دلیل اصلی حملههای سایبری اخیر کمتوجهی و سادهانگاری مدیران است!
به گفته مرکز مدیریت راهبری افتای ریاست جمهوری، کمتوجهی به الزامات امنیتی ابلاغ شده از قبیل طرح امنسازی زیرساختهای حیاتی در قبال حملات سایبری و هشدارهای مرکز مدیریت راهبردی افتا، علت اصلی بروز حملات سایبری جمعه و شنبه گذشته به وزارت راه و شهرسازی و شرکت راهآهن بوده است.
سادهانگاری و کمتوجهی، دلیل اصلی است
کارشناسان مرکز مدیریت راهبردی افتا اعلام کردند: «عملکرد ضعیف برخی دستگاههای دارای زیرساختهای حیاتی در اجرای الزامات امنیتی ابلاغ شده و کمتوجهی به هشدارهای افتا، آنها را در برابر حملات سایبری کمدفاع کرده و یا سیستم امنیت سایبری آنان را سست میکند. دو حمله اخیر نیز از این قاعده مستثنی نبوده است.»
کارشناسان افتا میگویند: «این بیتوجهیها موجب شده است برخی سازمانها، اینترنت و اینترانت را همچنان باهم و در یک سیستم استفاده کنند، بر دسترسیهای از راه دور خود کنترل مناسبی نداشته باشند و آسیبپذیریهای اعلام شده را به موقع بهروزرسانی نکنند.»
کارشناسان امنیت سایبری افتا یادآور شدند: «نتایج بررسیهای کارشناسان امنیت سایبری افتا نشان میدهد که مهاجمان توانستهاند به برخی از مدیریت سیستمها دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند.»
هکرها از یک ماه قبل وارد شده بودند
به گفته این کارشناسان نفوذ به سامانههای وزارت راه و شهرسازی و شرکت راهآهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری رخ داده است. همچنین مهاجمان از هفته دوم تیر ماه برنامه حمله سایبری و ابزارهای خود را کاملاً آماده کرده بودند.
اطلاعات خارج شده از اعلامیه حمله سایبری گواه آن است که هکرها آن را حدود ۷ روز قبل از حادثه سایبری آماده کردهاند.
بر اساس نظر کارشناسان افتا، مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستمها و کلمات عبور کاربران را حذف و یا تغییر داده بودند، سیستم قربانی را قفل کرده، برای خود دسترسی مدیر سیستم(Admin) ایجاد و حالت بازیابی را در برخی سیستمها غیرفعال کرده بودند.
همه زیرساختهای IP آسیب ندیدند
بررسی کارشناسان امنیت سایبری افتا نشان میدهد که به دلیل زمانبر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختارهای دیتا بسنده کردهاند.
مهاجم یا مهاجمان سایبری در صورتی که در حمله سایبری خود کنترل سیستم را به دست بگیرند، همه زیرساختهای IP را تخریب و بیشترین ضربه را وارد میکنند. خوشبختانه در حملات اخیر به دلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده و سرورهای فرعی خسارت دیده سریع جایگزین شدند.
کارشناسان امنیت سایبری مرکز افتا همچنین گفتند: «رعایت نکردن مسائل امنیتی در دورکاریها، سیستمهای ناقص، سهلانگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بهروز نکردن ضدویروسها، سرمایهگذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.»
مهاجم یا مهاجمان سایبری از آسیبپذیریهای خطرناک در برخی فرآیندهای نفوذ بهرهبرداری کردهاند. این آسیبپذیریها در سیستمهای عامل ویندوز کشف و برای ترمیم آنها در کوتاهترین زمان ممکن، از طریق مرکز افتا به دستگاههای دارای زیرساخت حیاتی کشور اطلاعرسانی دقیق شده بود.
تغییر امتیازات و دسترسیهای موجود در سیستم و ارتباط با سرور از راه دور، از دیگر اقدامات مهاجمان سایبری به سیستمهای وزارت راه و شهرسازی و شرکت راهآهن بوده است.
پیشنهاداتی برای جلوگیری از حوادث بعدی
مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمانهای زیرساختی میخواهد در اولین فرصت و با اولویتی خاص، تمهیدات امنیتی را روی Firmware، پورتهای مدیریتی سرورها و تجهیزات ILO و IPMI سیستمهای خود اعمال کنند.
لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیبپذیریها، جمعآوری و پایش لاگ و رویدادهای امنیتی مربوط به سامانهها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیرساخت برشمرده شده است.
بهروزرسانی مستمر آنتیویروس سرور و کلاینتها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بینالمللی و جداسازی شبکههای سامانههای زیرساختی از سایر شبکههای غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری است.
همچنین کارشناسان مرکز مدیریت راهبردی افتا تغییر مستمر و دقیق گذرواژه همه حسابهای کاربری دارای سطح دسترسی بالا در سامانهها و تجهیزات شبکه، بازبینی دسترسی سطح ادمینهای شبکه، غیرفعالسازی پورتهای بدون استفاده و سرویسهای غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانههای حیاتی را از اقدامهای پیشگیرانه برای نفوذ به سیستمهای سازمانی برمیشمارند.
مرکز مدیریت راهبردی افتا تأکید کرده است: «کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیرساخت موظف هستند به طور منظم از دیتاهای سازمان خود نسخههای پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.»
پیش از این محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات، در کانال تلگرامی خود این حملهها را مشابه حملات باجافزاری سال ۹۷ دانسته بود. همچنین مرکز ماهر هم در اطلاعیهای نسبت به کنترل دسترسی به سرویس HP-INTEGERATED LIGHTS OUT و پیکربندی نادرست آن برای جلوگیری از حملههای بعدی هشدار داد.