جزئیات شناسایی عامل حمله سایبری گسترده به کشور
مرکز ماهر در خصوص حمله سایبری و اختلال سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی اطلاعیه ای صادر کرد که به این شرح است:
حمله سایبری
«در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود ۲۰:۱۵ مورخ ۱۷/۱/۹۷، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.
در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده گردید:
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند. لازم است مدیران سیستم با استفاده از دستور “no vstack” نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت ۴۷۸۶ در لبهی شبکه نیز توصیه می شود.
در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
حمله سایبری به مراکز داده ای کشور
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند.
لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور “no vstack” غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.»
تائید حملات سایبری توسط وزیر ارتباطات
وزیر ارتباطات هم با تائید حملات سایبری به برخی از مراکز داده کشور نوشت : برخی از مراکز داده کشور با حمله سایبری مواجه شدهاند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند.
مرکز ماهر به یاری این مراکز داده، حمله را کنترل و در حال اصلاح شبکههای آنان به حالت طبیعی هستند. تلاشها برای ناامن جلوه دادنها یک فرصت برای اصلاح اشکالهاست.
بررسیهای اولیه حاکی از آن است که در تنظیمات مسیریابهای مورد حمله قرار گرفته، با حک پرچم ایالت متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است. دامنه حملات فراتر از ایران است. منشا حملات در دست بررسی است. تا کنون بیش از ۹۵ درصد مسیریابهای متاثر از حمله به حالت عادی بازگشتند و سرویس دهی را از سر گرفتند.
جزئیات بیشتر درباره حمله سایبری به مراکز داده ای کشور
با توجه به توییتهای اخیر وزیر ارتباطات در نیمههای شب ۱۷ فروردین و بامداد روز شنبه، ۱۸ فروردین، گویا حملات سایبری گستردهای به زیرساخت کشور در حال وقوع است.
چند روزی است که گزارش فراوانی مبنی بر اختلالات فراوان اینترنت به دستمان میرسد اما گویا این اختلالات، مقطعی و اتفاقی نبوده و مربوط به حمله های سایبری است.
وزیر ارتباطات در ساعت ۱۱ و ۵۴ دقیقه شب روز جمعه ۱۷ فروردین، در حساب کاربری خود در توییتر گفت:
امشب برخی از مراکز داده کشور با حمله سایبری مواجه شدهاند. تعدادی از مسیریابهای کوچک به تنظیمات کارخانهای تغییر یافتهاند. مرکز ماهر به یاری این مراکز داده،حمله را کنترل و در حال اصلاح شبکههای آنان به حالت طبیعی هستند. تلاشها برای ناامن جلوه دادنها یک فرصت برای اصلاح اشکالهاست
آذزی جهرمی دقایقی بعد و در ۲۲ دقیقه بامداد روز جمعه ۱۸ فروردین عکسی را به همراه متن زیر در توییتر خود منتشر کرد و گفت:
بررسیهای اولیه حاکی از آن است که در تنظیمات مسیریابهای مورد حمله قرار گرفته، با حک پرچم ایالت متحده، اعتراضی درباره انتخابات آمریکا صورت گرفته است. دامنه حملات فراتر از ایران است. منشا حملات در دست بررسی است
توییت وزیر ارتباطات در خصوص حمله سایبری
دقایقی بعد و در ۴۲ دقیقه بامداد امروز (۱۸ فروردین) آخرین توییت خود را تا این لحظه بدین شرح منتشر کرد:
تا کنون بیش از ۹۵ درصد مسیریابهای متاثر از حمله به حالت عادی بازگشتند و سرویس دهی را از سر گرفتند
بنابراین با توجه به این موارد، احتمالا اختلالات چند روز اخیر اینترنت در برخی ساعات،
به همین موارد مرتبط بوده و همانطور که وزیر ارتباطات اشاره کرد، حملات سایبری گستردهای،
زیرساخت کشور را هدف قرار داده است.
آپدیت ۱:۱۸ روز ۱۸ فروردین: حسام آرماندهی موسس کافه بازار به آخرین توییت وزیر جواب داد و گفت:
متاسفانه دیتاسنتر خیال پاسخگویی به مشتریانش ندارد و ما علت را باید در توییتر متوجه بشویم. در صورت امکان تخمین رفع مشکل ۵ درصد دیگر که دیوار، کافهبازار و بسیاری خدمات دیگر را با مشکل مواجه کرده نیز اعلام کنید.
و وزیر در پاسخ به سوال وی اضافه کرد:
تخمین ارائه شده به بنده برای بیست دقیقه دیگر است.
توییت آخر وزیر ارتباطات
آپدیت ساعت ۲ بامداد روز ۱۸ فروردین: نزدیک به ۱ ساعت از آخرین توییت وزیر در جواببه حسام آرماندهی مبنی بر اینکه ۲۰ دقیقه دیگر مشکلات مربوط به حمله گسترده
به زیرساخت سایبری کشور مرتفع خواهد شد، میگذرد؛ اما همچنان منتظر وزیر هستیم
تا خبر قطعی رفع این مشکل را توییت نمایند.
کافه بازار تا دقایقی قبل همچنان با مشکل مواجه بود و دیوار همچنان با نمایش ارور ۵۰۴،
از دسترس کاربران خارج شده است. هنوز از تعداد سایتهایی که تحت تاثیر این حمله و
اختلال اینترنتی قرار گرفتهاند، اطلاعی در دست نیست.
آپدیت ۲:۱۰ بامداد جمعه، ۱۸ فروردین: کافه بازار دقایقی است که به طور کامل در دسترس
قرار گرفته است، اما به نظر میرسد که با افت سرعت بسیار زیادی در هنگام لود مواجه است.
دیوار همچنان با ارور مواجه بوده و ارور “Bad Gateway” یا ۵۰۲ را به کاربران نمایش میدهد.
اختلالات سایت های مطرح کشور
آپدیت ۲:۵۰ بامداد ۱۸ فروردین: دیوار در حال حاضر ارور ۵۰۳ یا “Service Temporarily Unavailable”
نشان میدهد. به نظر میرسد سایتهای باشگاه خبرنگاران جوان (YJC)، تابناک، برترینها
و نینی بان نیز از دسترس خارج شده و یا با اختلالات لحظهای روبهرو هستند.
آپدیت ساعت ۹ روز ۱۸ فروردین: نیک نفس، رئیس مرکز تشخیص سایبری در پاسخ به
سوال مجری شبکه خبر صدا و سیما در خصوص حمله شب گذشته به زیرساخت
سایبری کشور گفت:
حمله سایبری همانطور که در گزارش مرکز ماهر هم قید شده بود، ناشی از آسیبپذیری
در قابلیت پیکرهبندی تجهیزات سیسکو بوده. این آسیبپذیری حدود ۱۰ روز قبل، اطلاعات
فنی و جزئیات مربوط به نحوه رفعش توسط این شرکت اعلام شده و اطلاعاتش در
سایت پلیس فتا و همینطور مرکز ماهر رسانهای شده و وجود داره.
مشکلی که وجود دارد، صرفا از کار افتادن این روترها و سوییچهای سیسکو در شبکه بوده
که طبیعی است که قطعی و کندی ارتباطات اینترنت را برای کاربران شرکتها در پی داشته
و هیچ نوع دسترسی غیرمجاز یا نشت اطلاعاتی رخ نداده، بنابراین جای نگرانی برای هموطنان
عزیز نیست، اما شرکتها و سازمانهایی که از این نوع تجهیزات استفاده میکنند در بسته
شبکهشان، به سرعت باید اقدام به رفع آسیبپذیری بکنن که جزئیات فنی شامل استفاده از
دستوراتی مثل show vstack و no vstack برای غیرفعالسازی و همینطور بستن پورت ۴۷۸۶
تیسیپی برای جلوگیری از ورود بستههای غیرمجاز به شبکههای کامپیوتری در سایت
پلیس فتا بهطور کامل توضیح داده شده.
این اختلالات تا حد زیادی روی سرویسدهنده اصلی کشور مشکل برطرف شده اما باتوجه
به آغاز ساعات کاری ابتدایی هفته، بعضی از شرکتها و سازمانها احتمالا متوجه اختلال
در شبکههای خودشان خواهند شد که باید سریعا نسبت به رفع آسیبپذیری و همینطور
رفع مشکل، اقدام کنند.
مشرق و تکراتو