نفوذ هکرها به راه‌آهن از یکماه قبل

آرمان‌ملی: با گذشــت بــیش از یک هفته از حمــلات سایبری که وزارت راه‌وشهرسازی به‌ویژه راه‌آهــن کشور را با خلال مواجــه کــرده بود کارشناسان مرکز مدیریت راهــبردی امنیت فضای تولید و تبادل اطلاعات ریاست‌جمهوری (افتا) از نفوذ هکرها یکماه پیش از مشخص‌شدن حمله خبر داده‌اند که نشان‌دهنده برنامه‌ریزی حمله‌کنندگان داشته است. موضوعی که به گفته تحلیلگــران، هـکــرها توانسته‌اند با استفاده از کم‌توجهی به الزامات امنیتی به‌ویژه در زمــان دورکاری به سیستم نفوذ پیدا کنند. براساس این گزارش مرکز مــدیریت راهبردی امنیت فضای تولید و تبــادل اطلاعــات ریاست جمهوری (افتا) در پی حملات سایبری که هفته گذشته رخ داده اســت، اعلام کرد: عملکرد ضعیف برخــی دستگاه‌هــای دارای زیرساخت‌هــای حیــاتی در اجرای الزامات امنیتی ابلاغ شـده و کم‌توجهی به هشدارهای افتا، آنها را در برابر حملات سایبری، کم‌دفاع و یا سیستم امنیت سایبری آنان را سست می‌کند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است. به‌عقیده کارشناسان افتا، این بی‌توجهی‌ها موجب شده است تا برخی سازمان‌ها، اینترنت و اینترانت را همچنان باهم و در یــک سیستم استفاده کنند، بر دسترسی‌های از راه‌دور خود کنترل مناسبــی نداشته باشند و آسیب‌پذیری‌هــای اعلام شده را به‌موقع بروزرسانی نکنند. کارشناسان امنیت سایبری افتا یادآور شدند: نتایج بررسی‌های کارشناسان امنیت سایبری افتا نشان می‌دهد که مهاجمان توانسته‌اند به برخی از مدیریت سیستم‌ها، دسترســی یافته و موجب اختلال در عملکرد عادی آنها شوند.
ضعف امنیتی در دورکاری‌ها
به‌گفته این کارشناســان نفـوذ به سامانه‌های وزارت راه و شهــرسازی و شرکت راه‌آهن، حداقل یکماه قبل از مشخص‌شدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را، حدود 7 روز قبل از حادثه سایبری آماده کرده‌اند. براساس نظر کارشناسان افتا، مهاجمان سایبــری در هر دو حملــه سایبری، تنظیمات لودشدن سیستم‌ها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مــدیرسیستم(Admin) ایجــاد و حالت بازیابی را در بــرخی سیستم‌ها غیرفعــال کــرده بودند. بررسی کارشناسان امنیت سایبری فتا نشــان می‌دهــد کــه بــه‌دلیــل زمانبربودن تخریب دیتاها، مهاجمان به تخــریب برخی از ساختــارهای دیتــا بســنده کــرده‌اند. مهــاجم یا مهاجمان سایبری در صورتیکه در حمله سایبری خود، کنترل سیستم را به‌دست گیرند، همه زیرساخت‌های IP را تخریب می‌کنند و بیشترین ضربه را وارد می‌کنند که خوشبختانه در حملات اخیر به‌دلایل مختلف از جمله منفک‌بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند. کارشناسان امنیت سایبری مرکز افتا، همچنین گفتند: رعایت‌نکردن مســائل امنیتــی در دورکاری‌هــا، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروزنکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است. مهاجم یا مهاجمان سایبری از آسیب‌پذیری‌های خطرناکی که در سیستم‌های عامل ویندوز کشف و از طریق مرکز افتا به دستگاه‌های دارای زیرساخت حیاتی کشور برای ترمیم آنها در کوتاه‌ترین زمان، اطلاع‌رسانی دقیق شده بود، در برخی فرآیند نفوذ، بهره‌برداری کرده‌اند. تغییر امتیازات و دسترسی‌های موجود در سیستم و ارتباط با سرور از راه‌دور از دیگر اقدامات مهاجمان سایبری به سیستم‌های وزارت راه‌وشهرسازی و شرکت راه‌آهن بوده است. مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمان‌های زیرساختی می‌خواهد تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware پــورت‌های مدیریتــی سرورهــا و تجهیزات ILO و IPMI سیستم‌های خود اعمال کنند.
چه باید کرد؟
لــزوم اجــرای دقــیق مــدیریت مخاطرات سایبری و همچنین رصـد مستمر آسیب پذیرهای و وصله فوری آنها و جمــع‌آوری و پـایش لاگ و رویدادهای امنیتی مربوط به سامانه‌ها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیر ســاخت برشمــرده شده است. بروزرسانی مستمر آنتی‌ویروس سرور و کلاینــت‌ها، محدودسازی دسترسی خدمـات پرکاربرد بدون نیاز به ارتباطات بیــن‌المللی، جداسازی شبکه‌های سامانه‌های زیرساختی از سایر شبکــه‌های غیــرقابل اعتماد مانند اینتــرنت، از دیگر اقدامات پیشگیرانه برای مقابلــه با حملات ســایبری برشمــرده شــده است. کارشناسان مرکز مدیــریت راهبردی افتا، همچنین تغییر مستمــر و دقیق گذرواژه همه حساب‌های کاربری دارای سطح دسترسی بالا در سامانه‌ها و تجهیزات شبکه، بازبینی دسترسی سطح ادمین‌های شبکه، غیرفعالسازی پورت‌های بلااستفاده و سرویس‌های غیرضروری، مسدودسازی دسترسی از راه‌دور برای مدیریت تجهیزات و سامانه‌های حیاتی را از اقدام‌های پیشگیرانه برای نفوذ به سیستم‌های سازمانی برمی‌شمارند. مرکز مدیریت راهــبردی افتــا تاکید کرده است کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیرساخت موظفند، از دیتاهای سازمان خود، به‌طور منظم نسخه‌های پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.