در روز شنبه مورخ 21 بهمنماه حدود ساعت 20 الی 22 اخباری در خصوص حمله به تعدادی از پرتالها و وبسایتهای خبری منتشر و باعث ایجاد نگرانیهایی در سطح جامعه شد. مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعاً مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص به عمل آورد. جهت اطلاع و رعایت نکات مهم مطرح در این زمینه، توضیح اجمالی حملهی فوق در گزارش حاضر آمده است.
وبسایتهای خبری که مورد حمله قرار گرفتهاند شامل: روزنامهی قانون، روزنامهی آرمان و روزنامهی ستاره صبح بوده که در مرکز دادهی تبیان و مرکز دادهی شرکت پیشتاز میزبانی شدهاند. گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف نموده و در این فرایند مشخص گردیده که تمامی این سامانهها توسط یک شرکت و در بستر سیستمعامل ویندوز با سرویسدهندهی وب IIS و زبان برنامهنویسی Net.ASP توسعه دادهشدهاند.
شرکت تولیدکننده نرمافزار این سامانهها مجری بیش از 30 وبسایت خبری به شرح زیر در کشور میباشد که نفوذ گران از این حیث به مجموعه اهداف مناسبی دست پیدا نمودند. تهدید اخیر کماکان برای این سایتها وجود دارد و لازم است سریعاً تمهیدات امنیتی مناسب را اعمال نمایند.
اقدامات فنی اولیه توسط مرکز ماهر به شرح زیر صورت پذیرفت:
1- شناسایی داراییهای مرتبط با سامانهها جهت تحلیل دقیق (در این زمینه متأسفانه مرکز داده تبیان هیچگونه همکاری را به عمل نیاورده است)
2- از دسترس خارج نمودن سامانههای که مورد حمله قرار گرفتهاند، جهت بازیابی و حذف تغییرات در محتوی پیامها
3- تغییر و یا غیرفعالسازی نام کاربری اشتراکی و پیشفرض در تمامی سامانهها
4- ایجاد یک Snapshot و همچنین یک کپی سالم و دستنخورده از سرویسدهندههای مجازی که مورد حمله قرار گرفتهاند
5- کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویسدهندههای هدف
پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچهی حملات و آسیبپذیریها حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و IP مبدأ حملات استخراج شد که شامل 5 IP از کشورهای انگلستان و آمریکا بوده است.
وبسایتهای خبری که مورد حمله قرار گرفتهاند شامل: روزنامهی قانون، روزنامهی آرمان و روزنامهی ستاره صبح بوده که در مرکز دادهی تبیان و مرکز دادهی شرکت پیشتاز میزبانی شدهاند. گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف نموده و در این فرایند مشخص گردیده که تمامی این سامانهها توسط یک شرکت و در بستر سیستمعامل ویندوز با سرویسدهندهی وب IIS و زبان برنامهنویسی Net.ASP توسعه دادهشدهاند.
شرکت تولیدکننده نرمافزار این سامانهها مجری بیش از 30 وبسایت خبری به شرح زیر در کشور میباشد که نفوذ گران از این حیث به مجموعه اهداف مناسبی دست پیدا نمودند. تهدید اخیر کماکان برای این سایتها وجود دارد و لازم است سریعاً تمهیدات امنیتی مناسب را اعمال نمایند.
اقدامات فنی اولیه توسط مرکز ماهر به شرح زیر صورت پذیرفت:
1- شناسایی داراییهای مرتبط با سامانهها جهت تحلیل دقیق (در این زمینه متأسفانه مرکز داده تبیان هیچگونه همکاری را به عمل نیاورده است)
2- از دسترس خارج نمودن سامانههای که مورد حمله قرار گرفتهاند، جهت بازیابی و حذف تغییرات در محتوی پیامها
3- تغییر و یا غیرفعالسازی نام کاربری اشتراکی و پیشفرض در تمامی سامانهها
4- ایجاد یک Snapshot و همچنین یک کپی سالم و دستنخورده از سرویسدهندههای مجازی که مورد حمله قرار گرفتهاند
5- کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویسدهندههای هدف
پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچهی حملات و آسیبپذیریها حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و IP مبدأ حملات استخراج شد که شامل 5 IP از کشورهای انگلستان و آمریکا بوده است.