مرکز مدیریت راهبردی افتای ریاست جمهوری حملات سایبری به وزارت راه‌ و شهرسازی و شرکت راه‌آهن کشور را در هفته‌های گذشته تایید کرد. این اتفاق در حالی رخ می‌دهد که در زمان این حمله حداقل شرکت راه‌ آهن در اطلاعیه‌ای اعلام کرده بود که مورد هیچ حمله سایبری قرار نگرفته است. حالا مرکز مدیریت راهبردی افتا اعلام کرده که کم‌توجهی و ساده انگاری به هشدار‌های این مرکز باعث بروز حملات به این دو نهاد شده است.

 

 اوایل هفته گذشته (۱۹ تیرماه) وزیر ارتباطات و فناوری اطلاعات از مشاهده تحرکات جدید توسط مهاجمان سایبری برای طراحی حملات باج‌افزاری خبر داد. در همان زمان محمدجواد آذری جهرمی اعلام کرد که این تحرکات جدید شباهت زیادی به حملات باج‌افزاری اردیبهشت سال ۱۳۹۷ دارد. مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) در اردیبهشت ۹۷ در اطلاعیه‌ای که روی سایت خود منتشر کرده اعلام کرده بود که « رصد فضای مجازی نشان دهنده حملاتی مبتنی بر آسیب‌پذیری‌های موجود در سرویس iLo سرورهای HP بوده است.»

 

حال امروز (۲۷ تیر) مرکز مدیریت راهبردی افتا جزئیات بیشتری از این حملات را منتشر کرده است. این مرکز ساده انگاری و کم‌توجهی به هشدارهای افتا را عامل اصلی این حملات سایبری، کم دفاع شدن یا سست شدن سیستم امنیت سایبری وزارت راه‌ و شهرسازی و شرکت راه‌آهن اعلام کرده است.

 

کارشناسان امنیت سایبری افتا در مورد نتایج بررسی‌های کارشناسی و جزئیات این حملات گفته‌‌اند که مهاجمان توانسته‌اند به برخی از مدیریت سیستم‌ها دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند. به گفته این کارشناسان نفوذ به سامانه های وزارت راه و شهرسازی و شرکت راه‌آهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان ازهفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکرها آن را، حدود ۷ روز قبل از حادثه سایبری آماده کرده‌اند.

 

بر اساس نظر کارشناسان افتا، مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستم‌ها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستم‌ها را غیرفعال کرده بودند. آنطور که  کارشناسان امنیت سایبری افتا ادعا کرده‌اند بدلیل زمان بر بودن تخریب دیتاها، مهاجمان تنها به تخریب برخی از ساختارهای دیتا بسنده کرده‌اند.

 

در اطلاعیه مرکز راهبردی افتای ریاست جمهوری آمده که مهاجم یا مهاجمان سایبری در صورتی که در حمله سایبری خود، کنترل سیستم را به دست بگیرند، همه زیرساخت‌های IP را تخریب می کنند و بیشترین ضربه را وارد می‌کنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.

 

رعایت نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است. تغییر امتیازات و دسترسی های موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستم‌‌های وزارت راه و شهرسازی و شرکت راه‌آهن بوده است. مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمان‌های زیرساختی خواسته تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورت‌های مدیریتی سرورها و تجهیزات ILO  و IPMI سیستم‌های خود اعمال کنند.