مهم‌ترین حملات سایبری سال ۹۶

نفوذ بزرگ‌ترین باج‌گیر سایبری در اردیبهشت

اردیبهشت ۹۶ نرم‌افزار مخربی تحت‌عنوان «واناکرای- wannacry» با قابلیت خودانتشاری در شبکه حدود ۱۰۰ کشور شیوع یافت و بالغ بر ۷۵ هزار سیستم کامپیوتری را آلوده کرد. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باج‌گیر، در سطح شبکه کشور ما نیز مشاهده شد؛ به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمان، قربانی این باج افزار در کشور شد که بیشتر این آلودگی‌ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاه‌ها و در تهران و اصفهان شناسایی شد.

درهمین حال تحلیلگران امنیت سایبری موسسات تحقیقاتی دنیا نیز اعلام کردند که بیش از ۹۷ درصد رایانه‌های مبتلا به ویروس واناکرای از سیستم‌عامل ویندوز ۷ استفاده می‌کرده‌اند. رایانه‌های دارای سیستم‌عامل XP مبتلا به ویروس واناکرای نیز به طور دستی و توسط مالکانشان به آن مبتلا شدند. درنهایت در تیر ماه رئیس یکی از مراکز آگاهی رسانی، پشتیبانی و امداد رخدادهای رایانه‌ای از مهار باج‌گیر سایبری «واناکرای» در ایران خبر داد و گفت: واکنش در ایران به این حمله سایبری، واکنش مناسبی بود. البته این به آن معنی نیست که هیچ آلودگی را مشاهده نکردیم، بلکه منظور این است که حملات این ویروس از تب و تاب افتاد و آسیب‌پذیری سیستم‌ها، در همان حد و حدود اولیه متوقف شد.

 حمله به چند وب‌سایت دولتی در خرداد

هفتم خردادماه، برخی وب‌سایت‌ها و پرتال‌های سازمان‌ها و دستگاه‌های اجرایی از دسترس خارج شد. به دنبال حمله و از دسترس خارج شدن این وب‌سایت‌ها، سازمان فناوری اطلاعات ایران با تایید حمله سایبری صورت گرفته به این وب‌سایت‌ها، از کنترل این حملات خبر داد. طبق اعلام مرکز ماهر، هدف این حمله، منع سرویس توزیع شده سیستم‌های عامل ویندوز با سرویس‌دهنده‌های وب IIS بوده و تمامی اهداف مورد حمله قرار گرفته، از شرایط فنی یکسان برخوردار بوده‌اند.

 ۳ حمله سایبری برای آلودگی سیستم‌های کامپیوتری در تیر

تیرماه سال ۹۶ خبر گسترش باج‌افزار جدیدی به نام پتیا (Goldeneye/ Petya) در نقاط مختلف جهان بازتاب وسیعی داشت. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باج‌گیر سایبری پتیا (petya) دریافت نشده، اعلام کرد: نحوه گسترش این باج‌افزار و نیز عملکرد آن بسیار مشابه باج‌افزار واناکرای (WannaCry)  است.

براین اساس اعلام شد که بالغ بر ۳۲ قربانی توسط «پتیا» آسیب‌دیده و فایل‌هایشان رمرگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به‌صورت بیت‌کوین (پول مجازی) برای بازپس گیری اطلاعاتشان پرداخت کردند. بیشترین آسیب‌پذیری مربوط به کشور اوکراین بود به نحوی که گفته شد کمپانی بزرگ نفتی روسی به نام Roseneft ، کمپانی‌های تولیدکننده برق اوکراینی، بانک‌هایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفتند. درهمین حال افزایش حمله باج‌افزاری به سرورهای ویندوزی در کشور، از طریق سرویس Remote Desktop از دیگر اتفاقات تیرماه ۹۶ بود. بررسی‌های فنی در این زمینه نشان داد که در این حملات مهاجمان با سوءاستفاده از دسترسی‌های حفاظت نشده به سرویس ریموت دسکتاپ ‌ویندوز (پروتکل RDP) وارد شده، آنتی‌ویروس نصب شده را غیرفعال کرده و با انتقال فایل باج‌افزار، اقدام به رمزگذاری فایل‌های سرور کرده‌اند.

در این ماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای نیز از هک تعدادی از سامانه‌های دانشگاهی خبر داد. براین اساس مشخص شد که علت اصلی رخداد ایجاد شده وجود یک آسیب‌پذیری در یکی از مولفه‌های جانبی سایت‌های دانشگاهی برای مدیریت و داوری همایش‌ها بود. این آسیب‌پذیری منجر به بارگذاری یک صفحه توسط مهاجمان در وب‌سایت‌های مذکور شد.

 خسارت باج‌افزاری به سامانه‌های بیمارستانی در مرداد

مردادماه نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای از بروز حملات باج‌افزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد و اعلام کرد: گزارش‌های متعددی از حمله باج‌افزارها (نرم‌افزار مخرب باج‌گیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است. بررسی‌های فنی نشان داد که در بسیاری از این حملات،  مهاجمان با سوء‌استفاده از دسترسی‌ به «سرویس دسترسی از راه دور» در سیستم‌عامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP) است، وارد شده، آنتی ویروس نصب شده را غیرفعال کرده و با انتقال فایل باج‌افزار، اقدام به رمزگذاری فایل‌های سرور کردند. حتی در مواردی مشاهده شد که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء‌استفاده‌های ممکن، زمان و الگوی انجام پشتیبان‌گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باج‌افزاری بی‌نقص شدند.

 شیوع باج‌گیر سایبری جدید در مهر

مهرماه مرکز ماهر نسبت به انتشار نوع جدیدی از بدافزار باج‌گیر در فضای سایبری کشور هشدار داد که این ویروس، برای هدف قرار دادن کاربران فارسی زبان طراحی شده است. بررسی‌های مرکز ماهر نشان داد که باج‌افزاری موسوم به TYRANT (تای رنت) با الهام از یک باج‌افزار متن باز در فضای سایبری منتشر شد که از صفحه باج‌خواهی به زبان فارسی استفاده کرده و طبیعتا برای هدف قرار دادن کاربران فارسی زبان طراحی شده است. روش انتشار این باج‌افزار استفاده از پوشش فیلترشکن سایفون بود و از طریق شبکه‌های اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می‌کرد.

 شیوع باج‌گیرهای سایبری در آبان

آبان‌ماه خبر انتشار جاسوس‌افزاری به نام دادسرای الکترونیکی (e_dadsara) که با هدف سرقت اطلاعات حساب بانکی کاربران، فعال شد، منتشر شد. این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشه‌ای حاوی اطلاعات الکترونیکی دادسرا می‌کرد. هدف اصلی این جاسوس‌افزار، سرقت اطلاعات قربانی به‌خصوص اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپ‌بورد و برنامه‌های اجرا شده توسط کاربر است. همچنین مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای، از انتشار باج‌افزار خطرناک «خرگوش بد» خبر داد که احتمال حمله بین‌المللی از طریق این باج‌افزار بسیار بالا بود.

باج افزار خرگوش بد (BadRabbit)، سومین نسخه از باج‌افزارهای مهم و پر نشر در چند سال گذشته عنوان شد که ادامه مسیر بدافزارهای معروفی چون NotPetya و WannaCry را پیش برده و بیش از ۱۳ درصد از کد باج‌افزار NotPetya را با خود به طور مشترک به همراه داشت. شرکت‌های امنیتی  Kaspersky و Avast، چندین مورد حمله به اوکراین و آمریکا را گزارش کردند و شرکت امنیتی ESET، اعلام کرد که بیش از ۶۵ درصد قربانیان در روسیه قرار داشتند. پس از آن، اوکراین با ۲/ ۱۲ درصد، بلغارستان با ۲/ ۱۰ درصد، ترکیه با ۴/ ۶ درصد و در نهایت ژاپن با ۸/ ۳ درصد بیشترین قربانیان این بدافزار بودند. از سوی دیگر جاسوسی صوتی و تصویری از کاربران مرورگر کروم نیز در این ماه کشف شد که یک نقص طراحی UX در مرورگر Chrome اجازه می‌داد وب‌سایت‌های مخرب صدا یا ویدئو کاربر را بدون هیچ‌گونه هشدار یا نشانه‌های بصری ضبط کرده و به این صورت کاربر مورد سوء‌استفاده قرار گیرد.

 شناسایی حمله بدافزاری به فلش پلیر در آذر

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای از هشدار ادوب (Adobe) برای دریافت آخرین نسخه‌ فلش‌پلیر در راستای جلوگیری از حملات بدافزاری خبر داد و اعلام کرد: هشدار Adobe مربوط به آسیب‌پذیری موجود در بسته‌ نرم‌افزاری چندرسانه‌ای «فلش‌پلیر» بود. به همین دلیل، این شرکت از کاربران خود خواست تا با وصله کردن سامانه‌های خود، از این حملات جلوگیری کنند. محققان امنیتی آزمایشگاه کسپرسکی، استفاده از این آسیب‌پذیری برای اجرای کدهای کنترل از راه دور را در Adobe Flash  پیدا کردند که از سوی گروهی به نام BlackOasis ارائه شده بود.این گروه قربانیانی را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا مورد هدف قرار داده بود.

 سوءاستفاده بدافزاری از فیلترشکن در دی

در دی ماه سالی که گذشت مرکز ماهر موضوع حمله بدافزاری در پوشش یک فیلترشکن را که با سوءاستفاده از ناآگاهی کاربران موبایل منتشر شد اعلام کرد. تحلیل‌های فنی روی کد مهاجم نشان داد که حمله این بدافزار، با دریافت یک پیامک فریبنده که مدعی ارائه فیلترشکن از طریق یک آدرس وب بود آغاز شد. با کلیک کردن کاربر روی لینک مذکور، بدافزار روی تلفن قربانی دانلود می‌شد.

 حمله سایبری به سایت‌های خبری در بهمن

در آستانه برگزاری راهپیمایی ۲۲ بهمن ماه اخباری در خصوص حمله به تعدادی از پرتال‌ها و وب‌سایت‌های خبری منتشر شد. بر اساس بررسی‌های صورت گرفته مشخص شد وب‌سایت‌های خبری که مورد حمله قرار گرفته بودند در مرکز داده (دیتا سنتر) تبیان و مرکز داده شرکت پیشتاز میزبانی شده‌اند. بر این اساس گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم‌های هدف کرد و در این فرآیند مشخص شد تمام این سامانه‌ها از طریق یک شرکت و در بستر سیستم‌عامل با سرویس‌دهنده وب IIS و زبان برنامه‌نویسی ASP.Net توسعه داده شده‌اند. شرکت تولیدکننده نرم‌افزار این سامانه‌ها مجری بیش از ۳۰ وب‌سایت خبری (از جمله وب‌سایت‌های مورد حمله قرار گرفته) در کشور بود که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کرده‌اند. شواهد موجود در فایل‌های ثبت وقایع نشان داد که مهاجمان در تلاش برای نفوذ با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعاتی نظیر نام کاربری و کلمات عبور، در پایگاه داده سامانه‌های فوق بودند.

همچنین تمام فعالیت‌ها و عملیات مخرب برای کشف آسیب‌پذیری و نفوذ به سامانه‌ها متعلق به آدرس‌های IP حمله‌کننده، استخراج و بررسی شد. در این حمله مشخص شد که تمام سایت‌های خبری مورد حمله دارای نام کاربری و کلمه عبور پیش‌فرض یکسان توسط شرکت پشتیبان بودند و آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا همان نام کاربری و کلمه عبور استفاده شده در سایت‌ها بوده و این موارد نشان داد که حداقل موارد امنیتی در مدیریت این سایت‌ها رعایت نشده بود.

 هک شدن ۱۴۰ وب‌سایت داخلی در اسفند

در اسفندماه ۹۶ نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای از هک ۱۴۰ وب‌سایت داخلی خبر داد. این مرکز موضوع را سریعا مورد بررسی قرار داد و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد. سایت‌های مورد حمله همگی روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده به صورت محدود و تنها شامل بارگذاری یک فایل متنی بود.