جزئیات خبر هک وب‌سایت‌های روزنامه ایرانی

اگر پیگیر اخبار وب سایت سخت افزار باشید، در جریان هستید که روز گذشته چند وب سایت از روزنامه های ایران (قانون، آرمان و ستاره صبح) مورد حمله سایبری قرار گرفتند. این وب سایت ها پس از آنکه برای مدتی از دسترس خارج شدند، در نهایت به حالت عادی بازگشتند. محمد جواد آذری جهرمی، وزیر ارتباطات امروز در توئیتر از بررسی این حمله خبر داد و گفت:

 بررسی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) وابسته به وزارت ارتباطات در خصوص حملات سایبری شب گذشته به برخی از سایت های خبری کشور به اتمام رسیده است. گزارش بررسی های صورت گرفته تا ساعاتی دیگر و از طریق پایگاه مرکز ماهر در دسترس قرار خواهد گرفت.

گزارش مرکز گروه فنی مرکز ماهر به شرح زیر است:

وبسایت های خبری که مورد حمله قرار گرفته اند شامل: روزنامه‌ی قانون، روزنامه‌ی آرمان، روزنامه ستاره صبح بوده که در مرکز داده تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند . گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم های هدف نموده و در این فرایند مشخص گردیده که تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل ویندوز با سرویس دهنده وب IIS و زبان برنامه نویسی Net.ASP توسعه داده شده اند.

شرکت تولید کننده نرم افزار این سامانه ها مجری بیشاز 30 وبسایت خبری به شرح زیر در کشور میباشد که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا نمودند. تهدید اخیر کماکان برای این سایت ها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال نمایند.

1. armandaily.ir
2. aminejameeh.ir
3.  kaenta.ir
4.   ghanoondaily.ir
5.   asreneyriz.ir
6.  sharghdaily.ir
7.  ecobition.ir
8.  karoondaily.ir
9.  baharesalamat.ir
10. tafahomnews.com
11. bankvarzesh.com
12.  niloofareabi.ir
13. shahrvand-newspaper.ir
14. etemadnewspaper.ir
15. vareshdaily.ir
16. bahardaily.ir
17. nishkhat.ir
18. sayeh-news.com
19. nimnegahshiraz.ir
20. shahresabzeneyriz.ir
21. neyrizanfars.ir
22. sarafrazannews.ir
23. tweekly.ir
24. armanmeli.ir
25. davatonline.ir
26. setaresobh.ir
27. noavaranonline.ir
28.  bighanoononline.ir
29.  naghshdaily.ir
30. hadafeconomic.ir

اقدامات فنی اولیه توسط مرکز ماهر به شرح زیر صورت پذیرفت:

• شناسایی دارایی های مرتبط با سامانه ها جهت تحلیل دقیق
• از دسترس خارج نمودن سامانه های که مورد حمله قرار گرفته اند، جهت بازیابی و حذف تغییرات در محتوی پیام ها
•  تغییر و یا غیرفعال سازی نام کاربری اشتراکی و پیشفرض در تمامی سامانه ها
•  ایجاد یک Snapshot و همچنین یک کپی سالم و دست نخورده از سرویس دهنده های مجازی که مورد حمله قرار گرفته اند
•  کپی کامل از تمامی فایل های ثبت وقایع بر روی سرویس دهنده های هدف

 پس از دریافت فایل های ثبت وقایع از حملات انجام شده از سرویس دهنده ها با تحلیل و بررسی تاریخچه حملات و آسیب پذیری ها حجم بالایی از فایل ها مورد تحلیل و آنالیز قرار گرفت و آیپی مبدا حملات استخراج شد که شامل 5 آیپی از کشورهای انگلستان و آمریکا بوده است.

شواهد موجود در فایل های ثبت وقایع نشان میدهد که مهاجمان از دو روز پس از کشف آسیب پذیری های از قبیل انواع  Injectionها، در تلاش جهت نفوذ با ابزارهای خودکار و نیمه خودکار جهت استخراج اطلاعات نظیر نام کاربری و کلمات عبور در پایگاه داده ی سامانه ها بوده اند. تمامی فعالیت ها و عملیات مخرب جهت کشف آسیب پذیری و نفوذ به سامانه ها، که متعلق به آدرس های IP حمله کننده استخراج و بررسی شد.

 اقدامات اصلاحی انجام شده:

• تغییر نام کاربری و کلمه عبور پیش فرض راهبر سامانه در تمامی محصوالت شرکت

 توضیح مهم در این زمینه:

تمامی سایت های خبری مورد حمله دارای نامکاربری و کلمهی عبور پیشفرض (*****) و یکسان توسط شرکت پشتیبان بوده است. همچنین در بررسی مشخص گردید که متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا می باشد که نام کاربری و کلمه ی عبور استفاده شده در سایت ها نیز همان می باشد.این موارد *****@gmail.com برابر نشان میدهد متاسفانه حداقل موارد امنیتی رعایت نشده است.

• اطلاع رسانی به تمامی دارندگان و استفاده کنندگان محصول شرکت مورد هدف
• کشف ماژول ها و بخش های آسیب پذیر در سایت های مورد حمله و اطلاع به پشتیبان جهت وصله امنیتی سریع
• هشدارها و راهنمایی های لازم جهت حفاظت و پیکربندی و مقاوم سازی سرویس دهنده و فایل ثبت وقایع بر روی تمامی سرویس دهنده ها
• اقدامات لازم برای انجام آزمون نفوذپذیری بر روی تمامی بخش ها و ماژول های سامانه مشترک