شفافسازی «افتا» درباره حملات سایبری اخیر به راهآهن و وزارت راهوشهرسازی
به عقیده کارشناسان افتا، این بیتوجهیها موجب شده تا برخی سازمانها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند، بر دسترسیهای از راه دور خود کنترل مناسبی نداشته باشند و آسیبپذیریهای اعلام شده را بهموقع بهروزرسانی نکنند. نتایج بررسیهای کارشناسان امنیت سایبری افتا نشان میدهد که مهاجمان توانستهاند به برخی از مدیریت سیستمها، دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند.
حمله یک ماه قبل رخ داده است
به گفته این کارشناسان نفوذ به سامانههای وزارت راهوشهرسازی و شرکت راهآهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکرها آن را حدود ۷ روز قبل از حادثه سایبری آماده کردهاند.
بر اساس نظر کارشناسان افتا، مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستمها و کلمات عبور کاربران را یا حذف کرده یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و نیز حالت بازیابی را در برخی سیستمها غیرفعال کرده بودند.
بررسی کارشناسان امنیت سایبری افتا نشان میدهد که بهدلیل زمانبر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختارهای دیتا بسنده کردهاند. مهاجم یا مهاجمان سایبری در صورتیکه در حمله سایبری خود، کنترل سیستم را بهدست گیرند، همه زیرساختهای IP را تخریب و بیشترین ضربه را وارد میکنند که خوشبختانه در حملات اخیر به دلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.
مسائل امنیتی رعایت نشده بود
کارشناسان امنیت سایبری مرکز افتا، همچنین گفتند: رعایت نکردن مسائل امنیتی در دورکاریها، سیستمهای ناقص، سهلانگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروسها، سرمایهگذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.
مهاجم یا مهاجمان سایبری از آسیبپذیریهای خطرناکی که در سیستمهای عامل ویندوز کشف و از طریق مرکز افتا به دستگاههای دارای زیرساخت حیاتی کشور برای ترمیم آنها در کوتاهترین زمان، اطلاعرسانی دقیق شده بود، در برخی فرآیند نفوذ، بهرهبرداری کردهاند. تغییر امتیازات و دسترسیهای موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستمهای وزارت راهوشهرسازی و شرکت راهآهن بوده است. مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمانهای زیرساختی میخواهد تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را به روی Firmware، پورتهای مدیریتی سرورها و تجهیزات ILO و IPMI سیستمهای خود اعمال کنند.
برای جلوگیری از حملات چه باید کرد؟
لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیبپذیرها و وصلههای فوری آنها و جمعآوری و پایش لاگ و رویدادهای امنیتی مربوط به سامانهها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیرساخت برشمرده شده است. بهروزرسانی مستمر آنتیویروس سرور و کلاینتها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بینالمللی، جداسازی شبکههای سامانههای زیرساختی از سایر شبکههای غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری برشمرده شده است. کارشناسان مرکز مدیریت راهبردی افتا، همچنین تغییر مستمر و دقیق گذرواژه همه حسابهای کاربری دارای سطح دسترسی بالا در سامانهها و تجهیزات شبکه، بازبینی دسترسی سطح ادمینهای شبکه، غیرفعالسازی پورتهای بلااستفاده و سرویسهای غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانههای حیاتی را از اقدامهای پیشگیرانه برای نفوذ به سیستمهای سازمانی برمیشمارند.
مرکز مدیریت راهبردی افتا تاکید کرده است: کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیرساخت موظفند، از دیتاهای سازمان خود، بهطور منظم نسخههای پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.
