انگلیس و آمریکا منشأ حمله سایبری شب گذشته/ ۳۰ سایت خبری در سایه تهدید

مرکز ماهر، گزارش بررسی حمله سایبری به سایت‌های خبری را منتشر کرد که در آن اعلام شد "مبدأ حملات، انگلیس و آمریکا بوده و این تهدیدات همچنان برای ۳۰ سایت خبری وجود دارد".

به گزارش ایسنا، مرکز ماهر متعلق به سازمان فناوری اطلاعات، حمله سایبری شب گذشته -۲۱ بهمن - به سایت روزنامه‌ قانون، روزنامه‌ آرمان و روزنامه ستاره صبح را بررسی و نتیجه بررسی‌های انجام شده را منتشر کرد که بر اساس آن به دلیل مشترک بودن مجری و تولیدکننده نرم افزار ۳۰ سایت خبری کشور که روزنامه‌ های آرمان، قانون و ستاره صبح هم شامل آن می شوند این سایت های خبری همچنان در معرض تهدید نفوذ هکرها قرار دارند که پیشگیری و افزایش ظرفیت‌های امنیتی در این مورد لازم است.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

گزارش کامل مرکز ماهر در بررسی حملات سایبری به سایت‌های خبری شب گذشته به این شرح است:

"در آستانه‌ی برگزاری راهپیمایی باشکوه ۲۲ بهمن‌ماه در روز شنبه مورخ ۲۱ بهمن‌ماه حدود ساعت ۲۰ الی ۲۲ اخباری در خصوص حمله به تعدادی از پورتال‌ها و وبسایت‌های خبری منتشر و باعث ایجاد نگرانی‌هایی در سطح جامعه شد.

مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی الزم را در این خصوص بعمل آورد. جهت اطلاع و رعایت نکات مهم مطرح در این زمینه، توضیح اجمالی حمله فوق در گزارش حاضر آمده است. وبسایت‌های خبری که مورد حمله قرار گرفته‌اند شامل: روزنامه‌ی قانون، روزنامه‌ی آرمان، روزنامه‌ی ستاره صبح بوده که در مرکز داده‌ی تبیان و مرکز داده شرکت پیشتاز میزبانی شده‌اند. گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم‌های هدف نموده و در این فرایند مشخص گردیده که تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل ویندوز با سرویس‌دهندهی وب IIS و زبان برنامه‌نویسی Net.ASP توسعه داده شده‌اند.

شرکت تولید کننده نرم افزار این سامانه‌ها مجری بیش‌از ۳۰ وبسایت خبری به شرح زیر در کشور است که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا نمودند. تهدید اخیر کماکان برای این سایت ها وجود دارد و الزامی است سریعا تمهیدات امنیتی مناسب را اعمال کنند.

۱- armandaily.ir

۲- aminejameeh.ir

۳- kaenta.ir

۴- ghanoondaily.ir

۵- asreneyriz.ir

۶- sharghdaily.ir

۷- ecobition.ir

۸- karoondaily.ir

۹- baharesalamat.ir

۱۰- tafahomnews.com

۱۱- bankvarzesh.com

۱۲- niloofareabi.ir

۱۳- shahrvand-newspaper.ir

۱۴- etemadnewspaper.ir

۱۵- vareshdaily.ir

۱۶- bahardaily.ir

۱۷- nishkhat.ir

۱۸- sayeh-news.com

۱۹- nimnegahshiraz.ir

۲۰- shahresabzeneyriz.ir

۲۱- neyrizanfars.ir

۲۲- sarafrazannews.ir

۲۳- tweekly.ir

۲۴- armanmeli.ir

۲۵- davatonline.ir

۲۶- setaresobh.ir

۲۷- noavaranonline.ir

۲۸- bighanoononline.ir

۲۹- naghshdaily.ir

۳۰- hadafeconomic.ir

اقدامات فنی اولیه توسط مرکز ماهر به شرح زیر انجام شد:

 _   شناسایی دارایی های مرتبط با سامانه‌ها جهت تحلیل دقیق) در این زمینه متاسفانه مرکز داده تبیان هیچگونه همکاری را نکرده است

 _  از دسترس خارج کردن سامانه‌های که مورد حمله قرار گرفته‌اند، جهت بازیابی و حذف تغییرات در محتوی پیام‌ها

 _  تغییر یا غیرفعال سازی نام کاربری اشتراکی و پیشفرض در تمامی سامانه‌ها

 _   ایجاد یک Snapshot و همچنین یک کپی سالم و دست نخورده از سرویس‌دهنده‌های مجازی که مورد حمله قرار گرفته‌اند

 _   کپی کامل از تمامی فایل‌های ثبت وقایع بر روی سرویس دهنده‌های هدف

پس از دریافت فایل‌های ثبت وقایع از حملات انجام شده از سرویس دهنده‌ها با تحلیل و بررسی تاریخچه‌ی حملات و آسیب پذیری‌ها حجم بالایی از فایل‌ها مورد تحلیل و آنالیز قرار گرفت و آی پی مبدأ حملات استخراج شد که شامل پنج آی پی از کشورهای انگلستان و آمریکا بوده است.

شواهد موجود در فایل‌های ثبت وقایع نشان می‌دهد که مهاجمان از دو روز قبل (از تاریخ ۲۰۱۸/۰۲/۰۸ الی ۲۰۱۸/۰۲/۱۰ ) پس از کشف آسیب پذیری‌های از قبیل انواع Injection ها، در تلاش جهت نفوذ با ابزارهای خودکار و نیمه خودکار جهت استخراج اطلاعات نظیر نام کاربری و کلمات عبور در پایگاه داده‌ای سامانه‌ها بوده‌اند. تمامی فعالیت‌ها و عملیات مخرب جهت کشف آسیب پذیری و نفوذ به سامانه‌ها، که متعلق به آدرسهای IP حمله کننده استخراج و بررسی شد.

اقدامات اصلاحی انجام شده:

۱-تغییر نام کاربری و کلمه عبور پیش فرض راهبر سامانه در تمامی محصولات شرکت

توضیح مهم در این زمینه:

تمامی سایت‌های خبری مورد حمله دارای نام کاربری و کلمه‌ی عبور پیشفرض(*****) و یکسان توسط شرکت پشتیبان بوده است. همچنین در بررسی مشخص گردید که متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا است که نام کاربری و کلمه‌ی عبور استفاده شده در سایت‌ها نیز همان است. این موارد *****@gmail.com برابر نشان می‌دهد و متاسفانه حداقل موارد امنیتی رعایت نشده است.

۲-اطلاع رسانی به تمامی دارندگان و استفاده‌کنندگان محصول شرکت مورد هدف

۳-کشف ماژول‌ها و بخشه‌ای آسیب پذیر در سایت‌های مورد حمله و اطلاع به پشتیبان جهت وصله امنیتی سریع

۴-هشدارها و راهنمایی‌های الزم جهت حفاظت و پیکربندی و مقاوم سازی سرویس دهنده و فایل ثبت وقایع بر روی تمامی سرویس دهنده‌ها

۵-اقدامات الزم برای انجام آزمون نفوذپذیری بر روی تمامی بخش‌ها و ماژول‌های سامانه مشترک"

انتهای پیام

منبع: ایسنا

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت www.isna.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «ایسنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۷۱۴۲۱۲۰ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

آلمان کاردار سفارت روسیه را احضار کرد

وزارت امور خارجه آلمان در واکنش به حملات ادعایی سایبری روسیه به حزب سوسیال دموکرات آلمان کاردار سفارت این کشور را احضار کرد. - اخبار بین الملل -

به گزارش گروه بین الملل خبرگزاری تسنیم به نقل از روزنامه "دی ولت" آلمان، وزارت امور خارجه آلمان در واکنش به حمله سایبری روسیه به حزب سوسیال دموکرات در سال گذشته، کاردار موقت سفارت روسیه را احضار کرد.

سخنگوی وزارت خارجه آلمان روز جمعه این خبر را اعلام کرد. به گفته وی چنین احضاری یک ابزار قوی دیپلماتیک تلقی می شود. این سخنگو گفت: این حادثه نشان می دهد تهدید روسیه برای امنیت و صلح در اروپا واقعی و بسیار زیاد است.

آنالنا بائربوک، وزیر امور خارجه آلمان عواقب این حمله هکری را در جریان سفر خود به استرالیا اعلام کرد. وی گفت: هکرهای دولتی روسیه در فضای سایبری به آلمان حمله کردند.

حزب سوسیال دموکرات صدر اعظم آلمان در ژوئن 2023 اعلام کرد که حساب‌های ایمیل مدیران این حزب در ژانویه هدف حمله سایبری قرار گرفته است. حزب صدر اعظم آلمان در آن زمان گفت که این امر به دلیل یک شکاف امنیتی در شرکت نرم افزاری مایکروسافت که هنوز در زمان حمله ناشناخته بود امکان پذیر شد.

به گفته بائربوک، تحقیقات دولت فدرال آلمان به رهبری وزارت خارجه اکنون تکمیل شده است. این مقام آلمانی گفت: امروز به وضوح می‌توانیم این حمله سال گذشته را به گروه APT28 که تحت کنترل سرویس مخفی روسیه GRU است نسبت دهیم. وی تاکید کرد: این کاملا غیر قابل قبول است و بدون عواقب نخواهد بود.

طبق ادعای اداره حفاظت از قانون اساسی آلمان، گروه APT28 حداقل از سال 2004 در سراسر جهان، عمدتاً در زمینه جاسوسی سایبری، فعال بوده است. بر اساس این ادعا در گذشته نیز کمپین‌های تبلیغاتی و اطلاعات نادرست را در فضای مجازی رهبری کرده و در میان فعال‌ترین و خطرناک‌ترین بازیگران سایبری در جهان است.

متیو میلر، سخنگوی وزارت خارجه آمریکا هم روسیه را عامل حمله هکری به روسیه دانست.

گروه APT28 که با نام "خرس شیک" نیز شناخته می شود، مسئول یک حمله سایبری بزرگ به بوندستاگ در سال 2015 و پس از آن در ایالات متحده آمریکا برای حمله به حزب دموکرات قبل از انتخابات ریاست جمهوری سال 2017 شناخته شد.

بر اساس اطلاعات خبرگزاری آلمان، تمامی سرویس های مخفی آلمان از جمله اداره حفاظت از قانون اساسی، سرویس اطلاعات فدرال و سرویس ضد جاسوسی نظامی در تحقیقات دولت فدرال شرکت داشتند.

بر اساس اطلاعات فعلی، گفته می‌شود که حمله به حزب سوسیال دموکرات بخشی از کمپین APT28 در چندین کشور اروپایی بوده است که علیه ادارات دولتی و شرکت‌هایی که با تامین انرژی، فناوری اطلاعات، تسلیحات یا هوافضا سروکار دارند، انجام شده است.

شورای آتلانتیک شمالی، مهم‌ترین نهاد تصمیم‌گیر ناتو، پیش از این نگرانی عمیق خود را در مورد افزایش حملات سایبری روسیه اما بدون ارائه جزئیات ابراز کرده بود.

اتحادیه اروپا هم "به شدت کمپین مخرب سایبری پیشرفته تهدید مداوم (APT28) تحت کنترل روسیه علیه آلمان را محکوم کرد. جوزف بورل، مسئول سیاست خارجی اتحادیه اروپا روز جمعه به نمایندگی از اتحادیه اروپا گفت، اتحادیه اروپا متعهد به استفاده از طیف کامل اقدامات برای جلوگیری، بازدارندگی و واکنش به رفتار مخرب روسیه در فضای سایبری است.

اتحادیه اروپا اعلام کرد که نهادها، آژانس‌ها و تأسیسات دولتی در کشورهای عضو، از جمله لهستان، لیتوانی، اسلواکی و سوئد قبلاً توسط همین «بازیگر تهدید» مورد حمله قرار گرفته‌اند. در سال 2020، اتحادیه اروپا تحریم هایی را علیه افراد و نهادهای مسئول حملات APT28 به بوندستاگ در سال 2015 اعمال کرده بود.

در این بیانیه آمده است که رفتار روسیه با استانداردهای سازمان ملل برای رفتار مسئولانه دولت در فضای سایبری در تضاد است. اتحادیه اروپا چنین رفتارهای بدخواهانه را تحمل نخواهد کرد.

به دلیل ادامه جنگ روسیه علیه اوکراین، اتحادیه اروپا همچنین هفته‌ها است که در حال آماده‌سازی بسته چهاردهم تحریمی علیه مسکو است.

آلمان روسیه را به حمله سایبری به حزب صدر اعظم متهم کرد

انتهای پیام/