تفاهم نامه هنگ کنگ و سنگاپور برای حفاظت از داده های شهروندان

کمیسیونرهای حفاظت از داده‌های شخصی دو کشور هنگ کنگ و سنگاپور تفاهم نامه‌ای به منظور حفاظت از داده‌های شخصی شهروندان این دو کشور در فضای مجازی امضا کردند.
 
به گزارش زددی نت، بر اساس این تفاهم نامه دو کشور برای کمک به حفظ حریم شخصی و پاسداری از اطلاعات دیجیتال کاربران خود با یکدیگر همکاری خواهند کرد.
 
تبادل اطلاعات در مورد حملات هکری و موارد احتمالی تلاش برای سرقت اطلاعات شهروندان، اجرای طرح‌های تحقیقاتی مشترک و به اشتراک گذاری اطلاعات و تجربیات از جمله دیگر بخش‌های این تفاهم نامه خواهد بود.
 
دو طرف پیشبرد اقتصاد دیجیتال و کمک به استفاده بهینه از امکانات فضای مجازی را از جمله دلایل عقد این تفاهم نامه عنوان کرده‌اند. قرار است به منظور عملیاتی شدن این تفاهم نامه نشست مشترکی بین دو طرف در شهریور ماه نیز برگزار شده و دستگاه‌های قضائی طرفین نیز با یکدیگر همکاری کنند.

نفوذ به وب سرور آپاچی برای انتقال بدافزار استخراج رمزارز

پژوهشگران امنیتی در Sophos اخیرا روش حمله جدیدی را مشاهده کرده‌اند که در آن یک وب سرور اجراکننده Apache Tomcat هدف قرار گرفته است. تلاش مهاجمین در این حمله انتقال بدافزار استخراج رمز ارز به سرور قربانی بوده است.
 
به گزارش لابراتوار امنیتی Sophos، دلیل اصلی وقوع این حمله استفاده از گذرواژه‌هایی که به راحتی قابل حدس زدن هستند یا گذرواژه‌های ضعیف در صفحه مدیریت Tomcat است. مرحله اول حمله با بهره‌برداری از روش جستجوی فراگیر (brute-force) در پنل ادمین Tomcat انجام شده است.
 
پس از حدس گذرواژه سرور، مهاجمین یک درخواست HTTP POST به سرور ارسال می‌کنند. درخواست POST به صفحه ادمین Tomcat انجام می‌شود که این صفحه دارای قابلیت بارگذاری برنامه‌های وب به سرور است. این برنامه‌ها در قالب فایل‌هایی با پسوند war هستند. سپس، مهاجم یک فایل war دلخواه با نام admin-manager.war به سرور ارسال می‌کند که حاوی یک فایل JSP مخرب با نام admin.jsp است. این فایل دارای سه قابلیت ایجاد اطلاعات پروفایل سیستمی، ساخت فایل جدید روی سرور Apache یا اجرای دستور در سرور است.
 
در حمله مشاهده شده توسط Sophos، مهاجمین دستوراتی را به منظور راه‌اندازی کاوش‌گر رمز ارز در سیستم، اجرا کردند. این دستورات در ابتدا فرایندهای پردازشی WMIC.exe، RegSvr۳۲.exe و PowerShell.exe را متوقف می‌کند و سپس وجود PowerShell ۱,۰ در مسیر %systemroot%System۳۲WindowsPowerShellv۱.۰PowerShell.exe را بررسی می‌کند که مهاجم از آن برای اجرای اسکریپت استفاده می‌کند. در صورت عدم وجود این فایل، از فایل RegSvr۳۲.exe استفاده می‌شود.
 
اسکریپت‌های مخرب مهاجم که بصورت زنجیره‌ای اجرا می‌شوند، در نهایت منجر به انتقال یک payload به نام Neutrino می‌شوند. این payload با دستکاری مسیر system۳۲ و فایل HOSTS، رکوردهای DNS استخرهای کاوش رمز ارز را بررسی و در صورت نیاز این فایل را ویرایش می‌کند. همچنین، لیستی از فرایندهای پردازشی نیز توسط این payload بررسی می‌شوند که در صورت وجود متوقف شوند. Payload اصلی کاوش‌گر در مرحله آخر منتقل می‌شود و با استفاده از منابع سرور، به استخراج رمز ارز می‌پردازد.
 
با توجه به روش نفوذ اولیه مهاجمین، با استفاده از گذرواژه‌های قوی و مناسب، می‌توان از این نوع حمله جلوگیری کرد.
 
نشانه‌های آلودگی (IoC):
دامنه‌ها و آدرس IP:
•    ۱۳۴,۱۷۵.۳۳.۷۱
•    xmr.usa-۱۳۸.com
•    wk.ctosus.ru
•    down.ctosus.ru
•    blog.ctoscn.ru
•    down,۹ni.top
•    down.sxly۵۱۸.xyz
•    gowel.top
•    m۴.rui۲.net
 
URLها:
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/PSN/_DL.ps۱
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴_VMP.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶_VMP.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/_WMI.ps۱
 
هش فایل DL.php:
•    ۲F۹۰۸ECDC۲۰۹۲۳D۷۰۳F۰۵DA۶EEDE۷۶EB۱۴DCA۲۹۶
 

ناظمی: مرکز ماهر درباره احتمال حمله هکرها به تامین اجتماعی هشدار داده بود

«امیر ناظمی» رئیس سازمان فناوری اطلاعات درباره از دسترس خارج شدن چند ساعته سایت تامین اجتماعی که روز پنجشنبه اتفاق افتاده بود، گفت که قبل از هک شدن سامانه تامین اجتماعی، مرکز ماهر دو مرتبه و در فواصل مختلف به آن‌ها هشدار داده بود. به گفته ناظمی تامین امنیت سازمان تامین اجتماعی و مقابله با حمله‌ هکرها به سایت این سازمان برعهده «افتا» بوده است اما با این حال مرکز ماهر پس از پایش طرح «دژفا» دوبار در مورد احتمال حمله به صورت دوستانه به تامین اجتماعی هشدار داده بود.
 
پس از اینکه سایت سازمان تامین اجتماعی در روز پنج شنبه نهم خرداد ماه برای چند ساعتی از دسترس خارج شد، «محمد حسن زدا» سرپرست سازمان تامین اجتماعی، اعلام کرد که امنیت کامل تمامی سامانه‌ها، اطلاعات و سوابق بیمه‌شدگان، مستمری‌بگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست. هرچند اطلاعات کاربران دست نخورده باقی ماند اما همین حمله چند ساعته، ضعف امنیتی سامانه‌های مهمی مانند تامین اجتماعی را نشان داد که می‌تواند خسارات بسیاری به دنبال داشته باشد.
 
بر همین اساس رئیس سازمان فناوری اطلاعات جزئیاتی در مورد این اتفاق و اینکه طرح دژفا چطور سامانه‌های مهم کشور را رصد و پایش می‌کند را بیان کرد. ناظمی در گفتگو با ایرنا گفت طبق قوانین و مقررات ایران، هر دستگاهی مسئولیت جمع‌آوری داده‌های مخصوص به خود و محافظت از آنها را برعهده دارد؛ اما زمانی که رخداد و جرایمی اتفاق می‌افتد، نوبت به «نظام مقابله» با آنها می‌رسد که با بحران‌های این چنینی مقابله کند. ناظمی می‌گوید در نظام مقابله، بانک‌های داده دستگاه‌ها به سه دسته تقسیم می‌شوند:
 
«دسته اول سازمان‌های حساس هستند که مسئولیت مقابله با رخداد در این سازمان‌ها به «افتا» ریاست جمهوری (امنیت فضای تولید و تبادل اطلاعات کشور) بر می‌گردد. سازمان تأمین اجتماعی نیز جزو دستگاه‌هایی است که افتا مسئولیت رسیدگی به رخدادهای احتمالی آن را برعهده دارد. دسته دوم کسب‌وکارها هستند که مقابله با جرایمی که در خصوص آنها رخ می‌دهد، برعهده پلیس فتاست. مقابله با رخدادهای بقیه سازمان‌های دولتی نیز بر عهده وزارت ارتباطات و مرکز ماهر است.»
 
بر اساس گفته‌های ناظمی سازمان فناوری اطلاعات ایران و مرکز ماهر عملاً در این رخدادهای بانکی، تأمین اجتماعی و کسب‌وکارها مسئولیتی ندارد و به همین دلیل سعی شده تا اطلاع‌رسانی در این خصوص انجام ندهند. به گفته او سازمان فناوری معمولاً به این مسائل حتی اگر در حوزه وظایف خود نباشد، دوستانه کمک می‌کند برای مثال اخطارهایی به سازمان تامین اجتماعی داده بودند: «سازمان فناوری طی دو مرحله، یک‌بار یک ماه قبل و یک بار دو روز قبل از هک شدن سایت، به آنها در نامه‌ای گوشزد کردیم، مشکلاتی وجود دارد که ممکن است منجر به آسیب‌پذیری سایت‌شان شود. سازمان فناوری بر اساس طرح دژفا، پایشی را به صورت مداوم روی سایت‌ها و سامانه‌های دولتی انجام می‌دهد و پس از رصد آن‌ها، نقاط آسیب‌پذیرشان را شناسایی می‌کند. پس از شناسایی آسیب نیز شروع می‌کند به اخطار دادن. هر دو مرتبه به همین شکل به سازمان تأمین اجتماعی اخطار داده دادیم.»
 
رئیس سازمان فناوری اطلاعات تاکید دارد زمانی که به واسطه پایش طرح دژفا، آسیبی شناسایی می‌شود یا تغییراتی در حوزه تنظیمات سایت‌ها رخ می‌دهد، اخطارهای لازم ابلاغ می‌شود. او  به ماجرای هک شدن سایت تپسی در هفته‌های قبل اشاره می‌کند و می‌گوید: «قبل از اینکه دسترسی به اطلاعات برخی از صورت حساب‌های تپسی رخ دهد، با همین روش پایش از طریق ایمیل به آن‌ها هشدار داده بودیم، اما مدیر امنیت ایمیل خود را چک نکرده بود و متأسفانه آن نفوذ اتفاق افتاد.»
 
ناظمی در بخش دیگری از صحبت‌های خود، گفته‌های زدا مبنی بر عدم دسترسی هکرها به بانک داده‌ها و اطلاعات مردم را تائید کرد و در خصوص برنامه‌های آتی سازمان فناوری اطلاعات در این خصوص افزود که پس از تجربیات اخیری که در خصوص هک کسب‌وکارهای اینترنتی و مواردی شبیه سایت تأمین اجتماعی به دست آمده‌ است، این سازمان سعی دارد پیشنهاداتی در مورد بهبود نظام مقابله با چنین رخدادهایی را به شورای عالی فضای مجازی ارائه کنند تا در موقعیت‌های مشابه رفتارهای بهتری نشان دهند.
 
او درباره اینکه آیا قرار است سازمان فناوری اطلاعات از هکرهای کلاه سفید استفاده کند و بودجه‌ای برای تشویق آن‌ها در حوزه شناسایی آسیب سایت‌ها اختصاص دهد نیز توضیح داد: «اکنون سایت «کلاه سفید» با همین محوریت توسعه داده شده است. بودجه‌ای برای استفاده از توانمندی هکرهای کلاه سفید در نظر گرفته شده و جوایز نیز روی سایت قرار دارند. البته با توجه به محدودیت‌های منابع دولتی، این جوایز مبلغ زیادی را شامل نمی‌شوند اما در نظر داریم سازمان‌ها را نیز به استفاده «باگ بانتی» تشویق کنیم. تا آن‌ها به صورت داوطلبانه بیایند و آسیب‌پذیری‌هایشان را از طریق مشارکتی که هکرهای کلاه سفید انجام می‌دهند، بهبود ببخشند.»
 
با اینکه سازمان فناوری طبق همان دسته‌بندی، مسئولیتی در قبال برخی سازمان‌ها ندارد، اما به گفته ناظمی هم به دلیل وظیفه ملی و هم به این دلیل مهم که آن‌ها سامانه توانمندتری برای شناسایی آسیب‌های این‌چنین دارند، همواره آماده کمک‌رسانی به سازمان‌ها خواهند بود.
 
آنطور که تحقیقات نشان می‌دهد هک سایت سازمان تامین اجتماعی به دست گروهی موسوم به گروه تپندگان صورت گرفته که چندی پیش شهرداری تهران و فرودگاه‌های برخی از شهرهای کشور را نیز هک کرده بودند.

حمله اینترنتی به سامانه تامین اجتماعی و توضیح سرپرست سازمان

سرپرست سازمان تامین اجتماعی در پی حمله اینترنتی یک گروه خرابکار به سامانه‌ سازمان، اعلام کرد که امنیت کامل تمامی سامانه‌ها، اطلاعات و سوابق بیمه‌شدگان، مستمری‌بگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست.
 
محمد حسن زدا در صفحه اینستاگرام خود در این باره نوشت: لازم است از تلاش و همدلی کارشناسان حوزه راهبری سیستم‌های سازمان تأمین اجتماعی، شرکت خدمات ماشینی تأمین و سایر ادارات کل و عزیزانی که در روز گذشته تا بامداد امروز با تلاش خود توانستند از تمامی سامانه‌های اطلاعاتی سازمان تأمین اجتماعی در برابر حملات گروه خرابکار اینترنتی محافظت کنند تقدیر و تشکر کنم.
 
وی افزود: همکاران بنده در کمترین زمان ممکن از این حمله آگاه، در سریع‌ترین زمان ممکن وارد عمل شده و مقابله کرده و ابعاد فنی را بطور کامل بررسی و اقدامات لازم را انجام دادند.
 
سرپرست سازمان تأمین اجتماعی با اشاره به اینکه البته این گروه برای دقایق بسیار کوتاهی توانست به سایت خبری سازمان؛ تاکید می‌کنم سایت خبری، نفوذ کرده و اطلاعات مبهم و دستکاری شده خود را منتشر کند که بلافاصله با واکنش کارشناسان سازمان مواجه شد گفت: خوشبختانه بررسی‌های دقیق تیم‌های فنی حکایت از صحت و سلامت تمامی سامانه‌ها، اطلاعات و سوابق بیمه‌شدگان، مستمری‌بگیران و کارفرمایان عزیز دارد و جای هیچ نگرانی نیست.
 
زدا تاکید کرد: در ضمن مراکز و نهادهای مسئول نیز پیگیری‌های لازم و قانونی را از ساعت‌های اولیه دیروز آغاز کرده‌اند که از این عزیزان هم سپاسگزارم.
 

اعتراض گوگل، اپل و واتس‌اپ به طرح بریتانیا برای شنود چت‌های امن

ستاد ارتباطات دولتی بریتانیا (GCHQ) که یک سازمان اطلاعاتی و امنیتی به حساب می آید در ماه نوامبر سال گذشته میلادی در مجموعه ای از مقالات پیشنهاد استراق سمع پیام های رمز نگاری شده را ارائه داده بود. البته این موضوع الزاماً به معنی دستور العمل قانونی این سازمان نبود اما همین پیشنهاد، نگرانی 47 شرکت تکنولوژیک در سطح جهان را بر انگیخته است.
 
در این مقالات دو مقام امنیتی ارشد بریتانیایی اشاره کرده بودند که باید گزینه ای مخفیانه برای شنود در هر مکالمه با پیام های رمز نگاری شده در نظر گرفته شود. به عبارت دیگر این موضوع مشابه این است که یک کپی از تمامی مکالمات رمز نگاری شده در اختیار مقامات امنیتی قرار گیرد؛ در حالی که کاربران هم نباید از این موضوع آگاه شوند. به گفته تهیه کنندگان این پیشنهاد، در مقایسه با راهکارهای کنونی که برای شنود مکالمات تلفنی امن به کار گرفته می شود، شنود مکالمات پیام های رمز نگاری شده تهاجمی تر نخواهد بود.
 
به نقل از وبسایت ورج گروه معترض به این موضوع که شامل اپل، گوگل، مایکروسافت و واتس اپ هستند در نامه ای سر گشاده به شدت از پیشنهاد ارائه شده انتقاد کرده و اعلام کرده اند که این طرح می تواند امنیت را کم اهمیت جلوه دهد و اعتماد به سرویس های پیام رسانی رمز نگاری شده را خدشه دار کند. علاوه بر این در نهایت می تواند به زیر پا گذاشتن حقوق شهروندی در زمینه آزادی بیان و حفظ حریم شخصی منجر شود.
 
البته چنین پیشنهادی در صورت اجرایی شدن ممکن است عدم نیاز به تعبیه درب پشتی برای پروتکل های پیام رسان امن را به همراه داشته باشد. امضا کنندگان این اعتراض معتقدند که بر اساس پیشنهاد ارائه شده، اپ های پیام رسان باید نحوه استفاده از رمز نگاری را دستخوش تغییراتی کنند. علاوه بر این باید با پنهان کردن این که چه موجودیت ثالثی در چت حضور دارد، کاربران را فریب دهند.
 
«لان لِوی»، از مرکز امنیت ملی سایبری بریتانیا از افرادی بوده که در تهیه پیشنهاد نقش داشته. لوی در پاسخ به معترضین اعلام کرده که پیشنهاد تنها فرضی و به عنوان یک نقطه برای آغاز بحث ها در این باره است. به گفته او مشارکت با علاقمندان ادامه پیدا می کند و [تهیه کنندگان پیشنهاد] امیدوار به داشتن یک بحث آزاد برای رسیدن به بهترین راه حل های ممکن هستند.

سرورهای MySQL به باج‌افزار آلوده شد

این طور که گزارش‌های جدید نشان می‌دهد، دستکم یک گروه هکری چینی موفق شده است سرورهای مخصوص ویندوز که روی آن پایگاه داده MySQL اجرا می‌شود را اسکن کند و آنها توانسته‌اند این سیستم‌ها را به باج‌افزار GandCrab آلوده کنند.
 
این حملات تا حدودی منحصر به فرد بوده است و شرکت‌های فعال در حوزه امنیت سایبری اعلام کردند که تاکنون هیچ گونه حمله‌ای که سرورهای MySQL روی سیستم‌های ویندوزی را مورد هدف قرار دهد و آنها را به باج‌افزار آلوده کند مشاهده نکرده بودند.
 
«اندرو برنت» مدیر تحقیقات مرکز Sophos که در اصل این حملات را شناسایی کرده بود، از آنها به عنوان «کشف غیرمترقبه» یاد کرد.
 
این محقق امروز با انتشار مطلبی روی وبلاگ رسمی شرکت Sophos  جزییات مربوط به فعالیت هکری جدید و اسکن سرورهای ویندوز را توضیح داد.
 
برنت اعلام کرد هکرها توانسته‌اند پایگاه‌های داده MySQL با قابلیت دسترسی اینترنتی را اسکن کنند. این پایگاه‌ها داده قابلیت پذیرش کدهای دستوری SQL را دارند تا از این طریق وضعیت سرور اصلی که ویندوز روی آن اجرا می‌شود را تحلیل کنند و در این میان هکرها از کدهای دستور مخرب SQL استفاده کردند تا فایل مورد نظر خود را روی سرورها نصب کنند. این اتفاق به آنها امکان داد تا بتوانند باج‌افزار GandCrab را روی سرورهای ویندوزی نصب کنند.
 
در حالی که بیشتر مدیران سیستم به صورت معمول با رمز عبور از سرورهای MySQL خود محافظت می‌کنند، هدف هکرها از اسکن‌های صورت گرفته بهره‌برداری فرصت طلبانه از پایگاه‌های داده‌ فاقد رمز عبور بوده است.
 

نحوه سوءاستفاده از واتس‌اپ برای نصب جاسوس‌افزار

اخیرا جاسوس‌افزاری از طریق نقص در واتس‌اپ شناسایی شد که می‌تواند مکالمات را ضبط کند، پیام‌های خصوصی را به سرقت ببرد، عکس‌ها را پاک و داده‌های موقعیت مکانی را جمع‌آوری کند. البته این آسیب‌پذیری در حال حاضر برطرف شده و برای جلوگیری از آن کاربران باید آخرین نسخه واتس‌اپ را دانلود کنند.
 
واتس‌اپ جزئیات مربوط به یک آسیب‌پذیری جدی در برنامه‌ی پیام‌رسان خود را افشا کرده است که به کلاه‌برداران این امکان را می‌دهد تا از راه دور، جاسوس‌افزاری را در دستگاه‌های آیفون و اندروید به‌سادگی و با برقراری تماس تلفنی با هدف، تزریق کنند.
 
این اشکال که توسط فیس‌بوک کشف شده است، یک آسیب‌پذیری سرریز بافر در تابع VOIP واتس‌اپ است. در این روش که جزئیات آن در مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) آمده است، مهاجم باید با هدف، تماس بگیرد و بسته‌های پروتکل حمل‌ونقل امن (SRTP) را به تلفن ارسال کند تا بتواند از نقص حافظه‌ی موجود در تابع VOIP در واتس‌اپ برای تزریق نرم‌افزارهای جاسوسی و کنترل دستگاه استفاده کند. برای تزریق نرم‌افزار جاسوسی حتی نیازی به پاسخ هدف به تماس نیست و تماس اغلب از ورودی‌های مربوط به تماس پاک می‌شود.
 
سرقت پیام‌های خصوصی
 
در حالی که واتس‌اپ از رمزگذاری سرتاسری (end-to-end) پشتیبانی می‌کند که باید از محتوای ارتباطات بین کاربران محافظت کند، اما اگر دستگاه با نرم‌افزارهای مخرب سازش پیدا کند، این اقدام امنیتی می‌تواند تضعیف شود. این نرم‌افزار مخرب می‌تواند مکالمات را ضبط کند، پیام‌های خصوصی را به سرقت ببرد، عکس‌ها را پاک کند، دوربین گوشی را روشن و داده‌های موقعیت مکانی را جمع‌آوری کند.
 
این نرم‌افزار جاسوسی از گروه NSO (یک شرکت در رژیم صهیونیستی) است که متهم به فروش نرم‌افزارهای جاسوسی خود به دولت‌هایی با پرونده‌های مشکوک حقوق بشر است. محصول پیشگام گروه NSO ، ابزاری به نام پگاسوس (Pegasus) است. این ابزار مخرب، نه‌تنها برای مبارزه با جرایم و تروریسم محلی بلکه برای نظارت بر مرزهای بین‌المللی نیز استفاده می‌شود.
 
به گفته‌ی مهندسین واتس‌اپ، این آسیب‌پذیری چندی پیش برای نصب بدافزار پگاسوس مورد استفاده قرار گرفت و چند روز بعد یک وصله برای کاربران نهایی عرضه کرد. نقص VOIP در واتس‌اپ روی نسخه‌های قدیمی در سیستم عامل اندروید و آی‌اواس و ویندوز فون تأثیر می‌گذارد. البته این آسیب‌پذیری در حال حاضر رفع شده و به همین دلیل لازم است که کاربران واتس‌اپ آخرین نسخه از این نرم‌افزار را دانلود کنند.
 

حمله اینترنتی به تامین اجتماعی و توضیح سرپرست سازمان

 
سرپرست سازمان تامین اجتماعی در پی حمله اینترنتی یک گروه خرابکار به سامانه‌ سازمان، اعلام کرد که امنیت کامل تمامی سامانه‌ها، اطلاعات و سوابق بیمه‌شدگان، مستمری‌بگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست.
 
 
محمد حسن زدا در صفحه اینستاگرام خود در این باره نوشت: لازم است از تلاش و همدلی کارشناسان حوزه راهبری سیستم‌های سازمان تأمین اجتماعی، شرکت خدمات ماشینی تأمین و سایر ادارات کل و عزیزانی که در روز گذشته تا بامداد امروز با تلاش خود توانستند از تمامی سامانه‌های اطلاعاتی سازمان تأمین اجتماعی در برابر حملات گروه خرابکار اینترنتی محافظت کنند تقدیر و تشکر کنم.
 
وی افزود: همکاران بنده در کمترین زمان ممکن از این حمله آگاه، در سریع‌ترین زمان ممکن وارد عمل شده و مقابله کرده و ابعاد فنی را بطور کامل بررسی و اقدامات لازم را انجام دادند.
 
سرپرست سازمان تأمین اجتماعی با اشاره به اینکه البته این گروه برای دقایق بسیار کوتاهی توانست به سایت خبری سازمان؛ تاکید می‌کنم سایت خبری، نفوذ کرده و اطلاعات مبهم و دستکاری شده خود را منتشر کند که بلافاصله با واکنش کارشناسان سازمان مواجه شد گفت: خوشبختانه بررسی‌های دقیق تیم‌های فنی حکایت از صحت و سلامت تمامی سامانه‌ها، اطلاعات و سوابق بیمه‌شدگان، مستمری‌بگیران و کارفرمایان عزیز دارد و جای هیچ نگرانی نیست.
 
زدا تاکید کرد: در ضمن مراکز و نهادهای مسئول نیز پیگیری‌های لازم و قانونی را از ساعت‌های اولیه دیروز آغاز کرده‌اند که از این عزیزان هم سپاسگزارم.

تشخیص چهره کامپیوتری و تهدیدی که به‌مرور خود را نشان می‌دهد

 تشخیص چهره کامپیوتری و تهدیدی که به‌مرور خود را نشان می‌دهد

تشخیص چهره در کامپیوترها از دستاوردهای بزرگ هوش مصنوعی است که با وجود مزیت‌های بی‌شمار، خطراتی را هم برای جامعه به‌همراه دارد.

تلاش هکرها برای نصب باج‌افزار از طریق نفوذ به سرورهای MySQL

هکرها در حال اسکن اینترنت هستند تا سرورهای ویندوز که در حال اجرای پایگاه‌داده MySQL هستند را شناسایی کنند و سپس آن‌ها را با باج‌افزار GandCrab آلوده کنند.
 
به گزارش مرکز افتا به نقل از وبسایت ZDNet، این حملات به نوعی جدید هستند و پژوهشگران تاکنون هدف قرار گرفتن سرورهای MySQL را برای نصب باج‌افزار مشاهده نکرده اند.
 
آنها اعلام کرده‌اند که هکرها پایگاه‌داده‌های MySQL قابل دسترس از اینترنت و قبول کننده دستورهای SQL را اسکن می‌کنند تا در صورت ویندوزی بودن سرور آن، با دستورهای SQL مخرب یک فایل در سرور هدف قرار داده و باج‌افزار GandCrab را در فضای میزبان نصب می‌کنند.
 
با این که اکثر مدیران سیستم‌ها، با گذرواژه از سرورهای MySQL محافظت می‌کنند، مهاجمین اسکن خود را بر مبنای یافتن سرورهایی که دارای پیکربندی مناسبی نیستند یا برای آن‌ها گذرواژه تعریف نشده است، انجام می‌دهند.
 
پژوهشگران در این حملات یک سرور از راه دور را شناسایی کردند که روی آن HFS یا HTTP File Server در حال اجرا است. HFS یک وب سرور مبتنی بر ویندوز است. در این سرور پنج فایل اجرایی با نام ۳۳۰۶ مشاهده شده و تعداد دانلود هر یک مشخص است.
 
در سرور شناسایی شده یک فایل اجرایی لینوکس ELF با نام RDP نیز وجود دارد که در این حمله از آن استفاده نشده است.
 
در زمان تهیه این گزارش، فایل ۳۳۰۶-۱.exe که در هانی‌پات پژوهشگران شناسایی شده٬ بیش از ۵۵۰ بار دانلود شده است.
 
همچنین سایر فایل‌ها (۳۳۰۶-۲.exe، ۳۳۰۶-۳.exe و ۳۳۰۶-۴.exe) به همراه فایل اول، در مجموع ۸۴۲ بار دانلود شده‌اند که نشان دهنده قربانیان حمله است.
 
با اینکه دامنه این حمله گسترده و وسیع نیست، اما این گونه حملات تهدیدی مهم برای سرورهای MySQL که پورت ۳۳۰۶ آن‌ها در معرض دسترسی است، تلقی می‌شود.
 
نشانه‌های آلودگی (IoC)
 
نمونه‌های GandCrab:
•  c۸۳bf۹۰۰eb۷۵۹e۵de۵c۸b۰۶۹۷a۱۰۱ce۸۱۵۷۳۸۷۴a۴۴۰ac۰۷ae۴ecbc۵۶c۴f۶۹۳۳۱
 
•  ۰۱۷b۲۳۶bf۳۸a۱cf۹a۵۲fc۰bdee۲d۵f۲۳f۰۳۸b۰۰f۹۸۱۱c۸a۵۸b۸b۶۶b۱c۷۵۶b۸d۶
 
 
cna۱۲.dll:
•   ۱f۸۶۵۶۱ca۸ff۳۰۲df۲a۶۴e۶d۱۲ff۵۳۰bb۴۶۱f۹a۹۳cf۹b۷c۰۷۴۶۹۹e۸۳۴f۵۹ef۴۴
 
 
IPهای میزبان مهاجم:
•    ۱۷۲,۹۶.۱۴.۱۳۴:۵۴۷۱ (GandCrab host)
•    ۱۴۸,۷۲.۱۷۱.۸۳ (MySQL attacker)