مرکز مدیریریت راهبردی افتا حملات سایبری به وزارت راه و راه‌آهن را تایید کرد

مرکز مدیریت راهبردی افتای ریاست جمهوری حملات سایبری به وزارت راه و شهرسازی و شرکت راه‌آهن را تایید و اعلام کرد این نفوذها ناشی از عملکرد ضعیف برخی دستگاه‌های دارای زیرساخت‌های حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدارهای افتا بوده است.

جمعه و شنبه گذشته اختلال سایبری در سیستم‌های کامپیوتری کارمندان وزارت راه و شهرسازی و حوزه بازرگانی شرکت راه‌آهن گزارش شد. در حالی که خبرهایی مبنی بر اختلالاتی در تابلوی اعلانات حرکت قطارها در ایستگاه راه آهن تهران به گوش می‌رسید، شرکت راه‌آهن ضمن تکذیب حمله سایبری اعلام کرد این موضوع تنها یک اختلال در حوزه بازرگانی بوده است.

در این راستا کارشناسان مرکز مدیریت راهبردی افتا ضمن تایید حملات سایبری، اعلام کردند عملکرد ضعیف برخی دستگاه‌های دارای زیرساخت‌های حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدارهای افتا، آن‌ها را در برابر حملات سایبری، کم‌دفاع  یا سیستم امنیت سایبری آنان را سست می‌کند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.

این بی توجهی‌ها موجب شده تا برخی سازمان‌ها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند، بر دسترسی‌های از راه دور خود کنترل مناسبی نداشته باشند و آسیب پذیری‌های اعلام شده را به موقع بروزرسانی نکنند.

نفوذ هکری، یک ماه پیش از حمله

به گفته کارشناسان افتا، نتایج بررسی‌ها نشان می‌دهد که مهاجمان توانسته‌اند به برخی از مدیریت سیستم‌ها دسترسی یافته و موجب اخلال در عملکرد عادی آن‌ها شوند:

«نفوذ به سامانه های وزارت راه و شهرسازی و شرکت راه‌آهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان ازهفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکرها آن را، حدود ۷ روز قبل از حادثه سایبری آماده کرده‌اند.»

بررسی‌ها نشان داده مهاجمان در هر دو حمله سایبری، تنظیمات لود شدن سیستم‌ها و کلمات عبور کاربران را حذف یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیر سیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستم ها غیرفعال کرده بودند. اما به دلیل زمان‌بر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختارهای دیتا بسنده کرده‌اند.

مهاجم یا مهاجمان سایبری در صورتی که در حمله خود، کنترل سیستم را به دست بگیرند همه زیرساخت‌های IP را تخریب کرده و بیشترین ضربه را وارد می‌کنند اما در حملات اخیر به دلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.

تلاش برای پیشگیری حملات مشابه

به گفته کارشناسان افتا، تغییر امتیازات و دسترسی‌های موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری در حمله به سیستم‌‌های وزارت راه و شهرسازی و شرکت راه‌آهن بوده است.

این مرکز برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمان‌های زیرساختی درخواست کرده تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را روی Firmware، پورت‌های مدیریتی سرورها و تجهیزات ILO و IPMI سیستم‌های خود اعمال کنند.

لزوم اجرای دقیق مدیریت مخاطرات سایبری، رصد مستمر آسیب پذیری‌ها و وصله فوری آن‌ها، جمع‌آوری و پایش لاگ و رویدادهای امنیتی مربوط به سامانه‌ها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیر ساخت برشمرده شده است.

کارشناسان مرکز مدیریت راهبردی افتا، همچنین تغییر مستمر و دقیق گذرواژه همه حساب‌های کاربری دارای سطح دسترسی بالا در سامانه‌ها و تجهیزات شبکه، بازبینی دسترسی سطح ادمین‌های شبکه، غیرفعال سازی پورت‌های بلااستفاده و سرویس‌های غیرضروری، مسدود سازی دسترسی از راه دور برای مدیریت تجهیزات و سامانه های حیاتی را از اقدام های پیشگیرانه برای نفوذ به سیستم‌های سازمانی برمی‌شمارند.

این مرکز با تاکید بر لزوم پشتیبان‌گیری از داده‌ها، اعلام کرد کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیر ساخت موظفند از دیتاهای سازمان خود به‌طور منظم نسخه‌های پشتیبان تهیه و آن‌ها را در محلی امن و مجزا نگهداری کنند.