برای اطلاعات و رعایت نکات مهم مطرح در این زمینه، توضیح اجمالی حمله فوق در گزارش زیر آمده است.
وبسایتهای خبری که مورد حمله قرار گرفتهاند شامل روزنامههای قانون، آرمان و ستاره صبح بوده که در مرکز داده تبیان و شرکت پیشتاز میزبانی میشدهاند.
گروه فنی ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف کرده و در این فرآیند مشخص شده که تمامی این سامانهها توسط یک شرکت و در بستر سیستمعامل ویندوز با سرویسدهنده وب IIS و زبان برنامهنویسی ASP.NET توسعه داده شدهاند.
شرکت تولیدکننده نرمافزار این سامانهها مجری بیش از 30 وب سایت خبری به زیر در کشور است که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کردند؛ تهدید اخیر کماکان برای این سایتها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال کنند.
• armandaily.ir
• aminejameeh.ir
• kaenta.ir
• ghanoondaily.ir
• asreneyriz.ir
• sharghdaily.ir
• ecobition.ir
• karoondaily.ir
• baharesalamat.ir
• tafahomnews.com
• bankvarzesh.com
• niloofareabi.ir
• shahrvandnewspaper.ir
• etemadnewspaper.ir
• vareshdaily.ir
• bahardaily.ir
• nishkhat.ir
• sayehnews.com
• nimnegahshiraz.ir
• shahresabzeneyriz.ir
• neyrizanfars.ir
• sarafrazannews.ir
• tweekly.ir
• armanmeli.ir
• davatonline.ir
• setaresobh.ir
• noavaranonline.ir
• bighanoononline.ir
• naghshdaily.ir
• hadafeconomic.ir
اقدامات فنی اولیه توسط ماهر به شرح زیر صورت گرفت:
1. شناسایی داراییهای مرتبط با سامانهها برای تحلیل دقیق که در این زمینه مرکز داده تبیان هیچگونه همکاری را به عمل نیاورده است.
2. از دسترس خارج کردن سامانههایی که مورد حمله قرار گرفتهاند برای بازیابی حذف تغییرات در محتوای پیامها
3. تغییر یا غیرفعال سازی نام کاربری اشتراکی و پیش فرض در تمامی سامانهها
4. ایجاد یک Snapshot و همچنین یک کپی سالم و دست نخورده از سرویسدهندههای مجازی که مورد حمله قرار گرفتهاند.
5. کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویسدهندههای هدف.
پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویسدهندهها با تحلیل و بررسی تاریخچه حملات و آسیبپذیریها حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و آیپی مبدأ حملات استخراج شد که شامل پنج آیپی از کشورهای انگلستان وامریکا بوده است.
شواهد موجود در فایلهای ثبت وقایع نشان میدهد که مهاجمان از چهار روز قبل (از تاریخ 8/2/2018 الی 10/2/2018) پس از کشف آسیبپذیریهای از قبیل انواع Injectionها، در تلاش برای نفوذ با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعات نظیر نام کاربری و کلمات عبور در پایگاه داده سامانهها بودهاند.
تمامی فعالیتها و عملیات مخرب برای کشف آسیبپذیری و نفوذ به سامانهها که متعلق به آدرسهای IP حمله کننده استخراج و بررسی شد.
اقدامات اصلاحی انجام شده
1. تغییر نام کاربری و کلمه عبور پیش فرض راهبر سامانه در تمامی محصولات شرکت
توضیح مهم در این زمینه این است که تمامی سایتهای خبری مورد حمله دارای نام کاربری و کلمه عبور پیش فرض و یکسان توسط شرکت پشتیبان بوده است همچنین در بررسی مشخص شد که آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا برابر ****@gmail.com است که نام کاربری و کلمه عبور استفاده شده در سایتها نیز همان است.
این موارد نشان میدهد متأسفانه حداقل موارد امنیتی رعایت نشده است.
- اطلاعرسانی به تمامی دارندگان و استفادهکنندگان محصول شرکت مورد هدف.
- کشف ماژولها و بخشهای آسیبپذیر در سایتهای مورد حمله و اطلاع به پشتیبان برای وصله امنیتی سریع.
- هشدارها و راهنماییهای لازم برای حفاظت، پیکربندی و مقاومسازی سرویسدهنده و فایل ثبت وقایع بر روی تمامی سرویسدهندهها.
- اقدامات لازم برای انجام آزمون نفوذپذیری بر روی تمامی بخشها و ماژولهای سامانه مشترک.