نفوذ هکرها به راهآهن از یکماه قبل
آرمانملی: با گذشــت بــیش از یک هفته از حمــلات سایبری که وزارت راهوشهرسازی بهویژه راهآهــن کشور را با خلال مواجــه کــرده بود کارشناسان مرکز مدیریت راهــبردی امنیت فضای تولید و تبادل اطلاعات ریاستجمهوری (افتا) از نفوذ هکرها یکماه پیش از مشخصشدن حمله خبر دادهاند که نشاندهنده برنامهریزی حملهکنندگان داشته است. موضوعی که به گفته تحلیلگــران، هـکــرها توانستهاند با استفاده از کمتوجهی به الزامات امنیتی بهویژه در زمــان دورکاری به سیستم نفوذ پیدا کنند. براساس این گزارش مرکز مــدیریت راهبردی امنیت فضای تولید و تبــادل اطلاعــات ریاست جمهوری (افتا) در پی حملات سایبری که هفته گذشته رخ داده اســت، اعلام کرد: عملکرد ضعیف برخــی دستگاههــای دارای زیرساختهــای حیــاتی در اجرای الزامات امنیتی ابلاغ شـده و کمتوجهی به هشدارهای افتا، آنها را در برابر حملات سایبری، کمدفاع و یا سیستم امنیت سایبری آنان را سست میکند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است. بهعقیده کارشناسان افتا، این بیتوجهیها موجب شده است تا برخی سازمانها، اینترنت و اینترانت را همچنان باهم و در یــک سیستم استفاده کنند، بر
دسترسیهای از راهدور خود کنترل مناسبــی نداشته باشند و آسیبپذیریهــای اعلام شده را بهموقع بروزرسانی نکنند. کارشناسان امنیت سایبری افتا یادآور شدند: نتایج بررسیهای کارشناسان امنیت سایبری افتا نشان میدهد که مهاجمان توانستهاند به برخی از مدیریت سیستمها، دسترســی یافته و موجب اختلال در عملکرد عادی آنها شوند.
ضعف امنیتی در دورکاریها
بهگفته این کارشناســان نفـوذ به سامانههای وزارت راه و شهــرسازی و شرکت راهآهن، حداقل یکماه قبل از مشخصشدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را، حدود 7 روز قبل از حادثه سایبری آماده کردهاند. براساس نظر کارشناسان افتا، مهاجمان سایبــری در هر دو حملــه سایبری، تنظیمات لودشدن سیستمها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مــدیرسیستم(Admin) ایجــاد و حالت بازیابی را در بــرخی سیستمها غیرفعــال کــرده بودند. بررسی کارشناسان امنیت سایبری فتا نشــان میدهــد کــه بــهدلیــل زمانبربودن تخریب دیتاها، مهاجمان به تخــریب برخی از ساختــارهای دیتــا بســنده کــردهاند. مهــاجم یا مهاجمان سایبری در صورتیکه در حمله سایبری خود، کنترل سیستم را بهدست گیرند، همه زیرساختهای IP را تخریب میکنند و بیشترین ضربه را وارد میکنند که خوشبختانه در حملات اخیر بهدلایل مختلف از جمله منفکبودن سرور اصلی این اتفاق نیفتاده است و
سرورهای فرعی خسارت دیده، سریع جایگزین شدند. کارشناسان امنیت سایبری مرکز افتا، همچنین گفتند: رعایتنکردن مســائل امنیتــی در دورکاریهــا، سیستمهای ناقص، سهلانگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروزنکردن ضدویروسها، سرمایهگذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است. مهاجم یا مهاجمان سایبری از آسیبپذیریهای خطرناکی که در سیستمهای عامل ویندوز کشف و از طریق مرکز افتا به دستگاههای دارای زیرساخت حیاتی کشور برای ترمیم آنها در کوتاهترین زمان، اطلاعرسانی دقیق شده بود، در برخی فرآیند نفوذ، بهرهبرداری کردهاند. تغییر امتیازات و دسترسیهای موجود در سیستم و ارتباط با سرور از راهدور از دیگر اقدامات مهاجمان سایبری به سیستمهای وزارت راهوشهرسازی و شرکت راهآهن بوده است. مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمانهای زیرساختی میخواهد تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware پــورتهای مدیریتــی سرورهــا و تجهیزات ILO و IPMI سیستمهای خود اعمال کنند.
چه باید کرد؟
لــزوم اجــرای دقــیق مــدیریت مخاطرات سایبری و همچنین رصـد مستمر آسیب پذیرهای و وصله فوری آنها و جمــعآوری و پـایش لاگ و رویدادهای امنیتی مربوط به سامانهها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیر ســاخت برشمــرده شده است. بروزرسانی مستمر آنتیویروس سرور و کلاینــتها، محدودسازی دسترسی خدمـات پرکاربرد بدون نیاز به ارتباطات بیــنالمللی، جداسازی شبکههای سامانههای زیرساختی از سایر شبکــههای غیــرقابل اعتماد مانند اینتــرنت، از دیگر اقدامات پیشگیرانه برای مقابلــه با حملات ســایبری برشمــرده شــده است. کارشناسان مرکز مدیــریت راهبردی افتا، همچنین تغییر مستمــر و دقیق گذرواژه همه حسابهای کاربری دارای سطح دسترسی بالا در سامانهها و تجهیزات شبکه، بازبینی دسترسی سطح ادمینهای شبکه، غیرفعالسازی پورتهای بلااستفاده و سرویسهای غیرضروری، مسدودسازی دسترسی از راهدور برای مدیریت تجهیزات و سامانههای حیاتی را از اقدامهای پیشگیرانه برای نفوذ به سیستمهای سازمانی برمیشمارند. مرکز مدیریت راهــبردی افتــا تاکید کرده است کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیرساخت
موظفند، از دیتاهای سازمان خود، بهطور منظم نسخههای پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.
ارسال نظر