در پی وقوع حملات سایبری به تعدادی از سایتهای خبری، مرکز ماهر گزارش فنی خود را درباره اقدامات انجام شده و چگونگی وقوع این حملات را منتشر کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روز شنبه ۲۱ بهمنماه حدود ساعت ۲۰ تا ۲۲ اخباری درخصوص حمله به تعدادی از پرتالها و وبسایتهای خبری منتشر شد. در پی آن مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص بهعمل آورد که در گزارش آن آمدهاست.
وبسایتهای خبری که مورد حمله قرار گرفتهاند، شامل روزنامههای قانون، آرمان، ستاره صبح بوده که در مرکز داده تبیان و مرکز داده شرکت پیشتاز میزبانی شدهاند.
گروه فنی مرکز ماهر، اقدام به شناسایی نقاط اشتراک سیستمهای هدف کرده و در این فرایند مشخص شد که تمامی این سامانهها توسط یک شرکت و در بستر سیستمعامل ویندوز با سرویسدهنده وب IIS و زبان برنامهنویسی ASP.Net توسعه داده شدهاند.
پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچه حملات و آسیبپذیریها، حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و IP مبدا حملات استخراج شد که شامل پنج IP از کشورهای انگلستان و آمریکا بودهاست.
شواهد موجود در فایلهای ثبت وقایع نشان میدهد که مهاجمان از دو روز قبل یعنی از ۸ تا ۱۰ فوریه ۲۰۱۸ پس از کشف آسیبپذیریهای از قبیل Injection در تلاش جهت نفوذ با ابزارهای خودکار و نیمهخودکار جهت استخراج اطلاعات نظیر نام کاربری و کلمات عبور در پایگاه داده سامانهها بودهاند.
در این بین قابل توجه است که تمامی سایتهای خبری مورد حمله دارای نام کاربری و کلمه عبور پیشفرض و یکسان توسط شرکت پشتیبان بودهاست.
ضمنا در بررسیها مشخص شد که آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا برابر *****@gmail.com مطابق نام کاربری و کلمه عبور استفاده شده در سایتهای مذکور است که نشان میدهد متاسفانه حداقل موارد امنیتی رعایت نشدهاست.
شناسایی داراییهای مرتبط با سامانهها جهت تحلیل دقیق، از دسترس خارج کردن سامانههایی که مورد حمله قرار گرفتهاند، جهت بازیابی و حذف تغییرات در محتوای پیامها، تغییر و یا غیرفعال سازی نام کاربری اشتراکی و پیشفرض در تمامی سامانهها، ایجاد یک Snapshot و همچنین یک کپی سالم و دستنخورده از سرویسدهندههای مجازی که مورد حمله قرار گرفتهاند و کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویسدهندههای هدف ازجمله اقدامات فنی اولیه مرکز ماهر بودهاند.
گزارش کامل رسیدگی و پاسخگویی حمله سایبری به وبسایتها و پورتالهای خبری توسط مرکز ماهر منتشر شد، این سایت که برای دقایقی از دسترس خارج شدهبود هماکنون در دسترس است.
مشروح این گزارش را در
اینجا بخوانید.