رایانه های خانگی به دلیل بی توجهی و تعلل در به روزرسانی سیستم عامل ویندوز خود، بیشتر در معرض خطر حمله باج افزار سایبری «واناکرای» قرار دارند. در این اطلاع رسامی با اشارخ به ۴ هزار رایانه آلوده به این بدافزار باج گیر، اعلام کرد که بسیاری از این رایانه ها، مربوط به سازمانهای مختلف بودند که نسبت به رفع مشکل اقدام کرده و دستورالعمل های امنیتی را رعایت کردند.

در تیرماه، ابزارهای دروغ رمزگشایی «واناکرای» شناسایی شد که به دروغ خود را به عنوان ابزارهایی برای رمزگشایی این باج گیر سایبری معرفی کردند. در بررسی و تحلیل سیستم های رایانه ای مشخص شد که ابزارهای بسیاری در اینترنت مدعی شده اند که اطلاعات قربانیان این حمله را می توانند بازگردانند.از این رو به کاربران اینترنت هشدار داده شد که نرم افزارهای ناشناخته و جعلی نصب نکنند.

در مردادماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از ارائه خدمات ابری توزیع محتوا، با هدف ارتقای امنیت، مقابله با حملات سایبری و افزایش ظرفیت وب سایتهای دولتی خبر داد و اعلام کرد که برای کمک به وبسایتهای دولتی در پاسخگویی به حجم درخواستها و مراجعات بالا و همچنین حفاظت از آنها در برابر حملات رایج، اقدام به ارائه خدمات حفاظت سامانه های تحت وب کرده است.

در شهریور ماه مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای با اعلام هشدار به کاربران برای به‌روزرسانی سیستم‌ عامل پیش‌بینی کرد که ممکن است اتفاقاتی شبیه بروز باج افزار سایبری واناکرای مجدد رخ دهد.

این مرکز با اشاره به اینکه پس از به‌روزرسانی ویندوز که لااقل ۴۸ آسیب‌پذیری وصله شد (۲۵ تای آن‌ها بحرانی بوده‌اند)، این آسیب‌پذیری‌ها افشاء شده‌اند، اعلام کرد: یکی از این آسیب‌پذیری‌ها بسیار خطرناک بوده و همه نسخه‌های ویندوز را تحت تاثیر قرار داده است.

آذرماه مرکز ماهر به توسعه دهندگان اندرویدی هشدار داد. چرا که گوگل نیز با ارسال ایمیلی به توسعه دهندگان اپلیکیشن های اندروید، بزرگترین مشکل امنیتی نرم افزارهای مخرب اندرویدی و حذف آنها از پلی استور را هشدار داد.

دی ماه سال ۹۶ مرکز ماهر، ایران را در بین ۱۰ کشور نفوذپذیر سیستم های سایبری صنعتی اعلام کرد. نتایج به دست آمده از تهدیدات سامانه‌های کنترل صنعتی در ۶ ماهه‌ اول سال ۲۰۱۷ نشان داد که ایران در میان ۱۰ کشور اولی است که سامانه های آن به دلیل تهدیدات سایبری، آلوده شده اند.

بر مبنای این بررسی ها همچنین مشخص شد در نیمه اول سال ۲۰۱۷ در بین ۱۵ کشوری که بالاترین درصد سامانه‌های کنترل صنعتی مورد حمله قرار گرفته را، دارا هستند، ایران رتبه هفتم را به خود اختصاص داده است.

از سوی دیگر در دی ماه مرکز ماهر نسبت به کشف آسیب‌پذیری‌ مهمی که همه‌ پردازنده‌های سخت افزاری را تحت تاثیر قرار داده هشدار داد. این آسیب‌پذیری‌ها همه‌ پردازنده‌های مهم از جمله AMD، ARM و Intel را تحت تاثیر قرار داد.

بهمن ماه محققان امنیتی یک جاسوس‌افزار اندرویدی بسیار پیشرفته با نام Skygofree کشف کردند که به هکرها امکان می داد پیام‌های واتس اپ (WhatsApp) قربانی را بدزدد و امکان کنترل کامل دستگاه آلوده را از راه دور می‌داد..

همچنین در این ماه بدافزاری که سیستم‌های اینترنت اشیاء را هدف قرار می‌داد کشف شد. این اولین باری بود که یک بدافزار، به‌طور خاص سیستم‌های مبتنی بر ARC را هدف قرار می‌داد. بدافزار Mirai Okiru در زمان کشف برای بیشتر آنتی‌ویروس‌ها غیرقابل تشخیص بود.

در نهایت اینکه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به پیش بینی جهانی از تهدیدات سایبری برای پول های رمزنگاری شده در سال ۲۰۱۸ هشدار داد و اعلام کرد: با وجودی که در سال ۲۰۱۷ باج افزارها تهدید اصلی برای کاربران فضای سایبر محسوب می شدند، پیش بینی ها حاکی از آن است که «پول های رمزنگاری شده» مهمترین تهدید سایبری در سال ۲۰۱۸ خواهد بود.





به دوستان خود بگوئید: