هشدار امنیتی در خصوص حملات سایبری اخیر
۲۰ بد افزار در حمله سایبری به سازمانهای دولتی کشف شد
با توجه به حملات سایبری اخیر به برخی از سازمانها، بیش از ۲۰ فایل بد افزاری کشف و نمونهبرداری شده و پیکربندی نادرست، عدم بهروزرسانی بهموقع و عدم اعمال سیاستهای صحیح امنیتی از دلایل اصلی ضعف در شبکههای کشور اعلام شد. طی روزهای گذشته دو اختلال در حوزه بازرگانی شرکت راهآهن و وزارت راه و شهرسازی رخ داد. شرکت راهآهن اعلام کرد هیچ اختلال یا حمله سایبری به حوزه مسافری، باری یا ایستگاههای قطار بین شهری صورت نگرفته اما اختلالاتی در حوزه بازرگانی به وجود آمده است. پسازآن سایت وزارت راه و شهرسازی از دسترس خارج شد و این وزارتخانه اعلام کرد اختلال سایبری در دستگاههای کامپیوتری کارکنان ستاد این وزارتخانه ظاهر شد که در پی آن پورتال وزارتخانه و سایتهای زیرپرتال آن از دسترس خارج شد. همچنین پسازآن، محمدجواد آذری جهرمی -وزیر ارتباطات و فناوری اطلاعات- هشدار داد: مجدداً هشدار اردیبهشت ۱۳۹۷ در مورد حملات باج افزاری با سوءاستفاده از درگاه مدیریتی iLo سرورهای HP را یادآوری میکنیم. تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات سایبری با استفاده از این نقیصه، رصد و گزارششده است. توصیه میشود اگر دسترسی به این سرویس از طریق اینترنت ضروری نیست، دسترسی به آن را محدود به شبکه داخلی خود کنند، با بهروزرسانی محصولات خود مطمئن شوند که تحت تأثیر این سه آسیبپذیری قرار ندارند. با توجه به امکان نفوذ به این سرویس توسط گرههای آلودهشده شبکه داخلی، سیاستهای امنیتی سختگیرانهای ازجمله vlan بندی مجزا برای دسترسی به این سرویس از طریق شبکه داخلی اکیداً توصیه میشود. همچنین با تنظیم تجهیزات امنیتی و رویداد نگاری حساسیت ویژه نسبت به تلاش برای دسترسی به پورتهای ILO یا SSH سرورها در نظر گرفته شود.
دستورالعملهایی برای جلوگیری از وقوع حملات سایبری
کنترل دسترسی به پیکربندی سرویسهای سرور HP و بازبینی دورهای سطح دسترسیهای سطح ادمین اکتیو دایرکتوری و مرور لاگهای دسترسی به ILO سرورها میتواند نقش بسزایی در تشخیص و جلوگیری از حملات اخیر داشته باشد. با توجه به حملات سایبری اخیر به برخی از سازمانها و بررسیهای صورت گرفته، بیش از ۲۰ فایل بد افزاری برای پلتفرمهای متفاوت ویندوز، ESX و سختافزار کشف و نمونهبرداری شده است. تمامی این بد افزارها از تاریخ ۱۴۰۰/۰۴/۱۹ توسط پادویش تشخیص دادهشده و از آلودگی به آنها جلوگیری میشود.برای انجام ایمنسازی، لازم است تمامی دسترسیهای سطح ادمین به اکتیو دایرکتوری مورد بازبینی قرارگرفته و تا جای ممکن پسوردهای قبلی اکانتهای ادمین به سرعت تغییر کند. همچنین نسبت به قرارگیری اسکریپت لاگین و استارتاپ حساس بوده و این موارد بررسی شود. تمامی دسترسیهای سطح روت به سرورهای ESX, Xen, انواع Linux و انواع ویندوز سرورهای نصبشده روی سرورهای فیزیکی مورد بازبینی قرارگرفته و تا جای ممکن، رمز اکانتهای روت/ ادمین بازنشانی شود. لازم است سرویس SSH را در سرورهای ESX غیرفعال کنید، دسترسی پورتهای ILO در سرورهای HP از شبکه کاملاً قطع شود.همچنین توصیه میشود دسترسی از راه دور به شبکه در ساعات غیر کاری تا جای ممکن محدود شود و از VPN (مبتنی بر کلید خصوصی نرمافزاری یا توکن) به جای اتصال مستقیم به سرورها استفاده شود، سامانههای ثبت وقایع شبکه مورد بازبینی قرارگرفته و تمامی رخدادهای امنیتی و پیکرهبندی دستگاهها را شامل شود. نسبت به تلاش برای دسترسی به پورتهای ILO یا SSH به سرورها و دسترسیهای ریموت خارج سازمان حساس بوده و موارد هشدار را با اولویت پیگیری کنید. تهیه پشتیبان منظم از دادهها بر روی رسانههای آفلاین و اطمینان از صحت پشتیبانها هم از دیگر راهکارهای امنیتی است.