راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

حمله سایبری به مراکز داده ایران چه بود و چه شد؟ / گمانه‌زنی‌ها بر سر هدف حمله

جمعه ساعت ۲۰:۱۵ دقیقه، ۱۷ فروردین ماه، سایت‌های داخلی متعددی با مشکل مواجه شدند. کمی بعد خبر رسید چند مرکز داده بزرگ کشور مورد حمله سایبری قرار گرفته‌اند. مدت زمان زیادی از این اتفاق نگذشته بود که محمدجواد آذری جهرمی حساب توییر خود نوشت: «امشب برخی مراکز داده کشور با حمله سایبری مواجه شده‌اند. تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای تغییر یافته‌اند. مرکز ماهر با یاری رساندن به این مراکز داده، حمله را کنترل و در حال اصلاح شبکه‌های آنان و برگرداندن وضعیت به حالت طبیعی است. تلاش‌ها برای ناامن جلوه‌دادن‌ها یک فرصت برای اصلاح اشکال‌هاست. دامنه این حملات فراتر از ایران است و منشا حملات در دست بررسی است.»

کمی بعد مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای یا همان ماهر نیز درباره این حمله اطلاعیه‌ای منتشر و در آن اعلام کرد: «طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده است. تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف شده است. در موارد بررسی شده پیغامی با این مذمون در قالب startup-config مشاهده شد.»

دلیل اصلی مشکل وجود ایرادات و حفره‌های امنیتی در ویژگی smart install client تجهیزات سیسکو اعلام شد و مرکز ماهر گفت هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار دارد و مهاجمان می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند.

بنابراین مرکز ماهر به مدیران سیستم‌های آسیب دیده توصیه کرد قابلیت آسیب پذیر smart install client را در سیستم خود با اجرای دستور no vstack غیر فعال کنند.

سرهنگ دوم علی نیک‌نفس، رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا نیز اعلام کرد: «بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان‌دهنده وجود این نقص امنیتی در بیش از ۱۶۸ هزار ابزار فعال در شبکه اینترنت است.»

او گفت: «حدود یک‌سال قبل نیز شرکت سیسکو هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور (smart install client) بر روی آنها فعال است را منتشر کرده بود.»

نیک‌نفس همچنین اخطار داد: «به علاوه با توجه به اینکه حمله مزبور بر روی پورت ۴۷۸۶TCP صورت گرفته، بستن ورودی این پورت هم بر روی فایروال‌های شبکه توصیه می‌شود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات سیسکو، لازم است آخرین نسخه‌های پیشنهادی شرکت سیسکو به‌روزرسانی شود و نقص‌های امنیتی رفع شود.»

رئیس مرکز تشخیص و پیشگیری از جرائم سایبری پلیس فتا تاکید کرد: «مردم نگران موضوعی نباشند چرا که در این حمله هیچ نشت یا سرقت اطلاعات کاربران رخ نداده است و تنها به تجهیزات آسیب وارد شده است.»

او همچنین گفت: «ما ۱۸ روز قبل مشکل را اطلاع‌رسانی کردیم و اگر مدیران سایت‌ها و افرادی که مورد حمله قرار گرفتند، این هشدار را جدی می‌گرفتند، اکنون دچار این مشکل نمی شدند.»

مطابق گفته آذری جهرمی ایران تنها هدف این حمله گسترده نبود و چند کشور دیگر از جمله روسیه را به صورت سراسری مورد حمله قرار دادند. در حقیقت به نظر می‌رسد هکرها با ترسیم پرچم آمریکا و نوشتن عبارت «Don’t mess with our elections» در کانفیگ این تجهیزات کشور روسیه را مخاطب این حملات قرار داده‌اند.

از ترکش این حملات سایت‌هایی مانند کافه‌‌بازار، مرکز ثبت دامنه کشوری ایران، سایت تماشای آنلاین شبکه‌های تلویزیونی، وب‌سایت دیوار، باشگاه خبرنگاران جوان، سایت خبری انتخاب، شبکه اطلاع‌رسانی دانا و وب‌سایت‌های دیگر مشابه آنها با اختلال مواجه شده بودند. با این همه کمی بعد با پیگیری مراکز متعدد این مشکل برطرف شد و آذری جهرمی در توییت دوم خود ساعت ۱۲:۴۲ دقیقه نیمه شب اعلام کرد: «تاکنون بیش از ۹۵ درصد از مسیریاب‌های متاثر از حمله به حال عادی بازگشتند و سرویس‌دهی را از سر گرفتند.»

در نهایت مراکز داده افرانت، رسپینا، شاتل، آسیاتک و مانند آنها به سرویس‌دهی خود بازگشتند. آذری جهرمی نیز در دو توییتی که ظهر شنبه در حساب کاربری خود منتشر کرد از حل نسبی بحران پیش آمده خبر داد و گفت: «حدود ۳۵۰۰ مسیریاب از مجموع چندصد هزار مسیریاب شبکه کشور، متاثر از حمله شده‌اند. عملکرد شرکت‌ها در دفع حمله و بازگردانی به شرایط عادی مناسب ارزیابی شده است. ضعف در اطلاع رسانی مرکز ماهر به شرکت‌ها و نیز ضعف در پیکره‌بندی مراکز داده وجود داشته است.»

وزیر ارتباطات و فناوری اطلاعات همچنین در توییت بعدی خود گزارش کوتاهی از جلسه فوری تشکل شده ارائه داد: «لحظاتی پیش جلسه اضطراری بررسی حمله شب گذشته خاتمه یافت و تا ساعاتی دیگر بیانیه رسمی نتایج از سوی روابط عمومی وزارت ارتباطات منتشر خواهد شد. هسته شبکه ملی ارتباطات در شرکت ارتباطات زیرساخت و نیز شبکه اپراتورهای موبایل به دلیل توجه به هشدار و انجام اقدامات از حمله در امان بوده‌اند.»

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.