انتشار گزارشهایی از حمله باج افزاری به برخی دستگاههای دولتی کشور [بروزرسانی]
بر اساس اطلاعاتی که به دست زومیت رسیده، باجافزاری در برخی سازمانهای دولتی کشور درحال پخششدن است. امروز (۲۲ مهرماه) توصیههای امنیتی درخصوص احتمال حملهی باجافزاری برای شرکتها و سازمانهای دولتی ارسال شده است. در این متن آمده:
- از هرگونه بهروزرسانی سامانه و سیستمها جلوگیری بهعمل آید.
- از هرگونه بهروزرسانی آنتی ویروس و فایروال و تجهیزات فعال شبکه خودداری شود.
- از کلیه سیستمهای حساس و مهم، پشتیبانگیری شده و در محلی امن نگهداری شود.
- از اتصال سامانهها و سیستمهای پشتیبان و همچنین امکان دسترسی به سوابق اطلاعات پشتیبانگیریشده از شبکه جداً جلوگیری بهعمل آید.
- تا حد ممکن از اتصال به شبکهی دولت، شبکه ملی اطلاعات، مگر در موارد ضروری جداً خودداری شود.
- دسترسی اینترنتی به سامانهها و سیستمهای حساس و مهم شرکت کاملا با رعایت الزامات و موارد امنیتی ابلاغشده قبلی باید برقرار باشد و تا حد ممکن این دسترسی محدود و کاملا کنترل و پایش گردد.
- از اعطاء امکان دسترسی از راه دور به سرورها و سیستمهای اطلاعاتی و عملیاتی جداً جلوگیری شود، مگر با دسترسی VPN اختصاصی یا توکن (قفل امنیتی)
- هرگونه رفتار مشکوک و خارج از چارچوب کنترل و در صورت مشاهده به مرکز افتا استان، دفتر فناوری اطلاعات، توسعهی مدیریت و تحول اداری و دفتر حراست و امور محرمانهی شرکت مادر اطلاعرسانی گردد.
ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات، با تأیید حملهی باجافزاری به زومیت میگوید، برخلاف ادعاهای منتشرشده در فضای مجازی، این حمله گسترده نبوده و تاکنون تنها دو دستگاه دولتی درگیر آن شدهاند. بهگفتهی صادقی شواهد حمله در جاهایی دیده شده و در جاهایی هنوز بهطور گسترده دیده نشده است؛ هشدار منتشرشده هم بهمنظور پیشدستی در پیشگیری از خسارات احتمالی ارسال شده است.
صادقی در واکنش به اخباری مبنی بر حملهی DDOS (Distributed Denial of Service)، ضمن رد آن میگوید درابتدا گمانههای دراینباره میزدیم و با بررسیها مشخص شد که چنین حملهای رخ نداده است. حملهی دیداس زمانی رخ میدهد که حجم زیادی از تقاضای کاذب عمدا از یک مکان بهسمت سرور مورد هدف روانه شود تا آن سرور از کار بیفتد.
بنا به اظهار صادقی، بررسی فنی برای مشخصکردن ابعاد ماجرا و احتمال درگیری دیگر سازمانها درحال انجام است. باجافزار با رمزنگاری کردن دادههای شخصی، خواندن آنها را غیرممکن میکند.
بهروزرسانی ۲۳ مهرماه:
معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ظهر امروز در گفتوگو با شبکه خبر، ضمن اعلام بزرگبودن حملهی سایبری به زیرساخت کشور، اعلام کرد که ما نمونهی بزرگتر از این حملات را هم در کشور داشتیم و توانستیم با آنها مقابله کنیم. ابوالقاسم صادقی گفت: «اتفاق دیروز، رخدادی مبتنی بر یک آسیبپذیری مهم و حیاتی بود که مراجع بینالمللی هم در رابطه با آن گزارش داده بودند.»
صادقی اظهار کرد که ۲۶ شهریور و و سوم مهر ماه، هشدارهایی ازطریق مرکز ماهر دررابطهبا یک آسیبپذیری مهم اعلام شد. اطلاعیههای مذکور مربوط به ارتقای مجوز دسترسی (elevation of privilege) با شناسه CVE-2020-1472 در Netlogon مایکروسافت بود و هکرها هم با بهرهبرداری از همین آسیبپذیری در سیستمهایی که هنوز بهروزرسانی نشدهاند، دسترسی Administrator دامنه را به دست آوردند.
معاون امنیت سازمان فناوری اذعان کرد که حملهی یادشده توسط مرکز ماهر، پلیس فتا و افتای ریاست جمهوری بهموقع رسیدگی شد و آسیب جدی به زیرساختهای ارتباطی سازمانهای موردحمله وارد نشد.
ظاهرا سازمان بنادر کشور و وزارت راه مورد حملهی باجافزاری قرار گرفتهاند.