پس از وعدهی وزیر ارتباطات، مرکز ماهر با صدور اطلاعیهای گزارش تحلیلی خود را از ماجرای هک شب گذشته برخی سایتهای خبری و انتشار خبر جعلی منتشر ساخت.
به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) در این اطلاعیه آمده است: حدود ساعت 20 الی 22 اخباری در خصوص حمله به تعدادی از پورتالها و وبسایتهای خبری منتشر و باعث ایجاد نگرانیهایی در سطح جامعه شد. مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص به عمل آورد.
وبسایتهای خبری که مورد حمله قرار گرفتهاند شامل: روزنامهی قانون، روزنامهی آرمان، روزنامهی ستارهی صبح بوده که در مرکز دادهی تبیان و مرکز دادهی شرکت پیشتاز میزبانی شدهاند.
بر اساس این گزارش، گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف نموده و در این فرایند مشخص گردیده که تمامی این سامانهها توسط یک شرکت و در بستر سیستمعامل ویندوز با سرویسدهندهی IIS و زبان برنامهنویسی ASP.Net توسعه داده شدهاند.
براساس این گزارش، شرکت تولیدکنندهی نرمفزار این سامانهها مجری بیش از 30 سایت خبری بالا بودند که نفوذگران از این حیث به مجموعهی اهداف مناسبی دست پیدا کردهاند.
به گزارش ایستنا، مرکز ماهر در گزارش خود تصریح کرده تهدید اخیر کماکان برای وبسایتها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال کنند.
بر اساس این گزارش، اقدامات فنی اولیه توسط مرکز ماهر به شرح زیر صورت پذیرفت:
1- شناسایی داراییهای مرتبط با سامانهها جهت تحلیل دقیق (در این زمینه متاسفانه مرکز دادهی تبیان هیچگونه همکاری را به عمل نیاورده است).
2- از دسترس خارج نمودن سامانههای که مورد حمله قرار گرفتهاند، جهت بازیابی و حذف تغییرات در محتوی پیامها
3- تغییر و یا غیرفعالسازی نام کاربری اشتراکی و پیشفرض در تمامی سامانهها
4- ایجاد یک اسنپشات و یک کپی سالم و دست نخورده از سرویسدهندههای مجازی که مورد حمله قرار گرفتهاند.
5- کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویسدهندههای هدف
پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچهی حملات و آسیبپذیریها حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و آی پی مبدا حملات استخراج شد که شامل 5 آی پی ا انگلیس و آمریکا بوده که در جدول منتشر شده توسط ماهر فهرست آی پی حملهکننده، مبدا حمله و سرویسدهندهی آن مشخص شده است.
ماهر تصریح کرده شواهد موجود در فایلهای ثبت وقایع (لاگ فایلها) نشان میدهد مهاجمان از دو روز قبل یعنی از تارین 8/2/2018 پس از کشف آسیبپذیریهایی از قبیل انواع اینجکشنها، در تلاش برای نفود با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعاتی مثل نام کاربری و کلمات عبور در پایگاههای داده (دیتابیس) سامانهها بودهاند.
به گفتهی ماهر تمامی فعالیتها و عملیات مخرب برای کشف آسیبپذیری و نفوذ به سامانهها که متعلق به آدرس آیپیهای حملهکننده است استخراج و توسط این مرکز بررسی شده است.
بر اساس اطلاعیهی مرکز ماهر دربارهی هک اخیر سایتهای خبری، تمامی سایتهای خبری مورد حمله، دارای نامکاربری و کلمهی عبور پیشفرض و یکسان توسط شرکت پشتیبان بوده است. همچنین در بررسی مشخص گردید که متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی برابر gmail.com@***** است که نامکاربری و کلمهی عبور استفاده شده در سایتها نیز همان است. این موارد نشان میدهد متاسفانه حداقل موارد امنیتی رعایت نشده است.
به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) در این اطلاعیه آمده است: حدود ساعت 20 الی 22 اخباری در خصوص حمله به تعدادی از پورتالها و وبسایتهای خبری منتشر و باعث ایجاد نگرانیهایی در سطح جامعه شد. مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص به عمل آورد.
وبسایتهای خبری که مورد حمله قرار گرفتهاند شامل: روزنامهی قانون، روزنامهی آرمان، روزنامهی ستارهی صبح بوده که در مرکز دادهی تبیان و مرکز دادهی شرکت پیشتاز میزبانی شدهاند.
بر اساس این گزارش، گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف نموده و در این فرایند مشخص گردیده که تمامی این سامانهها توسط یک شرکت و در بستر سیستمعامل ویندوز با سرویسدهندهی IIS و زبان برنامهنویسی ASP.Net توسعه داده شدهاند.
براساس این گزارش، شرکت تولیدکنندهی نرمفزار این سامانهها مجری بیش از 30 سایت خبری بالا بودند که نفوذگران از این حیث به مجموعهی اهداف مناسبی دست پیدا کردهاند.
به گزارش ایستنا، مرکز ماهر در گزارش خود تصریح کرده تهدید اخیر کماکان برای وبسایتها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال کنند.
بر اساس این گزارش، اقدامات فنی اولیه توسط مرکز ماهر به شرح زیر صورت پذیرفت:
1- شناسایی داراییهای مرتبط با سامانهها جهت تحلیل دقیق (در این زمینه متاسفانه مرکز دادهی تبیان هیچگونه همکاری را به عمل نیاورده است).
2- از دسترس خارج نمودن سامانههای که مورد حمله قرار گرفتهاند، جهت بازیابی و حذف تغییرات در محتوی پیامها
3- تغییر و یا غیرفعالسازی نام کاربری اشتراکی و پیشفرض در تمامی سامانهها
4- ایجاد یک اسنپشات و یک کپی سالم و دست نخورده از سرویسدهندههای مجازی که مورد حمله قرار گرفتهاند.
5- کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویسدهندههای هدف
پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچهی حملات و آسیبپذیریها حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و آی پی مبدا حملات استخراج شد که شامل 5 آی پی ا انگلیس و آمریکا بوده که در جدول منتشر شده توسط ماهر فهرست آی پی حملهکننده، مبدا حمله و سرویسدهندهی آن مشخص شده است.
ماهر تصریح کرده شواهد موجود در فایلهای ثبت وقایع (لاگ فایلها) نشان میدهد مهاجمان از دو روز قبل یعنی از تارین 8/2/2018 پس از کشف آسیبپذیریهایی از قبیل انواع اینجکشنها، در تلاش برای نفود با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعاتی مثل نام کاربری و کلمات عبور در پایگاههای داده (دیتابیس) سامانهها بودهاند.
به گفتهی ماهر تمامی فعالیتها و عملیات مخرب برای کشف آسیبپذیری و نفوذ به سامانهها که متعلق به آدرس آیپیهای حملهکننده است استخراج و توسط این مرکز بررسی شده است.
بر اساس اطلاعیهی مرکز ماهر دربارهی هک اخیر سایتهای خبری، تمامی سایتهای خبری مورد حمله، دارای نامکاربری و کلمهی عبور پیشفرض و یکسان توسط شرکت پشتیبان بوده است. همچنین در بررسی مشخص گردید که متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی برابر gmail.com@***** است که نامکاربری و کلمهی عبور استفاده شده در سایتها نیز همان است. این موارد نشان میدهد متاسفانه حداقل موارد امنیتی رعایت نشده است.