پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
حمله سایبری به مراکز داده ایران چه بود و چه شد؟ / گمانهزنیها بر سر هدف حمله
جمعه ساعت 20:15 دقیقه، 17 فروردین ماه، سایتهای داخلی متعددی با مشکل مواجه شدند. کمی بعد خبر رسید چند مرکز داده بزرگ کشور مورد حمله سایبری قرار گرفتهاند. مدت زمان زیادی از این اتفاق نگذشته بود که محمدجواد آذری جهرمی حساب توییر خود نوشت: «امشب برخی مراکز داده کشور با حمله سایبری مواجه شدهاند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند. مرکز ماهر با یاری رساندن به این مراکز داده، حمله را کنترل و در حال اصلاح شبکههای آنان و برگرداندن وضعیت به حالت طبیعی است. تلاشها برای ناامن جلوهدادنها یک فرصت برای اصلاح اشکالهاست. دامنه این حملات فراتر از ایران است و منشا حملات در دست بررسی است.»
کمی بعد مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای یا همان ماهر نیز درباره این حمله اطلاعیهای منتشر و در آن اعلام کرد: «طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده است. تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف شده است. در موارد بررسی شده پیغامی با این مذمون در قالب startup-config مشاهده شد.»
دلیل اصلی مشکل وجود ایرادات و حفرههای امنیتی در ویژگی smart install client تجهیزات سیسکو اعلام شد و مرکز ماهر گفت هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیبپذیری مذکور قرار دارد و مهاجمان میتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند.
بنابراین مرکز ماهر به مدیران سیستمهای آسیب دیده توصیه کرد قابلیت آسیب پذیر smart install client را در سیستم خود با اجرای دستور no vstack غیر فعال کنند.
سرهنگ دوم علی نیکنفس، رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا نیز اعلام کرد: «بررسیهای اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشاندهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت است.»
او گفت: «حدود یکسال قبل نیز شرکت سیسکو هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور (smart install client) بر روی آنها فعال است را منتشر کرده بود.»
نیکنفس همچنین اخطار داد: «به علاوه با توجه به اینکه حمله مزبور بر روی پورت 4786TCP صورت گرفته، بستن ورودی این پورت هم بر روی فایروالهای شبکه توصیه میشود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات سیسکو، لازم است آخرین نسخههای پیشنهادی شرکت سیسکو بهروزرسانی شود و نقصهای امنیتی رفع شود.»
رئیس مرکز تشخیص و پیشگیری از جرائم سایبری پلیس فتا تاکید کرد: «مردم نگران موضوعی نباشند چرا که در این حمله هیچ نشت یا سرقت اطلاعات کاربران رخ نداده است و تنها به تجهیزات آسیب وارد شده است.»
او همچنین گفت: «ما 18 روز قبل مشکل را اطلاعرسانی کردیم و اگر مدیران سایتها و افرادی که مورد حمله قرار گرفتند، این هشدار را جدی میگرفتند، اکنون دچار این مشکل نمی شدند.»
مطابق گفته آذری جهرمی ایران تنها هدف این حمله گسترده نبود و چند کشور دیگر از جمله روسیه را به صورت سراسری مورد حمله قرار دادند. در حقیقت به نظر میرسد هکرها با ترسیم پرچم آمریکا و نوشتن عبارت «Don’t mess with our elections» در کانفیگ این تجهیزات کشور روسیه را مخاطب این حملات قرار دادهاند.
از ترکش این حملات سایتهایی مانند کافهبازار، مرکز ثبت دامنه کشوری ایران، سایت تماشای آنلاین شبکههای تلویزیونی، وبسایت دیوار، باشگاه خبرنگاران جوان، سایت خبری انتخاب، شبکه اطلاعرسانی دانا و وبسایتهای دیگر مشابه آنها با اختلال مواجه شده بودند. با این همه کمی بعد با پیگیری مراکز متعدد این مشکل برطرف شد و آذری جهرمی در توییت دوم خود ساعت 12:42 دقیقه نیمه شب اعلام کرد: «تاکنون بیش از 95 درصد از مسیریابهای متاثر از حمله به حال عادی بازگشتند و سرویسدهی را از سر گرفتند.»
در نهایت مراکز داده افرانت، رسپینا، شاتل، آسیاتک و مانند آنها به سرویسدهی خود بازگشتند. آذری جهرمی نیز در دو توییتی که ظهر شنبه در حساب کاربری خود منتشر کرد از حل نسبی بحران پیش آمده خبر داد و گفت: «حدود 3500 مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور، متاثر از حمله شدهاند. عملکرد شرکتها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. ضعف در اطلاع رسانی مرکز ماهر به شرکتها و نیز ضعف در پیکرهبندی مراکز داده وجود داشته است.»
وزیر ارتباطات و فناوری اطلاعات همچنین در توییت بعدی خود گزارش کوتاهی از جلسه فوری تشکل شده ارائه داد: «لحظاتی پیش جلسه اضطراری بررسی حمله شب گذشته خاتمه یافت و تا ساعاتی دیگر بیانیه رسمی نتایج از سوی روابط عمومی وزارت ارتباطات منتشر خواهد شد. هسته شبکه ملی ارتباطات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بودهاند.»