30 سایت خبری کشور در معرض هک شدن / مرکز داده تبیان نفوذپذیر است؟

0
95

گزارش‌های تحلیلی مرکز ماهر درباره حملات سایبری به سایت سه رسانه رسمی کشور نشان می‌دهد که برخی مراکز داده کشور نظیر تبیان چندان ایمن نیست و قابلیت هک دارد؛ جالب است که تبیان همکاری هم برای چرایی این موضوع نداشته است.

به گزارش خبرنگار بادیجی ، در آستانه برگزاری راهپیمایی 22 بهمن، شب گذشته حدود ساعت 20 الی 22 اخباری درباره حمله به تعدادی از پورتال‌ها و وب‌سایت‌های خبری منتشر و باعث ایجاد نگرانی‌هایی در سطح جامعه شد.

مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این باره به عمل آورد.

برای اطلاعات و رعایت نکات مهم مطرح در این زمینه، توضیح اجتمالی حمله فوق در گزارش حاضر آمده است.

وب‌سایت‌های خبری که مورد حمله قرار گرفته‌اند شامل روزنامه‌های قانون، آرمان و ستاره صبح بوده که در مرکز داده تبیان و شرکت پیشتاز میزبانی می‌شده‌اند.

گروه فنی ماهر اقدام به شناسایی نقاط اشتراک سیستم‌های هدف کرده و در این فرآیند مشخص شده که تمامی این سامانه‌ها توسط یک شرکت و در بستر سیستم‌عامل ویندوز با سرویس‌دهنده وب IIS و زبان برنامه‌نویسی ASP.NET توسعه داده شده‌اند.

شرکت تولید کننده نرم‌افزار این سامانه‌ها مجری بیش از 30 وب سایت خبری به زیر در کشور است که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کرده کردند؛ تهدید اخیر کماکان برای این سایت‌ها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال کنند.

• armandaily.ir
• aminejameeh.ir
• kaenta.ir
• ghanoondaily.ir
• asreneyriz.ir
• sharghdaily.ir
• ecobition.ir
• karoondaily.ir
• baharesalamat.ir
• tafahomnews.com
• bankvarzesh.com
• niloofareabi.ir
• shahrvandnewspaper.ir
• etemadnewspaper.ir
• vareshdaily.ir
• bahardaily.ir
• nishkhat.ir
• sayehnews.com
• nimnegahshiraz.ir
• shahresabzeneyriz.ir
• neyrizanfars.ir
• sarafrazannews.ir
• tweekly.ir
• armanmeli.ir
• davatonline.ir
• setaresobh.ir
• noavaranonline.ir
• bighanoononline.ir
• naghshdaily.ir
• hadafeconomic.ir

اقدامات فنی اولیه توسط ماهر به شرح زیر صورت گرفت:

1. شناسایی دارایی‌های مرتبط با سامانه‌ها برای تحلیل دقیق که در این زمینه مرکز داده تبیان هیچگونه همکاری را به عمل نیاورده است.
2. از دسترس خارج کردن سامانه‌هایی که مورد حمله قرار گرفته‌اند برای بازیابی حذف تغییرات در محتوای پیام‌ها
3. تغییر یا غیرفعال سازی نام کاربری اشتراکی و پیش فرض در تمامی سامانه‌ها
4. ایجاد یک Snapshot و همچنین یک کپی سالم و دست نخورده از سرویس‌دهنده‌های مجازی که مورد حمله قرار گرفته‌اند.
5. کپی کامل از تمامی فایل‌های ثبت وقایع بر روی سرویس‌دهنده‌های هدف.

پس از دریافت فایل‌های ثبت وقایع از حملات انجام شده از سرویس‌دهنده‌ها با تحلیل و بررسی تاریخچه حملات و آسیب‌پذیری‌ها حجم بالایی از فایل‌ها مورد تحلیل و آنالیز قرار گرفت و آی‌پی مبدأ حملات استخراج شد که شامل پنج آی‌پی از کشورهای انگلستان و آمریکا بوده است.

تحلیل‌ها نشان می‌دهد تمامی سایت‌های خبری مورد حمله دارای نام کاربری و کلمه عبور پیش فرض و یکسان توسط شرکت پشتیبان بوده است؛ همچنین در بررسی مشخص شد که آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا برابر ****@gmail.com است که نام کاربری و کلمه عبور استفاده شده در سایت‌ها نیز همان است.

انتهای پیام/