در سال ۹۶ بالغ بر ۱۴ حملهی مخرب نرمافزاری، فضای مجازی کشور را تهدید کرد. مهمترین این حملات کشف بدافزار «واناکرای» و ویروس «پتیا» بود که منجر به آلودگی سیستمهای رایانهای شد.
به گزارش مهر، مهمترین اتفاقات سایبری سال ۹۶ را میتوان در محور جاسوسافزارها، حملات بدافزاری و آلودگی سیستمهای رایانهای دستهبندی کرد. این تهدیدات سایبری در سالی که گذشت از سوی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (مرکز ماهر) اعلام شد.
بررسیها نشان میدهد که بالغ بر ۱۴ حملهی اینترنتی مهم، منجر به تهدید فضای سایبری کشور شد. در این راستا مرکز ماهر بالغ بر ۱۰ هشدار مرتبط با تهدیدات سایبری به کاربران فضای مجازی داد.
اردیبهشت ۹۶ نرمافزار مخربی تحت عنوان «واناکرای- wannacry» باقابلیت خود انتشاری در شبکهی حدود ۱۰۰ کشور شیوع یافته و بالغ بر ۷۵ هزار سیستم کامپیوتری را آلوده کرد. بر اساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باجگیر، در سطح شبکهی کشور ما نیز مشاهده شد. به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمانی، قربانی این باجافزار در کشور شد که بیشتر این آلودگیها نیز در حوزهی اپراتورهای ارتباطی و حوزهی پزشکی، سلامت و دانشگاهها و در تهران و اصفهان شناسایی شد.
در همین حال تحلیلگران امنیت سایبری مؤسسات تحقیقاتی دنیا نیز اعلام کردند که بیش از ۹۷ درصد رایانههای مبتلا به ویروس واناکرای از سیستمعامل ویندوز ۷ استفاده میکردهاند. رایانههای دارای سیستمعامل XP مبتلا به ویروس واناکرای نیز بهطور دستی و توسط مالکانشان به آن مبتلا شدند.
در نهایت در تیرماه رئیس یکی از مراکز آگاهیرسانی، پشتیبانی و امداد رخدادهای رایانهای از مهار باجگیر سایبری «واناکرای» در ایران خبر داد و گفت: واکنش در ایران به این حملهی سایبری، واکنش مناسبی بود. البته این به این معنی نیست که هیچ آلودگی را مشاهده نکردیم، بلکه منظور این است که حملات این ویروس از تبوتاب افتاد و آسیبپذیری سیستمها، در همان حدود و حدود اولیه متوقف شد.
هفتم خردادماه، برخی وبسایتها و پرتالهای سازمانها و دستگاههای اجرایی از دسترس خارج شد. به دنبال حمله و از دسترس خارج شدن این وبسایتها، سازمان فناوری اطلاعات ایران با تائید حملهی سایبری صورت گرفته به این وبسایتها، از کنترل این حملات خبر داد.
طبق اعلام مرکز ماهر، هدف این حمله، منع سرویس توزیعشده سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بوده است و تمامی اهداف مورد حمله قرارگرفته، از شرایط فنی یکسان برخوردار بودهاند.
تیرماه سال ۹۶ خبر گسترش باجافزار جدیدی به نام پتیا (Goldeneye/Petya) در نقاط مختلف جهان بازتاب وسیعی داشت. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باجگیر سایبری پتیا (petya) دریافت نشده، اعلام کرد: نحوهی گسترش این باجافزار و نیز عملکرد آن بسیار مشابه به باج افزار واناکرای (WannaCry) است.
بر این اساس اعلام شد که بالغ بر ۳۲ قربانی توسط «پتیا» آسیبدیده و فایلهایشان رمزگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت کوین (پول مجازی) برای بازپسگیری اطلاعاتشان پرداخت کردند. بیشترین آسیبپذیری مربوط به کشور اوکراین بود، به نحوی که گفته شد کمپانی بزرگ نفتی روسی به نام Roseneft، کمپانیهای تولیدکنندهی برق اوکراینی، بانکهایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفتند.
در همین حال افزایش حملهی باجافزاری به سرورهای ویندوزی در کشور، از طریق سرویس Remote Desktop از دیگر اتفاقات تیرماه ۹۶ بود. بررسیهای فنی در این زمینه نشان داد که در این حملات مهاجمان با سوء استفاده از دسترسیهای حفاظت نشده به سرویس ریموت دسکتاپ ویندوز (پروتکل RDP) وارد شده، آنتیویروس نصب شده را غیرفعال کرده و با انتقال فایل باجافزار، اقدام به رمزگذاری آن کرده است.
در این ماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای نیز از هک تعدادی از سامانههای دانشگاهی خبر داد. بر این اساس مشخص شد که علت اصلی رخداد ایجاد شده وجود یک آسیبپذیری در یکی از مؤلفههای جانبی سایتهای دانشگاهی برای مدیریت و داوری همایشها بود. این آسیبپذیری منجر به بارگذاری یک صفحه توسط مهاجمین در وبسایتهای مذکور شد.
مردادماه نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از بروز حملات باجافزاری به سرورهای ویندوزی چندین سامانهی بیمارستانی در کشور خبر داد و اعلام کرد: گزارشهای متعددی از حملهی باجافزارها (نرمافزار مخرب باجگیر) به سرورهای ویندوزی از جمله چندین سامانهی بیمارستانی در کشور واصل شده است که خسارات جبرانناپذیری به بار آورده است.
بررسیهای فنی نشان داد که در بسیاری از این حملات، مهاجمان با سوء استفاده از دسترسی به «سرویس دسترسی از راه دور» در سیستمعامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP) است، وارد شده، آنتیویروس نصب شده را غیر فعال کرده و با انتقال فایل باجافزار، اقدام به رمزگذاری محتوای سرور کردند.
حتی در مواردی، مشاهده شد که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفادههای ممکن، زمان و الگوی انجام پشتیبان از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باجافزاری بینقص شدند.
مهرماه مرکز ماهر نسبت به انتشار نوع جدیدی از بدافزار باجگیر در فضای سایبری کشور هشدار داد که این ویروس، برای هدف قراردادن کاربران فارسیزبان طراحی شد.
بررسیهای مرکز ماهر نشان داد که باج افزاری موسوم به TYRANT (تای رنت) با الهام از یک باجافزار متنباز در فضای سایبری منتشر شد که از صفحهی باجخواهی به زبان فارسی استفاده کرده و طبیعتاً برای هدف قرار دادن کاربران فارسیزبان طراحی شد.
روش انتشار این باجافزار استفاده از پوشش فیلترشکن سایفون بود و از طریق شبکههای اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون میکرد.
آبان ماه خبر انتشار جاسوسافزاری به نام دادسرای الکترونیکی (e_dadsara) که باهدف سرقت اطلاعات حساب بانکی کاربران، فعال شد، منتشر شد. این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشهای حاوی اطلاعات الکترونیکی دادسرا میکرد. هدف اصلی این جاسوسافزار، سرقت اطلاعات قربانی به خصوص اطلاعات حسابهای بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپ بورد و برنامههای اجرا شده توسط کاربر است.
همچنین مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای، از انتشار باج افزار خطرناک «خرگوش بد» خبر داد که احتمال حملهی بینالمللی از طریق این باجافزار بسیار بالا بود.
باجافزار خرگوش بد (BadRabbit)، سومین نسخه از باجافزارهای مهم و پر نشر در چند سال گذشته عنوان شد که ادامهی مسیر بدافزارهای معروفی چون NotPetya و WannaCry را پیش برده و بیش از ۱۳ درصد از کد باجافزار NotPetya را با خود به طور مشترک به همراه داشت.
شرکتهای امنیتی Kaspersky و Avast، چندین مورد حمله به اوکراین و آمریکا را گزارش کردند و شرکت امنیتی ESET، اعلام کرد که بیش از ۶۵ درصد قربانیان در کشور روسیه قرار داشتند. پس از آن، اوکراین با ۱۲.۲ درصد، بلغارستان با ۱۰.۲ درصد، ترکیه با ۶.۴ درصد و در نهایت ژاپن با ۳.۸ درصد بیشترین قربانیان این بد افزار بودند.
از سوی دیگر جاسوسی صوتی و تصویری از کاربران مرورگر کروم نیز در این ماه کشف شد که یک نقص طراحی UX در مرورگر Chrome اجازه میداد وبسایتهای مخرب صدا یا ویدئو کاربر را بدون هیچگونه هشدار یا نشانههای بصری ضبط کرده و بدین صورت کاربر مورد سوء استفاده قرار گیرد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از هشدار ادوبی (Adobe) برای دریافت آخرین نسخهی فلشپلیر در راستای جلوگیری از حملات بدافزاری خبر داد و اعلام کرد: هشدار Adobe مربوط به آسیبپذیری موجود در بستهی نرمافزاری چندرسانهای «فلشپلیر» بود. به همین دلیل، این شرکت از کاربران خود خواست تا با وصله کردن سامانههای خود، از این حملات جلوگیری کنند.
محققان امنیتی آزمایشگاه کسپرسکی، استفاده از این آسیبپذیری برای اجرای کدهای کنترل از راه دور را در Adobe Flash پیدا کردند که توسط گروهی به نام BlackOasis ارائه شده بود. این گروه قربانیانی را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا مورد هدف قرارداده بود.
در دیماه سالی که گذشت مرکز ماهر موضوع حملهی بدافزاری در پوشش یک فیلترشکن که با سوء استفاده از ناآگاهی کاربران موبایل منتشر شد را اعلام کرد.
تحلیلهای فنی روی کد مهاجم نشان داد که حملهی این بدافزار، با دریافت یک پیامک فریبنده که مدعی ارائهی فیلترشکن از طریق یک آدرس وب بود آغاز شد. با کلیک کردن کاربر روی لینک مذکور، بدافزار روی تلفن قربانی دانلود میشد.
در آستانهی ۲۲ بهمنماه اخباری در خصوص حمله به تعدادی از پرتالها و وبسایتهای خبری منتشر شد.
بر اساس بررسیهای صورت گرفته مشخص شد وبسایتهای خبری که مورد حمله قرار گرفته بودند در مرکز دادهی (دیتاسنتر) تبیان و مرکز دادهی شرکت پیشتاز میزبانی شدهاند. بر این اساس گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف کرد و در این فرآیند مشخص شد تمامی این سامانهها توسط یک شرکت و در بستر سیستمعامل با سرویسدهندهی وب IIS و زبان برنامهنویسی ASP.Net توسعه داده شدهاند.
شرکت تولیدکنندهی نرمافزار این سامانهها مجری بیش از ۳۰ وبسایت خبری (ازجمله وبسایتهای مورد حمله قرار گرفته) در کشور بود که نفوذ گران از این حیث به مجموعه اهداف مناسبی دست پیدا کردهاند.
شواهد موجود در فایلهای ثبت وقایع نشان داد که مهاجمان در تلاش برای نفوذ با ابزارهای خودکار و نیمهخودکار برای استخراج اطلاعاتی نظیر نام کاربری و کلمات عبور، در پایگاه داده سامانههای فوق بودند. همچنین تمامی فعالیتها و عملیات مخرب برای کشف آسیبپذیری و نفوذ به سامانهها متعلق به آدرسهای IP حملهکننده، استخراج و بررسی شد.
در این حمله مشخص شد که تمامی سایتهای خبری مورد حمله دارای نام کاربری و کلمهی عبور پیشفرض یکسان توسط شرکت پشتیبان بودند و آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا همان نام کاربری و کلمهی عبور استفاده شده در سایتها بوده و این موارد نشان داد که حداقل موارد امنیتی در مدیریت این سایتها رعایت نشده بود.
در اسفندماه ۹۶ نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از هک ۱۴۰ وبسایت داخلی خبر داد.
این مرکز موضوع را سریعاً مورد بررسی قرار داد و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد.
سایتهای مورد حمله همگی روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده به صورت محدود و تنها شامل برگزاری یک فایل متنی بود.
به گزارش مهر، مهمترین اتفاقات سایبری سال ۹۶ را میتوان در محور جاسوسافزارها، حملات بدافزاری و آلودگی سیستمهای رایانهای دستهبندی کرد. این تهدیدات سایبری در سالی که گذشت از سوی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (مرکز ماهر) اعلام شد.
بررسیها نشان میدهد که بالغ بر ۱۴ حملهی اینترنتی مهم، منجر به تهدید فضای سایبری کشور شد. در این راستا مرکز ماهر بالغ بر ۱۰ هشدار مرتبط با تهدیدات سایبری به کاربران فضای مجازی داد.
اردیبهشت ۹۶ نرمافزار مخربی تحت عنوان «واناکرای- wannacry» باقابلیت خود انتشاری در شبکهی حدود ۱۰۰ کشور شیوع یافته و بالغ بر ۷۵ هزار سیستم کامپیوتری را آلوده کرد. بر اساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باجگیر، در سطح شبکهی کشور ما نیز مشاهده شد. به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمانی، قربانی این باجافزار در کشور شد که بیشتر این آلودگیها نیز در حوزهی اپراتورهای ارتباطی و حوزهی پزشکی، سلامت و دانشگاهها و در تهران و اصفهان شناسایی شد.
در همین حال تحلیلگران امنیت سایبری مؤسسات تحقیقاتی دنیا نیز اعلام کردند که بیش از ۹۷ درصد رایانههای مبتلا به ویروس واناکرای از سیستمعامل ویندوز ۷ استفاده میکردهاند. رایانههای دارای سیستمعامل XP مبتلا به ویروس واناکرای نیز بهطور دستی و توسط مالکانشان به آن مبتلا شدند.
در نهایت در تیرماه رئیس یکی از مراکز آگاهیرسانی، پشتیبانی و امداد رخدادهای رایانهای از مهار باجگیر سایبری «واناکرای» در ایران خبر داد و گفت: واکنش در ایران به این حملهی سایبری، واکنش مناسبی بود. البته این به این معنی نیست که هیچ آلودگی را مشاهده نکردیم، بلکه منظور این است که حملات این ویروس از تبوتاب افتاد و آسیبپذیری سیستمها، در همان حدود و حدود اولیه متوقف شد.
هفتم خردادماه، برخی وبسایتها و پرتالهای سازمانها و دستگاههای اجرایی از دسترس خارج شد. به دنبال حمله و از دسترس خارج شدن این وبسایتها، سازمان فناوری اطلاعات ایران با تائید حملهی سایبری صورت گرفته به این وبسایتها، از کنترل این حملات خبر داد.
طبق اعلام مرکز ماهر، هدف این حمله، منع سرویس توزیعشده سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بوده است و تمامی اهداف مورد حمله قرارگرفته، از شرایط فنی یکسان برخوردار بودهاند.
تیرماه سال ۹۶ خبر گسترش باجافزار جدیدی به نام پتیا (Goldeneye/Petya) در نقاط مختلف جهان بازتاب وسیعی داشت. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باجگیر سایبری پتیا (petya) دریافت نشده، اعلام کرد: نحوهی گسترش این باجافزار و نیز عملکرد آن بسیار مشابه به باج افزار واناکرای (WannaCry) است.
بر این اساس اعلام شد که بالغ بر ۳۲ قربانی توسط «پتیا» آسیبدیده و فایلهایشان رمزگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت کوین (پول مجازی) برای بازپسگیری اطلاعاتشان پرداخت کردند. بیشترین آسیبپذیری مربوط به کشور اوکراین بود، به نحوی که گفته شد کمپانی بزرگ نفتی روسی به نام Roseneft، کمپانیهای تولیدکنندهی برق اوکراینی، بانکهایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفتند.
در همین حال افزایش حملهی باجافزاری به سرورهای ویندوزی در کشور، از طریق سرویس Remote Desktop از دیگر اتفاقات تیرماه ۹۶ بود. بررسیهای فنی در این زمینه نشان داد که در این حملات مهاجمان با سوء استفاده از دسترسیهای حفاظت نشده به سرویس ریموت دسکتاپ ویندوز (پروتکل RDP) وارد شده، آنتیویروس نصب شده را غیرفعال کرده و با انتقال فایل باجافزار، اقدام به رمزگذاری آن کرده است.
در این ماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای نیز از هک تعدادی از سامانههای دانشگاهی خبر داد. بر این اساس مشخص شد که علت اصلی رخداد ایجاد شده وجود یک آسیبپذیری در یکی از مؤلفههای جانبی سایتهای دانشگاهی برای مدیریت و داوری همایشها بود. این آسیبپذیری منجر به بارگذاری یک صفحه توسط مهاجمین در وبسایتهای مذکور شد.
مردادماه نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از بروز حملات باجافزاری به سرورهای ویندوزی چندین سامانهی بیمارستانی در کشور خبر داد و اعلام کرد: گزارشهای متعددی از حملهی باجافزارها (نرمافزار مخرب باجگیر) به سرورهای ویندوزی از جمله چندین سامانهی بیمارستانی در کشور واصل شده است که خسارات جبرانناپذیری به بار آورده است.
بررسیهای فنی نشان داد که در بسیاری از این حملات، مهاجمان با سوء استفاده از دسترسی به «سرویس دسترسی از راه دور» در سیستمعامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP) است، وارد شده، آنتیویروس نصب شده را غیر فعال کرده و با انتقال فایل باجافزار، اقدام به رمزگذاری محتوای سرور کردند.
حتی در مواردی، مشاهده شد که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفادههای ممکن، زمان و الگوی انجام پشتیبان از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باجافزاری بینقص شدند.
مهرماه مرکز ماهر نسبت به انتشار نوع جدیدی از بدافزار باجگیر در فضای سایبری کشور هشدار داد که این ویروس، برای هدف قراردادن کاربران فارسیزبان طراحی شد.
بررسیهای مرکز ماهر نشان داد که باج افزاری موسوم به TYRANT (تای رنت) با الهام از یک باجافزار متنباز در فضای سایبری منتشر شد که از صفحهی باجخواهی به زبان فارسی استفاده کرده و طبیعتاً برای هدف قرار دادن کاربران فارسیزبان طراحی شد.
روش انتشار این باجافزار استفاده از پوشش فیلترشکن سایفون بود و از طریق شبکههای اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون میکرد.
آبان ماه خبر انتشار جاسوسافزاری به نام دادسرای الکترونیکی (e_dadsara) که باهدف سرقت اطلاعات حساب بانکی کاربران، فعال شد، منتشر شد. این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشهای حاوی اطلاعات الکترونیکی دادسرا میکرد. هدف اصلی این جاسوسافزار، سرقت اطلاعات قربانی به خصوص اطلاعات حسابهای بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپ بورد و برنامههای اجرا شده توسط کاربر است.
همچنین مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای، از انتشار باج افزار خطرناک «خرگوش بد» خبر داد که احتمال حملهی بینالمللی از طریق این باجافزار بسیار بالا بود.
باجافزار خرگوش بد (BadRabbit)، سومین نسخه از باجافزارهای مهم و پر نشر در چند سال گذشته عنوان شد که ادامهی مسیر بدافزارهای معروفی چون NotPetya و WannaCry را پیش برده و بیش از ۱۳ درصد از کد باجافزار NotPetya را با خود به طور مشترک به همراه داشت.
شرکتهای امنیتی Kaspersky و Avast، چندین مورد حمله به اوکراین و آمریکا را گزارش کردند و شرکت امنیتی ESET، اعلام کرد که بیش از ۶۵ درصد قربانیان در کشور روسیه قرار داشتند. پس از آن، اوکراین با ۱۲.۲ درصد، بلغارستان با ۱۰.۲ درصد، ترکیه با ۶.۴ درصد و در نهایت ژاپن با ۳.۸ درصد بیشترین قربانیان این بد افزار بودند.
از سوی دیگر جاسوسی صوتی و تصویری از کاربران مرورگر کروم نیز در این ماه کشف شد که یک نقص طراحی UX در مرورگر Chrome اجازه میداد وبسایتهای مخرب صدا یا ویدئو کاربر را بدون هیچگونه هشدار یا نشانههای بصری ضبط کرده و بدین صورت کاربر مورد سوء استفاده قرار گیرد.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از هشدار ادوبی (Adobe) برای دریافت آخرین نسخهی فلشپلیر در راستای جلوگیری از حملات بدافزاری خبر داد و اعلام کرد: هشدار Adobe مربوط به آسیبپذیری موجود در بستهی نرمافزاری چندرسانهای «فلشپلیر» بود. به همین دلیل، این شرکت از کاربران خود خواست تا با وصله کردن سامانههای خود، از این حملات جلوگیری کنند.
محققان امنیتی آزمایشگاه کسپرسکی، استفاده از این آسیبپذیری برای اجرای کدهای کنترل از راه دور را در Adobe Flash پیدا کردند که توسط گروهی به نام BlackOasis ارائه شده بود. این گروه قربانیانی را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا مورد هدف قرارداده بود.
در دیماه سالی که گذشت مرکز ماهر موضوع حملهی بدافزاری در پوشش یک فیلترشکن که با سوء استفاده از ناآگاهی کاربران موبایل منتشر شد را اعلام کرد.
تحلیلهای فنی روی کد مهاجم نشان داد که حملهی این بدافزار، با دریافت یک پیامک فریبنده که مدعی ارائهی فیلترشکن از طریق یک آدرس وب بود آغاز شد. با کلیک کردن کاربر روی لینک مذکور، بدافزار روی تلفن قربانی دانلود میشد.
در آستانهی ۲۲ بهمنماه اخباری در خصوص حمله به تعدادی از پرتالها و وبسایتهای خبری منتشر شد.
بر اساس بررسیهای صورت گرفته مشخص شد وبسایتهای خبری که مورد حمله قرار گرفته بودند در مرکز دادهی (دیتاسنتر) تبیان و مرکز دادهی شرکت پیشتاز میزبانی شدهاند. بر این اساس گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف کرد و در این فرآیند مشخص شد تمامی این سامانهها توسط یک شرکت و در بستر سیستمعامل با سرویسدهندهی وب IIS و زبان برنامهنویسی ASP.Net توسعه داده شدهاند.
شرکت تولیدکنندهی نرمافزار این سامانهها مجری بیش از ۳۰ وبسایت خبری (ازجمله وبسایتهای مورد حمله قرار گرفته) در کشور بود که نفوذ گران از این حیث به مجموعه اهداف مناسبی دست پیدا کردهاند.
شواهد موجود در فایلهای ثبت وقایع نشان داد که مهاجمان در تلاش برای نفوذ با ابزارهای خودکار و نیمهخودکار برای استخراج اطلاعاتی نظیر نام کاربری و کلمات عبور، در پایگاه داده سامانههای فوق بودند. همچنین تمامی فعالیتها و عملیات مخرب برای کشف آسیبپذیری و نفوذ به سامانهها متعلق به آدرسهای IP حملهکننده، استخراج و بررسی شد.
در این حمله مشخص شد که تمامی سایتهای خبری مورد حمله دارای نام کاربری و کلمهی عبور پیشفرض یکسان توسط شرکت پشتیبان بودند و آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا همان نام کاربری و کلمهی عبور استفاده شده در سایتها بوده و این موارد نشان داد که حداقل موارد امنیتی در مدیریت این سایتها رعایت نشده بود.
در اسفندماه ۹۶ نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از هک ۱۴۰ وبسایت داخلی خبر داد.
این مرکز موضوع را سریعاً مورد بررسی قرار داد و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد.
سایتهای مورد حمله همگی روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده به صورت محدود و تنها شامل برگزاری یک فایل متنی بود.