گزارشهای تحلیلی مرکز ماهر درباره حملات سایبری به سایت سه رسانه رسمی کشور نشان میدهد که برخی مراکز داده کشور نظیر تبیان چندان ایمن نیست و قابلیت هک دارد؛ جالب است که تبیان همکاری هم برای چرایی این موضوع نداشته است.
به گزارش خبرنگار بادیجی ، در آستانه برگزاری راهپیمایی 22 بهمن، شب گذشته حدود ساعت 20 الی 22 اخباری درباره حمله به تعدادی از پورتالها و وبسایتهای خبری منتشر و باعث ایجاد نگرانیهایی در سطح جامعه شد.
مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این باره به عمل آورد.
برای اطلاعات و رعایت نکات مهم مطرح در این زمینه، توضیح اجتمالی حمله فوق در گزارش حاضر آمده است.
وبسایتهای خبری که مورد حمله قرار گرفتهاند شامل روزنامههای قانون، آرمان و ستاره صبح بوده که در مرکز داده تبیان و شرکت پیشتاز میزبانی میشدهاند.
گروه فنی ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف کرده و در این فرآیند مشخص شده که تمامی این سامانهها توسط یک شرکت و در بستر سیستمعامل ویندوز با سرویسدهنده وب IIS و زبان برنامهنویسی ASP.NET توسعه داده شدهاند.
شرکت تولید کننده نرمافزار این سامانهها مجری بیش از 30 وب سایت خبری به زیر در کشور است که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کرده کردند؛ تهدید اخیر کماکان برای این سایتها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال کنند.
• armandaily.ir
• aminejameeh.ir
• kaenta.ir
• ghanoondaily.ir
• asreneyriz.ir
• sharghdaily.ir
• ecobition.ir
• karoondaily.ir
• baharesalamat.ir
• tafahomnews.com
• bankvarzesh.com
• niloofareabi.ir
• shahrvandnewspaper.ir
• etemadnewspaper.ir
• vareshdaily.ir
• bahardaily.ir
• nishkhat.ir
• sayehnews.com
• nimnegahshiraz.ir
• shahresabzeneyriz.ir
• neyrizanfars.ir
• sarafrazannews.ir
• tweekly.ir
• armanmeli.ir
• davatonline.ir
• setaresobh.ir
• noavaranonline.ir
• bighanoononline.ir
• naghshdaily.ir
• hadafeconomic.ir
اقدامات فنی اولیه توسط ماهر به شرح زیر صورت گرفت:
1. شناسایی داراییهای مرتبط با سامانهها برای تحلیل دقیق که در این زمینه مرکز داده تبیان هیچگونه همکاری را به عمل نیاورده است.
2. از دسترس خارج کردن سامانههایی که مورد حمله قرار گرفتهاند برای بازیابی حذف تغییرات در محتوای پیامها
3. تغییر یا غیرفعال سازی نام کاربری اشتراکی و پیش فرض در تمامی سامانهها
4. ایجاد یک Snapshot و همچنین یک کپی سالم و دست نخورده از سرویسدهندههای مجازی که مورد حمله قرار گرفتهاند.
5. کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویسدهندههای هدف.
پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچه حملات و آسیبپذیریها حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و آیپی مبدأ حملات استخراج شد که شامل پنج آیپی از کشورهای انگلستان و آمریکا بوده است.
تحلیلها نشان میدهد تمامی سایتهای خبری مورد حمله دارای نام کاربری و کلمه عبور پیش فرض و یکسان توسط شرکت پشتیبان بوده است؛ همچنین در بررسی مشخص شد که آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا برابر ****@gmail.com است که نام کاربری و کلمه عبور استفاده شده در سایتها نیز همان است.
انتهای پیام/
نظرات کاربران