ردپای حمله سایبری «میرای» در ایران

Tejarat Daily - - صفحه اول -

در چن//د هفت//ه گذش//ته جه//ان ش//اهد حم//الت سایبری تازهای بود. براساس بررس//یهای پژوهشی مراکز تماس و عملیات ش//بکه این حمالت که از نوع DOS بود و بهوس//یله بدافزار «میرای» انجام میشد، در اروپا تعداد زیادی قربان//ی گرفت. برپایه آنچ//ه اعالم ش//د، هدف این حمالت از کار انداختن تجهیزات اینترنت اش//یاء )IOT( بود. در این حمالت هکرها با استفاده از شبکههای باتنت (شبکهای که به منظور حمله س//ایبری به وس//یله هکرها به وجود میآید و به وسیله نصب نرمافزار روی سیستم قربانی، از آن برای مقاصد هکر استفاده میشود) از یک درگاه باز اینترنتی روی این مودمها به ش//ماره ۷۴۵۷ بهرهب//رداری کردند. این درگاه متعلق به پروتکل RT-۹۶۰ اس//ت و بهط//ور معمولISPه//ا ب//ا استفاده از آن تنظیمات از راه دور مودم کاربران را انجام میدهند.

هکرها با استفاده از این درگاه و پروتکل مربوط به آن برخی از کدهای دس//توری را روی مودمها انجام دادند تا بتوانند درگاههای 22(اساساچ)، 32(تلنت) و ۰۸(وب) را در دس//ت بگیرند. البته ی//ک ماه پیش از ش//روع چنین حمله س//ایبری گستردهای، شرکت امنیتی BadCyber با یک اس//کن جهانی بیش از ۵میلیون تجهیز اینترنتی را در این زمینه آسیبپذیر اعالم کرد و در ادامه نیز این درگاه بهعنوان یک تهدید امنیتی مطرح شده بود؛ برخی کارشناسان امنیتی همین اعالم را دلیل حمله سایبری اخیر میدانند.

البته این حمله س//ایبری تنها به اروپا محدود نش//د و ردپ//ای آن به ایران نیز رس//ید. ماجرا از آنجا آغاز ش//د که روز پنجش//نبه 11 آذر ۵۹ از حدود س//اعت ۹1 تماسهایی از س//وی کاربران با مراکز تم//اس اینترنتی برقرار ش//د که در آن کارب//ران از قطع کامل ی//ا قطع و وصلی مکرر به اینترنت شکایت داشتند.

اقدامات پش//تیبانی اولیه و اطالعات بهدس//ت آم//ده هیچ الگوی خاصی مبنی بر بروز مش//کل در ی//ک مرکز یا ش//هر خاص را ارائ//ه نمیداد و مرکز عملیات ش//بکه نیز هیچ مش//کل درون یا برونش//بکهای (ش//رکت مخابرات و زیرساخت) را مش//اهده نمیکرد. اما بعد از حدود دو ساعت جم//ع آوری اطالعات از کاربران، وجه مش//ترک و الگوی رخ//داد به وجود آم//ده در یک عبارت خالصه شد؛ «مودمهای زاکسل» و به این ترتیب متوجه ش//دیم دامنه این حمله سایبری به ایران رس//یده ام//ا در ایران ب//ه دلیل مح//دود کردن دسترسیهای تنظیمات از راه دور از سوی ISP ها روی مودمها، تبعات این حمله سایبری بسیار کمتر از شرکت مخابرات آلمانی گزارش شد.

بع//د از شناس//ایی و تش//خیص ای//ن رخداد، نخس//تین اقدام بروزرس//انی فریم ور یا سیستم عام//ل مودمها بود تا این حفره امنیتی پوش//ش داده شود.

در ته//ران تعداد کارب//ران تح//ت تاثیر کمتر از ۰۰3 نف//ر گ//زارش ش//د و یک//ی از ISPهای بزرگ داخل کش//ور بهعنوان ی//ک راهکار موقت )Workaround( ارائ//ه مودمه//ای امانتی به کارب//ران را جزو سیاس//تهای مش//تریمداری خود قرار داد. البته شرکت زاکسل برای حل این مش//کل در فریم ور (سیس//تم عامل نصب شده روی تجهیزات س//ختافزاری) بروز ش//ده خود ن//ام کارب//ری را از حالت پیش admin/ضر//ف admin ب//ه 123۴/admin تغیی//ر داد و در تنظیمات، کاربر را ب//ه تغییر گذرواژه به حداقل ۶ کاراکت//ر مجبور کرد. اما مش//کل آنجا بود که چون بداف//زار هر دودس//ته پروت//کل مربوط به تنظیم//ات از راه دور و محلی را تحت تاثیر قرار داده بود، دسترس//ی به صفحه تنظیمات مودم از س//وی کاربران هم مقدور نبود تا این بروزرسانی انج//ام ش//ود، به همی//ن دلیل تنها بروزرس//انی سیس//تم عاملمودمه//ا، مش//کل دسترس//ی به صفحه تنظیم//ات کاربران را برط//رف نکرد و با تغییر گ//ذرواژه و تغییر تنظیم//ات دیواره آتش )Firewall( از وضعی//ت متوس//ط ب//ه زی//اد و مس//دود کردن تمامی دسترس//یهای مدیریت تنظیمات مشکل برطرف شد.

مجید کیوان کارشناس حوزه مدیریت رخداد

Newspapers in Persian

Newspapers from Iran

© PressReader. All rights reserved.