هشدار امنیتی جدید سایبری در پی حمله باج افزاری و سردرگمی ادمین های شبکه ایران و دردسرهای این حملات برای تیم های خبره فنی و متخصصان امنیت شبکه و اطلاعات کشور

حمله سایبری باج افزاری و سردرگمی Admin های شبکه ایران

امروز به ادمین های شبکه سازمانهای دولتی ابلاغ شد که حمله سایبری باج افزاری به چند سازمان دولتی انجام شده و لازم است سریعا بروزرسانی آنتی ویروس ها، فایروال ها  و سیستم ها متوقف شود. در این ابلاغیه  توصیه های دیگری نیز بدون کوچکترین توضیح فنی بیان گردید.

دردسرهای هشدار امنیتی جدید سایبری برای ادمین ها و متخصصان امنیت شبکه

این رویه یعنی ارسال هشدار امنیتی و دستور بدون ارائه هرگونه توضیح فنی باعث می شود تیم های خبره فنی نتوانند از توانمندی موجود در جهت کشف حفره ها و حملات سایبری باج افزاری و حل آنها استفاده کنند و نقش Admin ها و متخصصان امنیت شبکه و اطلاعات کشور در حد ماموران معذور اجرایی تقلیل یابد. تقلیل اعتبار کارشناسان امنیت کشور قطعا به نفع هیچکس نیست.

برای جلوگیری از حملات جدید سایبری باج افزاری چه باید کرد

از مراکز رسمی مثل مرکز افتا و ماهر به عنوان مراکز مهم دریافت حوادث سایبری باج افزاری انتظار می رود ضمن بازگو کردن کامل مشکلات و شرح حوادث بدون ذکر نام سازمان ها به جهت حفظ محرمانگی از کمک جمعی متخصصین امنیت شبکه کشور و بخش خصوصی برای تحلیل فنی رخدادها استفاده کنند. کسی انتظار ندارد کارشناسان این مراکز بتوانند همه Incidentها را در مدت زمان کم تحلیل کنند اما اعلام جزئیات فنی واقعه می تواند به یک تلاش جمعی برای تحلیل و حل مشکلات تبدیل شود.

رفتارهای ادمین های شبکه ایرانی در مواجهه با هشدار امنیتی جدید سایبری

در ادامه به بررسی رفتارهای برخی از ادمین های شبکه ایرانی در مواجهه با هشدار امنیتی جدید سایبری باج افزاری با توجه به شیوع سریع و خطرناک باج افزار جدید در کلیه دستگاه های دولتی و خصوصی می پردازیم و اینکه به طور اورژانسی امروز به Admin ها اطلاع دادند که همه چیز را اعم از کلیه سرورها و آپدیت ها ‌ببندند نشان می دهد که تعدادی سردرگم شده و احساس می کردند که کاری از دستشان بر نمی آید.

بعضی از ادمین های شبکه نیز خونسردانه برخورد نموده اند و معتقد بودند در صورتی که که آپدیت security, critical, roll up ها را به روز داشته باشند و از آنتی ویروس مطمئن استفاده کنند مشکلی پیش نمی آید.

اما بیشتر ادمین ها علاوه بر استفاده از آنتی ویروس قدرتمند دلشان به استفاده از کلود بک آپ Cloud Backup قرص است.

برخی دیگر نیز کاملا بی دفاع بودند و نه از آنتی ویروس خیالشان راحت بود و نه از فایروال زیرا تمامی سازمانهایی که درگیر شدند هم آنتی ویروس داشتند و هم از فایروال و سایر ابزارهای امنیتی استفاده می کردند.

ادمینی دیگر می گفت که درخواست های DNS را با فایروال سکیور کنید، پالیسی محدودیت روی ادیت فایل را از طریق آنتی ویروس اعمال کنید، پلن دیزاستر ریکاوری داشته باشید، آپدیت نگهدارید.

ریشه حملات سایبری باج افزاری امروز

بر اساس شواهد موجود، ریشه حملات سایبری باج افزاری امروز به چند سازمان دولتی، آسیب پذیری CVE-2020-1472 مایکروسافت بوده است که حدود 2 ماه پیش توسط مایکروسافت اطلاع رسانی شده بود و برای آن هم در اینجا Patch ارائه شده بود.

نکته جالب توجه اینجاست که مایکروسافت چند روز پیش در اطلاعیه ای هشدار داده بود که یک گروه هکری ایرانی بنام MERCURY APT این آسیب پذیری را  که با نام ZeroLogon شناخته می شود Exploit کرده و در دو هفته اخیر در حال سوء استفاده از آن بوده اند!

حالا بر اساس اندک شواهد منتشر شده از منابع غیر رسمی به نظر می رسد فرد هکر از همین آسیب پذیری استفاده کرده و چند سازمان ایرانی را مورد نفوذ قرار داده است.

اطلاعیه مرکز ماهر درباره هشدار امنیتی جدید سایبری باج افزاری

مرکز ماهر در خصوص حوادث امروز و هشدار امنیتی جدید سایبری باج افزاری اطلاعیه ای صادر کرده است که دربردارنده هیچ نکته با اهمیت فنی نیست. متن اطلاعیه به این شرح است:

پیرو برخی اخبار و شایعات منتشره اخیر لازم به ذکر است که:

1. رخداد حمله مهم سایبری صرفا مربوط به دو سازمان دولتی بوده که مراجع مسوول در حال رسیدگی به موضوع هستند و مرکز ماهر نیز به عنوان پشتیبان آماده کمک ها و امدادهای احتمالی مورد نیاز است.
2. بر اساس برخی تحلیل ها و براوردهای فنی، هشدارهای پیشگیرانه برای مسئولین و کارشناسان دولتی در سطح ملی صادر شد که به هیچ وجه به معنای وجود حمله نبوده است.
3. برخی دستگاههای دولتی بر اساس برداشت یا تحلیل خود پس از دریافت هشدارها اقدام به قطع موقت برخی خدمات و انجام تستهای فنی کردند که به دلیل احتیاط صورت گرفته است. اگر چه از نظر مرکز ماهر این اقدام ضرورتی نداشت.
4. علیرغم شایعات مطرح شده در فضای مجازی و برخی رسانه ها، شواهدی از حمله گسترده به دستگاه های متعدد دولتی تا این لحظه مشاهده نشده است.

لازم به ذکر است که بخش مهمی از این فعالیت و فعالیتهای مشابه با همکاری تنگاتنگ مراکز آپا سطح کشور انجام میشود که قابل تقدیر و برای مرکز ماهر بسیار کلیدی است. لذا علیرغم وجود برخی تنگناهای بودجه ای که برای این مراکز ارزشمند بوجود آمده است حمایتها و همکاری های مرکز ماهر وزارت ارتباطات با مراکز آپا همچنان استمرار دارد و هرگونه قطع همکاری با مراکز فوق قویا تکذیب میشود. در انتها مرکز ماهر از هرگونه انتقاد و پیشنهاد کارشناسان جهت بهبود و ارتقاء عملکرد خود استقبال می کند.

امروز اخباری منتشر شد مبنی بر اینکه بودجه برخی مراکز آپا قطع شده است، مراکزی که خروجی مورد انتظار را هرگز نداشتند و به اهداف خود نرسیدند. به نظر می رسد این اطلاعیه بیشتر در جهت حمایت از مراکز آپا صادر شده است و قصد شفاف سازی در خصوص اخبار سایبری و هشدار امنیتی جدید حملات باج افزاری امروز را نداشتند. امیدواریم حداقل مرکز افتا اطلاعات فنی قابل استفاده ای را در ساعات آینده منتشر کند.

آسیب پذیری ZeroLogon و تقدیم دسترسی ادمین ها به هکر روی DC

شاید برای شما این سوال مطرح است که نحوه سوء استفاده از آسیب پذیری ZeroLogon توسط مهاجم و تقدیم دسترسی Administrator به هکر روی DC چگونه است؟

برخی منابع غیر رسمی مدعی هستند که آسیب پذیری DC اکتیو دایرکتوری در حملات سایبری 24 ساعت گذشته به دو سازمان دولتی ایران مورد استفاده قرار گرفته است. هکر برای استفاده از این آسیب پذیری باید به یکی از سیستم های سازمان دسترسی داشته باشد. لذا تنها یک کلاینت آلوده میتواند منجر به حمله باج افزاری سنگینی شود.

ادمین ها برای رفع این آسیب پذیری می بایست Patch های مناسب این راهکار بر روی DC نصب نمایند.

قطع اینترنت! نسخه ای برخی ادمین های شبکه برای تمام دردها

پیرو حوادث سایبری دیروز و هشدار امنیتی جدید حملات باج افزاری که داده شد بر اساس اطلاعات دریافت شده، Admin های شبکه برخی از سازمانهای دولتی اینترنت سازمان را قطع کرده اند و این اقدام باعث بروز اختلالات شدید در بحث دورکاری و برگزاری جلسات آنلاین سازمان ها شده است.

آیا تدبیر بهتری نمی شد به کار برد؟ یقینا خسارت قطع کردن اینترنت سازمان ها و ایجاد اختلال شدید در کار سازمانها خسارت بسیار بیشتری نسبت حمله دیروز سایبری باج افزاری به دو سازمان در پی دارد.