اظهارات بیژن زنگنه در خصوص ضرورت هوشیاری صنعت نفت در برابر تهدیدهای سایبری

وزیر نفت در پیامی با تبریک روز ملی آتش‌نشانی و ایمنی  تاکید کرده که همه شرکت‌ها و تاسیسات صنعت نفت در شرایطی که تحریم‌ها صنعت نفت را نشانه گرفته است، در برابر تهدیدهای فیزیکی و سایبری هوشیاری کامل داشته باشند.

وزیر نفت در این پیام آورده است که رشادت آتش‌نشانان صنعت نفت در هفتمین روز مهرماه سال ۱۳۵۹، مقارن با نخستین روزهای دفاع مقدس، نماد درخشان پایمردی و از خودگذشتگی کارکنان خدوم و وظیفه شناسی این صنعت در حفاظت از تاسیسات است و این روحی ارزشمند در برهه‌های مختلف و دشوار این صنعت چه در دوران دفاع مقدس و چه پس از آن متجلی است.
 
زنگنه در ادامه گفته که همکاران عزیز، تحریم‌های ظالمانه دشمنان در یک جنگ تمام عیار اقتصادی، صنعت نفت را که پیشران و محرک اقتصاد کشور است، نشانه گرفته و شرایطی خاص را رقم زده است. در این شرایط لازم است در همه شرکت‌ها و تاسیسات صنعت نفت، هوشیاری کامل در برابر تهدیدهای فیزیکی و سایبری ایجاد و تمهیدات مدیریتی، فنی و عملیاتی لازم برای حفاظت از تاسیسات و سرمایه‌های فیزیکی، ارتقای تاب‌آوری و پایداری در زنجیره ارزش از بالادست تا پایین‌دست صنعت نفت به صورت یکپارچه و باتوجه ویژه به رویکردهای پیشگیرانه ایمنی و کنترل‌های دقیق عملیاتی، اتخاذ شود.
 
وی با تاکید بر ضرورت توجه همه شرکت‌ها و تاسیسات تابعه صنعت نفت با سرلوحه قرار دادن مفاد شیوه‌نامه ابلاغی مدیریت شرایط اضطراری در صنعت نفت و رویه‌ها و شیوه‌نامه‌های تکمیلی مرتبط، تاکید کرده که تدابیر لازم به‌منظور آمادگی کامل برای مواجهه با وضعیت‌های اضطراری و به حداقل رساندن هرگونه صدمه و آسیب به کارکنان، تاسیسات و جامعه محلی را با محوریت اصلی فرماندهی واحد به کار گیرند.
 
زنگنه در پایان ضمن قدردانی از تلاش‌های مستمر و شبانه‌روزی یکایک کارکنان صنعت نفت، از مدیران همه شرکت‌ها و واحدهای صنعت نفت اعم از دولتی و غیردولتی خواسته تا با بهره‌گیری از توانمندی‌های ارزشمند سرمایه انسانی، تدابیر و اقدام‌های لازم را برای تحقق موارد فوق به‌کار گیرند.

هشدار آیکان در مورد حمله به زیرساخت اینترنت

سازمان آیکان که وظیفه مدیریت زیرساخت های مهم اینترنت را بر عهده دارد، با صدور اطلاعیه ای در مورد خطراتی که دی ان اس را تهدید می کند، هشدار داده است.
 
به گزارش زددی نت، بر اساس هشدار آیکان خطرات مهمی در آینده امنیت و ثبات دی ان اس را دچار مشکل می کنند و بخش های کلیدی آن ممکن است دچار مشکل شود. از همین رو ضروری است سرویس دهندگان و مالکان دی ان اس ها از دی ان اس به سیستم ایمن تر DNSSEC منتقل شوند.
 
DNSSEC یا Domain Name System Security Extensions افزونه ای برای پروتکل دی ان اس محسوب می شود که به مالکان اسامی دامنه در وب امکان می دهد تا سوابق و رکوردهای دی ان اس را به طور دیجیتال ثبت و امضا کنند.
 
رمزنگاری دی ان اس بدین شیوه دسترسی اشخاص و گروه های ثالث به دی ان اس و دستکاری آن را بدون در اختیار داشتن کلید امضای DNSSEC ناممکن می کند و لذا حمله به وب سایت ها و دستکاری ظاهر آنها با نفوذ به دی ان اس ها غیرممکن می شود.
 
استفاده از DNSSEC حملات هکری برای سرقت دی ان اس وب سایت ها و دستکاری ظاهر آنها را در دو ماه اخیر ناکام گذاشته و انتظار می رود بسیاری از مالکان وب سایت های اینترنتی برای مقابله با چنین مشکلی DNSSEC را به کار بگیرند.

جزئیات حمله به سایت لوکال بیتکوینز و سرقت مقدار زیادی بیت کوین

کاربران سرویس معاملاتی همتا به همتای لوکال بیتکوینز (LocalBitcoins) مورد حمله‌ی سایبری مجرمان با سبک کلاه‌برداری فیشینگ قرار گرفتند. در این حادثه مقدار زیادی از بیت کوین‌های کاربران به سرقت رفت.
 
در جریان این حمله، برخی کاربران لوکال بیتکونز به سمت یک سایت جعلی کشیده شده که در آن از آنها خواسته شده، کد احراز هویت دو مرحله‌ای خود را وارد کنند. سارقان از این کدها برای دسترسی به حساب کاربران استفاده کرده و بیت‌کوین‌های آنها را ربودند.
 
گزارش کاربران و خدشه دار شدن اعتبار لوکال بیتکوینز
طبق یک اعلان عمومی در سایت ردیت توسط کاربری به نام u/bitcoinbabeau، اعتبار لوکال بیتکوینز به خطر افتاده و صفحه‌ی ورودی آن، کاربران را به سمت یک سایت جعلی مشابه سایت اصلی کشانده است. بلافاصله پس از ورود به سایت جعلی، از کاربران خواسته شده تا وارد حساب کاربری خود شده و کد احراز هویت دو مرحله‌ای را وارد کنند.
 
پس از آنکه هکرها، به داده‌های امنیتی مربوط به حساب کاربران دسترسی پیدا کردند، حساب آنها را از بیت کوین خالی کردند.
 
لوکال بیتکوینز پس از این هک موقتا سایت خود را با اعلام پیامی در صفحه‌ی اصلی خود غیرفعال کرد.
 
 
کاربری به نام u/tefl0ncc، گزارش کرده است: من فکر میکنم اولین نفری بودم که حسابم خالی شد و ۰.۱۴ بیت کوین در حسابم داشتم. با یک کیف پول حساب مربوط به ۵ قربانی خالی شده است و این تنها یکی از آدرس‌های کیف پولی است که می‌دانیم مربوط به مهاجمان بوده است.
 
یکی از کاربران ادعا کرده که ۱۱ بیت کوین از او ربوده شده است. نکته‌ی جالب توجه این است که در آدرس کیف پول هکر که توسط یکی از کاربران پست شده، تنها ۷.۹۵ بیت کوین در ۵ تراکنش دزدیده شده است. این تعداد بیت کوین ۲۸۰۰۰ دلار  ارزش داشتند. با توجه به اینکه یکی از کاربران گزارش کرده ۱۱ بیت کوین از او ربوده شده، به نظز می‌رسد در این حمله چندین آدرس درگیر بوده‌‌اند.
 
آیا حمله به DNS انجام شده است؟
لوکال بیتکوینز در زمان نوشتن این خبر، هنوز درباره‌ی این موضوع اظهار نظر نکرده است اما به نظر می‌رسد اوضاع را تحت نظر دارد. اینکه این حمله چگونه به وقوع پیوسته هنوز مشخص نیست. با این حال به نظر می‌رسد، حمله‌ای از نوع جعل سیستم دامنه‌ی نام (DNS) بوده است. هکرها در این نوع حمله کاربران را به سمت یک نسخه‌ی جعلی شبیه‌سازی شده با نسخه‌ی اصلی می‌کشانند. در خصوص لوکال بیت کوینز نیز همین اتفاق افتاده و ابتدا اطلاعات امنیتی کاربران به سرقت رفته و سپس از آن برای دسترسی به حساب‌های کاربری آنها استفاده شده است.
 
کاربران ردیت همچنین خاطرنشان کردند که هکرها از کد احراز هویت دو مرحله‌ای کاربران برای ربودن بیت کوین‌ها استفاده کرده‌اند.
 
سال گذشته کیف پول مشهور اتریوم و توکن‌ها ERC-20 مای‌اتر ولت (Myetherwallet) نیز مورد حمله‌ی جعل سیستم نام دامنه (DNS) قرار گرفت که در آن  کاربران به سایت جعلی هدایت شده و هکرها فرصت دسترسی به حساب آنها را پیدا کردند.
 
کاربران همیشه می‌توانند با چک کرد URl صفحه و مشاهده‌ی آیکن قفل در کنار آدرس سایت از اصالت و امنیت آن اطمینان حاصل کنند.

وزیر ارتباطات: دانش دفع حملات پیچیده سایبری را به کشور های دوست ارائه می‌کنیم

 

وزیر ارتباطات و فناوری اطلاعات با اشاره به دفع حملات سایبری دشمنان شرور که قصد ضربه زدن به زندگی و آرامش مردم داشتند، گفت: دانشی که از دفاع سایبری در مقابله با این دشمنان کسب کردیم را به کشورهای دوست و همسایه منتقل می کنیم تا توان دفاع در برابر حملات اینچنینی را داشته باشند.
 
محمدجواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات امروز (سه شنبه) در همایش بزرگداشت هفته پدافند غیرعامل، یکی از دستاوردهای مهم وزارت ارتباطات را تکمیل شبکه سیگنال رسانی زمینی صدا وسیما اعلام کرد و گفت: صداوسیما همواره در معرض تحریم یا تهدید به تحریم قرار داشته و در مقاطعی به دلیل وابستگی پخش برنامه ها به شبکه های ماهواره ای بخش زیادی از شهروندان بخصوص مردم مناطق محروم نمی توانستند از پوشش صداوسیما استفاده کنند.
 
وی افزود: همچنین در رخدادهای مختلفی چون پخش مسابقات فوتبال، صداوسیما به دلیل قانون حفاظت از حق پخش خریداری شده امکان پخش ماهواره ای آنها را نداشت و مناطقی از کشور محروم از دریافت این برنامه ها بودند که پروژه سیگنال رسانی زمینی به صداوسیما با همکاری شرکت ارتباطات زیرساخت ظرف یکسال گذشته تکمیل شد و در ایام برگزاری جام جهانی نیز زیر بار رفت و امروز آماده خدمات رسانی است.
 
وزیر جوان کابینه دوازدهم با اشاره به حوادث غیر مترقبه سال گذشته چون زلزله های کرمان و کرمانشاه و همچنین قطعی برق در اهواز، اظهار کرد: در این رخدادها ارتباطات به عنوان ضرورت اصلی مدیریت بحران دچار اختلال شده بود که برای رفع آنها چند اقدام اساسی انجام شد که نخست رسیدگی به مشکلات اپراتورها و برخی از سایت های اصلی تلفن همراه بود.
 
آذری جهرمی با بیان اینکه طی یک سال گذشته سازمان تنظیم مقررات و ارتباطات رادیویی و اپراتورها اقدام به رده بندی سایت ها از نظر باطری های نگهداری و تامین منبع تغذیه کردند، توضیح داد: در اتفاق های گذشته باطری برخی از سایت ها به دلیل عدم نگهداری مناسب، امکان پایداری در طول 48 ساعت را نداشتند و در زمان وقوع زلزله ها به دلیل قطع برق شاهد قطع ارتباطات بودیم که در بازنگری هایی که انجام شد ضمن شناختن مشکلات و رفع آنها، رده بندی نیز از این بابت صورت گرفت.
 
عضو کابینه دولت تدبیر و امید به راه اندازی شبکه خاص ارتباطی در مواقع بحران اشاره کرد و ادامه داد: از طریق این شبکه که امروز به بهره برداری رسید امکان ارسال پیامک، صوت و مکالمه تصویری  برای امدادرسانی در مواقع بحران در سراسر کشور ایجاد شده است.
 
وی از دیگر اقدامات انجام شده در حوزه پدافند غیرعامل را راه اندازی رینگ ارتباطات شهر تهران در کنار شبکه فیبرنوری پایتخت در یکسال گذشته خواند و افزود: اگرچه توسعه های مناسبی بخصوص در یکسال گذشته انجام شده اما سازمان فناوری اطلاعات و شرکت ارتباطات زیرساخت باید اقدام به توزیع بیشتر ترافیک در شبکه کنند چرا که به دلایل اقتصادی با تراکم ترافیک در تهران مواجه هستیم که برای افزایش پایداری و کیفیت شبکه باید این کار را انجام داد.
 
وزیر ارتباطات با ضروری دانستن ارایه شاخص ها در مورد وضعیت کنونی و میزان رشدی که حاصل شده، گفت: امروز در برابر بحران ها، شبکه ارتباطی کشور پایدارتر شده است و با درس گرفتن از زلزله های کرمان و کرمانشاه شاهد بودیم در اتفاق های اینچنینی که بعدا رخ داد، شبکه وضعیت قابل قبول تری پیدا کرده است.
 
آذری جهرمی در ادامه به رونمایی و بهره برداری از «ضد بدافزار پادوویش» در سال گذشته و در هفته پدافند غیرعامل اشاره کرد و توضیح داد: با حمایت و الزامی که در بکارگیری ضدبدافزار پادوویش در دستگاه های دولتی وجود دارد با استفاده از دانش بومی امروز لایه دفاعی در برابر حملات دشمنان محکم تر شده است و گزارشات آن از حفاظت در برابر حملات به بخش های مختلف امنیت چون مرکز ماهر ارسال می شود.
 
وزیر جوان دولت تدبیر و امید با اشاره به سند تبیین الزامات شبکه ملی اطلاعات و سند مرکز ملی فضای مجازی در روشن شدن تکلیف دستگاه ها و نهادهای دولتی برای حفظ امنیت، اظهار کرد: بر همین اساس ماموریت ها تقسیم شده تا نیروهای مسلح مسوول دفاع سایبری، وزارت اطلاعات مسوول حفاظت از مراکز حساس، وزارت ارتباطات مسوول حفظ امنیت دستگاه های دولتی و پلیس فتا نیز مسوول حفظ امنیت کسب و کارها و بخش خصوصی با مسوولیت هماهنگی در مرکز ملی فضای مجازی شده اند.
 
عضو کابینه دولت دوازدهم شئونات زندگی مردم را مرتبط با فضای مجازی دانست و تصریح کرد: امروز در دنیا با یکسری شرور مواجه هستیم که برای از کار انداختن زندگی مردم از هیچ اقدام ضد انسانی دریغ نمی کنند و به اقداماتشان در گذشته نیز افتخار می کنند و در مقابل می گویند ایران ما را تهدید سایبری کرده است.
 
وی با بیان اینکه تیم های دفاع سایبری از مدتی قبل این تحرکات و اقدامات  را برای نفوذ به شبکه زیرساخت ارتباطی کشور رصد کرده بودند، افزود: آنها نفوذ را انجام داده بودند تا در روز مبادا عملیات خود را شروع کنند که متخصصان ما با مشاهده تحرکات و احساس آماده شدن آنها برای تحرک نهایی، اقدام به مقابله و جلوگیری کردند که مستندات آنها نیز جمع آوری شده و برای پیگیری حقوقی در مجامع بین المللی ارسال می شود.
 
وزیر ارتباطات اقدام اخیر آنها را وقاحت آمیز دانست چراکه حملات با آدرس IP مستقیم آنها صورت گرفته بود و خاطرنشان کرد: آنها باید بدانند که مرزهای سایبری ما بی دفاع و بی صاحب نیست و مدافعین و جوانان خوبی در کشور داریم که توانمندی و دانش قابلی توجهی برای دفاع از کشور دارند.
 
وزیر جوان دولت تدبیر و امید با بیان اینکه در چنین شرایطی همه دستگاه ها باید هم افزایی داشته باشند، گفت: مردم نگرانی نداشته باشند، زیرساخت شبکه ارتباطی کشور پایدار است و از دسترس خارج نمی شود.
 
وی با بیان اینکه جوامع بین المللی نیز نسبت به چنین اقداماتی حساسیت دارد، افزود: تصمیم گرفتیم تا دانشی که از شرارت آنها بدست آورده ایم را با کشورهای دوست و همسایه خود به اشتراک بگذاریم تا دشمن خود را بشناسند و توان دفاع از خود را داشته باشند.
 
عضو کابینه دولت دوازدهم این راه را سخت و دشوار توصیف کرد که نیاز به هم افزایی و هماهنگی بیشتر دستگاه ها و مراکز دارد و خاطر نشان کرد: امروز اگر گزارشی از آسیب پذیری دستگاه ها، مراکز و یا اپراتورها منتشر می شود نباید نادیده گرفته شود و برای افزایش امنیت و رفع مشکلات باید به گزارش دهنده این مشکلات جایزه نیز پرداخت شود.

شناسایی ۶۰۰ هزار حمله اینترنتی در کشور/ منشاء حملات از سوئد

مرکز ماهر از شناسایی ۶۰۰ هزار حمله به یکی از برنامه های کاربردی مدیریت پایگاه داده روی سرویس‌دهنده‌های وب، ظرف یک هفته اخیر، خبر داد که منشا این حملات از کشور سوئد است.
 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با اعلام شناسایی ۶۰۰ هزار حمله به پورتهای مربوط به شبکه ها و دوربین های مداربسته، نسبت به محافظت از ابزارهای مدیریت پایگاه داده در سیستم های ارتباطی، تاکید کرد.
 
این مرکز اعلام کرد: طی هفته گذشته افزایش حملات شدیدی روی پورت‌های ۸۰، ۸۰۰۰ و ۸۴۴۳ در سطح شبکه کشور مشاهده شده است. این حملات بر بستر پروتکل http و از نوع SQL Injection روی صفحه لاگین ‫phpMyAdmin صورت پذیرفته است.
 
پی‌اچ‌پی‌مای‌ادمین (phpMyAdmin) یک برنامه کاربردی آزاد و متن‌باز است که به زبان پی‌اچ‌پی و با هدف مدیریت پایگاههای داده مای‌اس‌کیوال (MySql) با مرورگر وب ایجاد شده است. این برنامه می تواند وظایفی مانند ایجاد تغییر یا حذف پایگاه داده، جداول، فیلدها یا ردیف‌ها، اجرای عبارت اس‌کیوال یا مدیریت کاربران و دسترسی‌ها را انجام دهد.
 
براساس بررسی های صورت گرفته توسط سنسورهای مرکز ماهر، طی این مدت بیش از ۶۰۰ هزارحمله ثبت شده است. از میان مهاجمین آدرس اینترنتی ۴۶.۲۴۶.۳۶.۴ بیشترین تعداد حملات شامل ۱۲۱ هزار و ۱۲۵ حمله را انجام داده است. این حملات از آدرس‌های IP کشور سوئد صورت گرفته است.
 
جزییات حمله
 
تحلیل حملات ثبت شده نشان می دهد که مهاجمین با استفاده از حمله SQL Injection به دنبال اجرای تابع Sleep روی پایگاه داده متصل به سایت و همچنین صفحه phpMyAdmin بوده اند.
 
تابع (Sleep) در پایگاههای داده MySql مورد استفاده قرار می گیرد. اجرای این تابع دریک کوئری موجب می شود تا نخ اجرا کننده آن به خواب رفته و مسدود شود.
 
تعداد زیاد نخهای مسدود شده روی یک پایگاه داده، موجب از کار افتادن آن و عدم امکان ارائه سرویس به کاربران مجاز می شود.
 
مهاجمان به طور میانگین روی هر مقصد تعداد بسیاری از حملات را روی سه پورت ۸۰ ، ۸۰۰۰ و ۸۴۴۳ از طریق فیلد ورودی تعبیه شده در صفحات وب و با دو درخواست متنوع Get و Post ارسال کرده اند.
 
می توان بیان کرد که هدف از حمله از کار انداختن سرویس (DoS) پایگاه داده از MySql بوده است. حملات از نوع تزریق SQL Injection دارای تنوع بالایی بوده و امکان اجرای دستورات SQL ، توابع سمت سرور و غیره را برای مهاجمین فراهم می کند.
 
مرکز ماهر تاکید کرده است که به منظور پیشگیری از موفقیت در اینگونه حملات و تهدیدات مشابه، لازم است دسترسی به ابزار phpMyAdmin و ابزارهای مدیریتی مشابه تا حد امکان محدود  شود و تولیدکنندگان و توسعه دهندگان وب سایتها، ورودیهای کاربر را اعتبارسنجی کنند.

حمله گسترده به روترهای میکروتیک

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای اعلام کرد: تعداد زیادی از مسیریاب های داده اینترنتی در کشور (روترهای میکروتیک) به دلیل به روز رسانی نشدن، مورد حمله های گسترده بدافزارها قرار گرفته اند.
 
 
به گزارش روز شنبه ایرنا، روتر یا مسیریاب، دستگاهی است که داده‌های اینترنتی را در شبکه مسیریابی می‌کند. روتر را می توان کلیدی ترین دستگاه ارتباطی در دنیا شبکه نامید که با اتصال شبکه‌‌های محلی کوچک به یکدیگر و مسیریابی بسته‌های اطلاعاتی، شبکه ای از شبکه‌ها که امروزه به آن اینترنت می‌گوییم را شکل می‌دهد.
 
بنا بر اعلام مرکز مدیریت امداد و هماهنگی عملیات رخداد های رایانه ای کشور، به رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه امسال در خصوص آسیب‌پذیری گسترده‌ی روترهای ‫میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات هنوز نسبت به بروزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده اند.
 
مرکز ماهر اعلام کرد: رصد شبکه کشور در روزهای اخیر نشان‌دهنده حملات گسترده به پورت 23 (telnet) از مبداء روترهای میکروتیک آسیب‌پذیر آلوده شده در سطح کشور است؛ آلودگی این روترها به صورت عمده از طریق آسیب‌پذیری اشاره شده اخیر (آسیب‌پذیری پورت 8291 مربوط به سرویس winbox) صورت گرفته است. 
مرکز ماهر برای حفاظت از روترهای میکروتیک، توصیه کرد در اسرع وقت بروزرسانی سیستم عامل و مسدودسازی پورت‌های مدیریت تجهیز روی اینترنت اجرا شود.
 
بر اساس این گزارش، مشاهدات حسگرهای مرکز ماهر در شبکه کشور، در روزهای گذشته حجم حمله های ثبت شده به پورت 23(telnet) افزایش چشمگیری داشته است. براساس بررسی های انجام شده، منشاء این حمله ها به طور عمده تجهیزات اینترنت اشیا (hot) آلوده نظیر مودم های خانگی و به ویژه روترهای میکروتیک بوده و هدف آن نیز شناسایی و آلوده سازی تجهیزات مشابه است.
 
مرکز ماهر مهمترین راهکار پیشگیری و مقابله با این تهدید را بروزرسانی(firmware) تجهیزات و مسدودسازی دسترسی به پورت های کنترلی از جمله پورت 23و 22 اعلام کرد.

حملات شب گذشته به سرورهای HP قربانی گرفت

حملات سایبری شب گذشته به سرورهای شرکت HP از طریق درگاه مدیریتی Ilo صورت گرفته است.
 
 
 
مرکز ماهر با بیان اینکه طی 24 ساعت گذشته رصد فضای مجازی نشان داده حملاتی مبتنی بر آسیب‌پذیری‌های موجود در سرویس iLo سرورهای HP بوده است، اظهار کرد: سرویس iLo یک درگاه مستقل فیزیکی است که برای مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده می‌شود.
 
این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه‌اندازی مجدد و دسترسی غیرمجاز را می‌دهد؛ حملات مذکور روی نسخه‌های مختلف مانند iLO 2 و iLO 3 و iLO 4 مشاهده شده است.
 
اقدامات کلی که در مقابله با این حملات به عمل آمده نیز به شرح زیر بوده است:
 
‌ با اعلام حمله باج‌‌افزاری از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باج‌افزاری بر روی درگاه‌های iLO اطمینان حاصل شد.
• بررسی‌های بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.
• رصد فضای آدرس IP کشور بر روی درگاه‌های iLO انجام گرفت و سرورهای آسیب‌پذیر شناسایی شدند؛ با شماری از صاحبان این سرویس‌ بر روی بستر اینترنت که در معرض تهدید هستند تماس گرفته و هشدار لازم ارائه شد.
 
با توجه به اینکه ممکن است هنوز این ضعف در سرورها وجود داشته باشد جدی گرفتن توصیه‌های امنیتی حائز اهمیت است.
 
دسترسی درگاه‌های iLo از طریق شبکه اینترنت بر روی سرورهای HP مسدود شد؛ توصیه اکید شده است در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به این‌گونه سرویس‌دهنده‌ها برقرار شود.

حمله گروه APT به سرور شرکت‌های بخش صنعتی و انرژی

به تازگی یک گروه APT با عنوان Energetic Bear/Crouching Yeti سرورهای شرکت‌های مختلف بخش صنعت و انرژی را مورد هدف قرار داده است. این گروه که از سال ۲۰۱۰ فعالیت می‌کند، شرکت‌های مختلفی در سراسر جهان را مورد حمله قرار داده است.
 
به گزارش ایسنا، تمرکز بیشتر حملات این گروه روی کشورهای اروپایی و آمریکا بوده است. همچنین، در سال ۲۰۱۶ و ۲۰۱۷ تعداد حملات این گروه روی سرورهای کشور ترکیه رشد قابل توجهی داشته است.
 
اما رویکردهای اصلی این گروه شامل ارسال ایمیل‌های فیشینگ حاوی اسناد مخرب و آلوده‌سازی سرورهای مختلف است. این گروه از از سرورهای آلوده به منظور استقرار ابزارهای گوناگون و در برخی موارد جهت اجرای حملات waterhole استفاده می‌کنند. waterhole به حمله‌ای گفته می‌شود که مهاجم سایت‌هایی که فرد یا گروه‌های قربانی بطور روزمره بازدید می‌کند را با بدافزار آلوده می‌کند.
 
باتوجه به گزارش کسپرسکی، قربانیان حملاتی که اخیرا صورت گرفته است فقط محدود به شرکت‌های صنعتی نمی‌شود و روسیه، اکراین، انگلستان، آلمان، ترکیه، یونان و آمریکا را شامل می‌شود. به عنوان مثال نوع سرورهایی که در کشور روسیه مورد هدف قرار گرفته است شامل وب‌سایت‌های سیاسی، بنگاه‌های املاک، باشگاه فوتبال و ...  است.
 
بر اساس  اطلاعات سایت افتا، نکته قابل توجه در مورد این حملات این است که تمامی سرورهایی که هدف حمله waterhole قرار گرفته‌اند با الگو یکسانی آلوده شده‌اند. در این الگو، یک لینک در یک صفحه وب و یا فایل جاوا اسکریپت تزریق شده است که حاوی آدرس فایل بصورت file://IP/filename.png است که به منظور ارسال یک درخواست برای یک فایل تصویری است و موجب می‌شود تا کاربر از طریق پروتکل SMB به یک سرور کنترل از راه دور متصل شود.
 
بنابر گزارش کسپرسکی، در برخی از موارد مهاجمین از سرورهای آلوده جهت حمله به سایر منابع استفاده می‌کنند که  برای این امر پس از دسترسی به سرورها، لازم است ابزارهای مورد نیاز خود را نصب شوند.
 
همچنین باتوجه به تحلیل‌های انجام شده می‌توان دریافت که مهاجمین از ابزارهای در دسترس عموم و متن باز استفاده می‌کنند. همچنین، مهاجمان در اکثر سرورهای هدف به دنبال یافتن آسیب‌پذیری‌ها و سرقت اطلاعات احراز هویت کاربران هستند.

هشدار ماهر درباره افزایش حملات فیشینگ بانکی در ماه‌های اخیر

مرکز ماهر درخصوص افزایش حملات فیشینگ بانکی در ماه‌های اخیر هشدار داد.
 
به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) از مرکز ماهر، بر اساس رصد صورت گرفته حملات فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامک‌های اندرویدی مخرب یا جعلی صورت می‌ پذیرد. لذا توصیه‌های زیر جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد می‌گردد:
 
پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک‌های منتشر شده در شبکه‌های اجتماعی و کانال‌ها 
 
حساسیت بیشتر نسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر. لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد.
 
بر این اساس باید توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده‌اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.
 
درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌ (بدون هرگونه تغییر در حروف) معتبرند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر (cert [@] certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.
 
توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وب‌سایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وب‌سایت دقت کنید.
 
فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارائه شده که خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است.

زیمنس پیش قدم شد/ انتشار جزییات آسیب‌پذیری تجهیزات زیمنس

آسیب‌پذیری بر روی کنترل‌کننده و کارت‌های شبکه صنعتی زیمنس براساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بسته‌های شبکه PROFINET DCP می‌دهد.
 
برخی مراکز داده کشور اواخر هفته گذشته با حمله سایبری مواجه شدند و تعدادی از مسیریاب‌های کوچک به تنظیمات کارخانه‌ای تغییر یافتند. دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو بود و هر سیستم عاملی که این ویژگی بر روی آن فعال بود، در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانستند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام کنند.
 
این اتفاق هرچند که به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) چندی قبل‌تر هشدار داده شده بود اما نشان داد که لزوم اطلاع رسانی دقیق‌تر و شفاف‌تر از سوی مراجع ذی ربط احساس می‌شود و چراغ قرمزی بود برای مدیران سیستم‌های امنیتی سازمانها و ارگان‌ها و ادارات تا با استفاده راهکارهای لازم از سیستم‌ها محافظت و پشتیبانی کنند.
 
در این حوزه اما مشکلات مشابه آنچه که برای سیسکو رخ داده، برای زیمنس هم رخ داده که قابل توجه است؛ در ماه مارس ۲۰۱۸ گزارشی مبنی بر آسیب ‌پذیری بر روی چند کنترل کننده و کارت‌های شبکه صنعتی زیمنس با شناسه CVE-۲۰۱۸-۴۸۴۳ منتشر شده است.
 
آسیب‌پذیری مذکور بر اساس اعتبارسنجی نامناسب ورودی است که به مهاجم امکان ایجاد شرایط انکار سرویس را از طریق بسته‌های شبکه PROFINET DCP می‌دهد. برای سوء استفاده از این آسیب‌ پذیری، دسترسی مستقیم به لایه دوم OSI این محصولات نیاز است و در صورت اکسپلویت موفقیت آمیز آسیب‌ پذیری، برای بازیابی سیستم باید تجهیزات به طور دستی مجدداً راه‌اندازی شوند.
 
در حال حاضر زیمنس برای چندین محصول به روزرسانی منتشر کرده است و در حال بررسی به روزرسانی دیگر محصولات باقی‌مانده است و تا زمان در دسترس قرار گرفتن به روزرسانی‌ ها راه‌های مقابله‌ای را پیشنهاد کرده است.
 
اعتبارسنجی نامناسب ورودی می‌تواند منجر به اجرای کد، انکار سرویس و گم شدن داده‌ها شود که دشمن شماره یک سلامت نرم افزار است. اگر مطمئن نشوید اطلاعات ورودی دقیقاً با انتظارات همخوانی دارند، با مشکل مواجه خواهید شد. برای مثال در جایی که انتظار دارید یک شناسه عددی وارد شود، ورودی به هیچ وجه نباید شامل داده های کاراکتری باشد.
 
در برنامه‌های کاربردی واقعی، نیازهای اعتبارسنجی اغلب پیچیده‌تر از حالت ساده مذکور هستند. اعتبارسنجی نامناسب منجر به آسیب‌پذیری می‌شود، زیرا مهاجمان قادرند ورودی را با روش‌های غیر قابل انتظار دستکاری کنند. امروزه بسیاری از آسیب پذیری‌های مشترک و معمول می‌توانند با اعتبارسنجی مناسب ورودی از بین رفته و یا به حداقل کاهش پیدا کنند.
 
بر اساس اطلاعات سایت مرکز مدیریت راهبردی افتا، پاسخ به درخواست PROFINET DCP با بسته‌ای دستکاری شده می‌تواند منجر به ایجاد وضعیت انکار سرویس در سیستم درخواست‌کننده شود. در واقع می‌توان گفت آسیب‌پذیری مذکور ویژگی دسترس‌پذیری عملکردهای اصلی محصول را تحت‌تاثیر قرار می‌دهد. این آسیب‌پذیری با دسترسی مستقیم حمله کننده‌ای که در همان بخش Ethernet (لایه دوم OSI) دستگاه مورد هدف قرار دارد، می‌تواند مورد سوء استفاده قرار گیرد.  
 
راه‌های مقابله
 
زیمنس علاوه بر به‌روزرسانی محصولات متاثر، راه‌های زیر را به منظور کاهش مخاطره به مشتریان ارایه کرده است:
 
- پیاده‌سازی مفهوم حفاظت از zone های شبکه کنترل و اتوماسیون 
- استفاده از VPN برای حفاظت از ارتباطات شبکه‌ای بین zone ها 
- پیاده‌سازی دفاع در عمق
 
توصیه‌ها
 
- حفاظت از دسترسی شبکه به دستگاه‌ها با استفاده از مکانیزم‌های مناسب
- مجزا کردن شبکه صنعتی از سایر شبکه‌های اداری/داخلی 
- اجتناب از اتصال شبکه صنعتی به اینترنت 
- به‌روزرسانی‌ نرم افزارهای صنعتی مطابق با روش‌های پیشنهاد شده توسط سازنده
- اجرای راهکارهای امنیتی پیشنهاد شده توسط سازنده