مهمترین اتفاقات سایبری سال 96 را میتوان در محور جاسوسافزارها، حملات بدافزاری و آلودگی سیستمهای رایانهای دستهبندی کرد. این تهدیدات سایبری در سالی که گذشت از سوی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (مرکز ماهر) اعلام شد. بررسیها نشان میدهد که بالغ بر 14 حمله اینترنتی مهم، منجر به تهدید فضای سایبری کشور شد. در این راستا مرکز ماهر بالغ بر 10 هشدار مرتبط با تهدیدات سایبری به کاربران فضای مجازی داد.
نفوذ بزرگترین باجگیر سایبری در اردیبهشت
اردیبهشت 96 نرمافزار مخربی تحتعنوان «واناکرای- wannacry» با قابلیت خودانتشاری در شبکه حدود 100 کشور شیوع یافت و بالغ بر 75 هزار سیستم کامپیوتری را آلوده کرد. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باجگیر، در سطح شبکه کشور ما نیز مشاهده شد؛ به نحوی که طبق آخرین آمار این مرکز، بیش از 50 اپراتور ارتباطی و سازمان، قربانی این باج افزار در کشور شد که بیشتر این آلودگیها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها و در تهران و اصفهان شناسایی شد.
درهمین حال تحلیلگران امنیت سایبری موسسات تحقیقاتی دنیا نیز اعلام کردند که بیش از 97 درصد رایانههای مبتلا به ویروس واناکرای از سیستمعامل ویندوز 7 استفاده میکردهاند. رایانههای دارای سیستمعامل XP مبتلا به ویروس واناکرای نیز به طور دستی و توسط مالکانشان به آن مبتلا شدند.
درنهایت در تیر ماه رئیس یکی از مراکز آگاهی رسانی، پشتیبانی و امداد رخدادهای رایانهای از مهار باجگیر سایبری «واناکرای» در ایران خبر داد و گفت: واکنش در ایران به این حمله سایبری، واکنش مناسبی بود. البته این به آن معنی نیست که هیچ آلودگی را مشاهده نکردیم، بلکه منظور این است که حملات این ویروس از تب و تاب افتاد و آسیبپذیری سیستمها، در همان حد و حدود اولیه متوقف شد.
حمله به چند وبسایت دولتی در خرداد
هفتم خردادماه، برخی وبسایتها و پرتالهای سازمانها و دستگاههای اجرایی از دسترس خارج شد. به دنبال حمله و از دسترس خارج شدن این وبسایتها، سازمان فناوری اطلاعات ایران با تایید حمله سایبری صورت گرفته به این وبسایتها، از کنترل این حملات خبر داد. طبق اعلام مرکز ماهر، هدف این حمله، منع سرویس توزیع شده سیستمهای عامل ویندوز با سرویسدهندههای وب IIS بوده و تمامی اهداف مورد حمله قرار گرفته، از شرایط فنی یکسان برخوردار بودهاند.
3 حمله سایبری برای آلودگی سیستمهای کامپیوتری در تیر
تیرماه سال 96 خبر گسترش باجافزار جدیدی به نام پتیا (Goldeneye/ Petya) در نقاط مختلف جهان بازتاب وسیعی داشت. مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باجگیر سایبری پتیا (petya) دریافت نشده، اعلام کرد: نحوه گسترش این باجافزار و نیز عملکرد آن بسیار مشابه باجافزار واناکرای (WannaCry) است.
براین اساس اعلام شد که بالغ بر 32 قربانی توسط «پتیا» آسیبدیده و فایلهایشان رمرگذاری شده که قربانیان مبلغی معادل 8150 دلار بهصورت بیتکوین (پول مجازی) برای بازپس گیری اطلاعاتشان پرداخت کردند. بیشترین آسیبپذیری مربوط به کشور اوکراین بود به نحوی که گفته شد کمپانی بزرگ نفتی روسی به نام Roseneft، کمپانیهای تولیدکننده برق اوکراینی، بانکهایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفتند.
درهمین حال افزایش حمله باجافزاری به سرورهای ویندوزی در کشور، از طریق سرویس Remote Desktop از دیگر اتفاقات تیرماه 96 بود. بررسیهای فنی در این زمینه نشان داد که در این حملات مهاجمان با سوءاستفاده از دسترسیهای حفاظت نشده به سرویس ریموت دسکتاپ ویندوز (پروتکل RDP) وارد شده، آنتیویروس نصب شده را غیرفعال کرده و با انتقال فایل باجافزار، اقدام به رمزگذاری فایلهای سرور کردهاند.
در این ماه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای نیز از هک تعدادی از سامانههای دانشگاهی خبر داد. براین اساس مشخص شد که علت اصلی رخداد ایجاد شده وجود یک آسیبپذیری در یکی از مولفههای جانبی سایتهای دانشگاهی برای مدیریت و داوری همایشها بود. این آسیبپذیری منجر به بارگذاری یک صفحه توسط مهاجمان در وبسایتهای مذکور شد.
خسارت باجافزاری به سامانههای بیمارستانی در مرداد
مردادماه نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از بروز حملات باجافزاری به سرورهای ویندوزی چندین سامانه بیمارستانی در کشور خبر داد و اعلام کرد: گزارشهای متعددی از حمله باجافزارها (نرمافزار مخرب باجگیر) به سرورهای ویندوزی از جمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است.
بررسیهای فنی نشان داد که در بسیاری از این حملات، مهاجمان با سوءاستفاده از دسترسی به «سرویس دسترسی از راه دور» در سیستمعامل ویندوز که مبتنی بر پروتکل ریموت دسکتاپ (RDP) است، وارد شده، آنتی ویروس نصب شده را غیرفعال کرده و با انتقال فایل باجافزار، اقدام به رمزگذاری فایلهای سرور کردند.
حتی در مواردی مشاهده شد که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوءاستفادههای ممکن، زمان و الگوی انجام پشتیبانگیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باجافزاری بینقص شدند.
شیوع باجگیر سایبری جدید در مهر
مهرماه مرکز ماهر نسبت به انتشار نوع جدیدی از بدافزار باجگیر در فضای سایبری کشور هشدار داد که این ویروس، برای هدف قرار دادن کاربران فارسی زبان طراحی شده است. بررسیهای مرکز ماهر نشان داد که باجافزاری موسوم به TYRANT (تای رنت) با الهام از یک باجافزار متن باز در فضای سایبری منتشر شد که از صفحه باجخواهی به زبان فارسی استفاده کرده و طبیعتا برای هدف قرار دادن کاربران فارسی زبان طراحی شده است.
روش انتشار این باجافزار استفاده از پوشش فیلترشکن سایفون بود و از طریق شبکههای اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون میکرد.
شیوع باجگیرهای سایبری در آبان
آبانماه خبر انتشار جاسوسافزاری به نام دادسرای الکترونیکی (e_dadsara) که با هدف سرقت اطلاعات حساب بانکی کاربران، فعال شد، منتشر شد. این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشهای حاوی اطلاعات الکترونیکی دادسرا میکرد.
هدف اصلی این جاسوسافزار، سرقت اطلاعات قربانی بهخصوص اطلاعات حسابهای بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپبورد و برنامههای اجرا شده توسط کاربر است. همچنین مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای، از انتشار باجافزار خطرناک «خرگوش بد» خبر داد که احتمال حمله بینالمللی از طریق این باجافزار بسیار بالا بود.
باج افزار خرگوش بد (BadRabbit)، سومین نسخه از باجافزارهای مهم و پر نشر در چند سال گذشته عنوان شد که ادامه مسیر بدافزارهای معروفی، چون NotPetya و WannaCry را پیش برده و بیش از 13 درصد از کد باجافزار NotPetya را با خود به طور مشترک به همراه داشت. شرکتهای امنیتی Kaspersky و Avast، چندین مورد حمله به اوکراین و آمریکا را گزارش کردند و شرکت امنیتی ESET، اعلام کرد که بیش از 65 درصد قربانیان در روسیه قرار داشتند.
پس از آن، اوکراین با 2/ 12 درصد، بلغارستان با 2/ 10 درصد، ترکیه با 4/ 6 درصد و در نهایت ژاپن با 8/ 3 درصد بیشترین قربانیان این بدافزار بودند. از سوی دیگر جاسوسی صوتی و تصویری از کاربران مرورگر کروم نیز در این ماه کشف شد که یک نقص طراحی UX در مرورگر Chrome اجازه میداد وبسایتهای مخرب صدا یا ویدئو کاربر را بدون هیچگونه هشدار یا نشانههای بصری ضبط کرده و به این صورت کاربر مورد سوءاستفاده قرار گیرد.
شناسایی حمله بدافزاری به فلش پلیر در آذر
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از هشدار ادوب (Adobe) برای دریافت آخرین نسخه فلشپلیر در راستای جلوگیری از حملات بدافزاری خبر داد و اعلام کرد: هشدار Adobe مربوط به آسیبپذیری موجود در بسته نرمافزاری چندرسانهای «فلشپلیر» بود.
به همین دلیل، این شرکت از کاربران خود خواست تا با وصله کردن سامانههای خود، از این حملات جلوگیری کنند. محققان امنیتی آزمایشگاه کسپرسکی، استفاده از این آسیبپذیری برای اجرای کدهای کنترل از راه دور را در Adobe Flash پیدا کردند که از سوی گروهی به نام BlackOasis ارائه شده بود. این گروه قربانیانی را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا مورد هدف قرار داده بود.
سوءاستفاده بدافزاری از فیلترشکن در دی
در دی ماه سالی که گذشت مرکز ماهر موضوع حمله بدافزاری در پوشش یک فیلترشکن را که با سوءاستفاده از ناآگاهی کاربران موبایل منتشر شد اعلام کرد. تحلیلهای فنی روی کد مهاجم نشان داد که حمله این بدافزار، با دریافت یک پیامک فریبنده که مدعی ارائه فیلترشکن از طریق یک آدرس وب بود آغاز شد. با کلیک کردن کاربر روی لینک مذکور، بدافزار روی تلفن قربانی دانلود میشد.
حمله سایبری به سایتهای خبری در بهمن
در آستانه برگزاری راهپیمایی 22 بهمن ماه اخباری در خصوص حمله به تعدادی از پرتالها و وبسایتهای خبری منتشر شد. بر اساس بررسیهای صورت گرفته مشخص شد وبسایتهای خبری که مورد حمله قرار گرفته بودند در مرکز داده (دیتا سنتر) تبیان و مرکز داده شرکت پیشتاز میزبانی شدهاند.
بر این اساس گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف کرد و در این فرآیند مشخص شد تمام این سامانهها از طریق یک شرکت و در بستر سیستمعامل با سرویسدهنده وب IIS و زبان برنامهنویسی ASP.Net توسعه داده شدهاند. شرکت تولیدکننده نرمافزار این سامانهها مجری بیش از 30 وبسایت خبری (از جمله وبسایتهای مورد حمله قرار گرفته) در کشور بود که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کردهاند. شواهد موجود در فایلهای ثبت وقایع نشان داد که مهاجمان در تلاش برای نفوذ با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعاتی نظیر نام کاربری و کلمات عبور، در پایگاه داده سامانههای فوق بودند.
همچنین تمام فعالیتها و عملیات مخرب برای کشف آسیبپذیری و نفوذ به سامانهها متعلق به آدرسهای IP حملهکننده، استخراج و بررسی شد. در این حمله مشخص شد که تمام سایتهای خبری مورد حمله دارای نام کاربری و کلمه عبور پیشفرض یکسان توسط شرکت پشتیبان بودند و آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا همان نام کاربری و کلمه عبور استفاده شده در سایتها بوده و این موارد نشان داد که حداقل موارد امنیتی در مدیریت این سایتها رعایت نشده بود.
هک شدن 140 وبسایت داخلی در اسفند
در اسفندماه 96 نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای از هک 140 وبسایت داخلی خبر داد. این مرکز موضوع را سریعا مورد بررسی قرار داد و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد. سایتهای مورد حمله همگی روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده به صورت محدود و تنها شامل بارگذاری یک فایل متنی بود.