گزارش مرکز ماهر درباره
حمله سایبری به سایت‌های خبری کشور
کد مطلب: 13736
تاریخ انتشار : دوشنبه ۲۳ بهمن ۱۳۹۶ ساعت ۱۲:۱۶
 
در پی وقوع حملات سایبری به تعدادی از سایت‌های خبری، مرکز ماهر گزارش فنی خود را درباره اقدامات انجام شده و چگونگی وقوع این حملات را منتشر کرد.
حمله سایبری به سایت‌های خبری کشور
 
 
Share/Save/Bookmark
در پی وقوع حملات سایبری به تعدادی از سایت‌های خبری، مرکز ماهر گزارش فنی خود را درباره اقدامات انجام شده و چگونگی وقوع این حملات را منتشر کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روز شنبه ۲۱ بهمن‌ماه حدود ساعت ۲۰ تا ۲۲ اخباری درخصوص حمله به تعدادی از پرتال‌ها و وب‌سایت‌های خبری منتشر شد. در پی آن مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص به‌عمل آورد که در گزارش آن آمده‌است.

وب‌سایت‌های خبری که مورد حمله قرار گرفته‌اند، شامل روزنامه‌های قانون، آرمان، ستاره صبح بوده که در مرکز داده تبیان و مرکز داده شرکت پیشتاز میزبانی شده‌اند.

گروه فنی مرکز ماهر، اقدام به شناسایی نقاط اشتراک سیستم‌های هدف کرده و در این فرایند مشخص شد که تمامی این سامانه‌ها توسط یک شرکت و در بستر سیستم‌عامل ویندوز با سرویس‌دهنده وب IIS و زبان برنامه‌نویسی ASP.Net توسعه داده شده‌اند.

پس از دریافت فایل‌های ثبت وقایع از حملات انجام شده از سرویس‌دهنده‌ها با تحلیل و بررسی تاریخچه حملات و آسیب‌پذیری‌ها، حجم بالایی از فایل‌ها مورد تحلیل و آنالیز قرار گرفت و IP مبدا حملات استخراج شد که شامل پنج IP از کشورهای انگلستان و آمریکا بوده‌است.

شواهد موجود در فایل‌های ثبت وقایع نشان می‌دهد که مهاجمان از دو روز قبل یعنی از ۸ تا ۱۰ فوریه ۲۰۱۸ پس از کشف آسیب‌پذیری‌های از قبیل Injection در تلاش جهت نفوذ با ابزارهای خودکار و نیمه‌خودکار جهت استخراج اطلاعات نظیر نام کاربری و کلمات عبور در پایگاه داده سامانه‌ها بوده‌اند.

در این بین قابل توجه است که تمامی سایت‌های خبری مورد حمله دارای نام کاربری و کلمه عبور پیش‌فرض و یکسان توسط شرکت پشتیبان بوده‌است.

ضمنا در بررسی‌ها مشخص شد که آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا برابر *****@gmail.com مطابق نام کاربری و کلمه عبور استفاده شده در سایت‌های مذکور است که نشان می‌دهد متاسفانه حداقل موارد امنیتی رعایت نشده‌است.

شناسایی دارایی‌های مرتبط با سامانه‌ها جهت تحلیل دقیق، از دسترس خارج کردن سامانه‌هایی که مورد حمله قرار گرفته‌اند، جهت بازیابی و حذف تغییرات در محتوای پیام‌ها، تغییر و یا غیرفعال سازی نام کاربری اشتراکی و پیش‌فرض در تمامی سامانه‌ها، ایجاد یک Snapshot و همچنین یک کپی سالم و دست‌نخورده از سرویس‌دهنده‌های مجازی که مورد حمله قرار گرفته‌اند و کپی کامل از تمامی فایل‌های ثبت وقایع بر روی سرویس‌دهنده‌های هدف ازجمله اقدامات فنی اولیه مرکز ماهر بوده‌اند.

گزارش کامل رسیدگی و پاسخگویی حمله سایبری به وب‌سایت‌ها و پورتال‌های خبری توسط مرکز ماهر منتشر شد، این سایت که برای دقایقی از دسترس خارج شده‌بود هم‌اکنون در دسترس است.

مشروح این گزارش را در اینجا بخوانید.
مرجع : مرکز ماهر