Tag Archives: حمله

حمله هکر‌های چینی به نیروی دریایی ارتش آمریکا



خبرگزاری مهر: هکرهای چینی با نفوذ به سرورهای یک شرکت پیمانکار نیروی دریایی ارتش آمریکا موفق به سرقت اطلاعات حساسی در مورد جنگ افزارهای زیردریایی پنتاگون شدند.

 منابع خبری آمریکایی مدعی هستند که این هکرها به دولت چین وابسته هستند. حجم اطلاعات به سرقت رفته بسیار بالا گزارش شده است. ظاهرا این اطلاعات شامل داده هایی در مورد برنامه های نیروی دریایی ارتش آمریکا برای تولید موشک های مافوق صوت ضدکشتی نیز هست. قرار است از این موشک ها در زیردریایی های ارتش آمریکا استفاده شود.

حملات یادشده در ماه های ژانویه و فوریه انجام شده و پلیس فدرال آمریکا به همراه نیروی دریایی ارتش این کشور در حال تحقیق و بررسی در این زمینه هستند.

در حالی که طرف آمریکایی از هرگونه اظهار نظر بیشتر در این زمینه خودداری کرده، سفارت چین در آمریکا هم از این مساله اظهار بی اطلاعی کرده است.

نام شرکت پیمانکاری که با نیروی دریایی ارتش امریکا همکاری داشته، افشا نشده است. اما گفته شده که این شرکت نیز ماهیت نظامی دارد و ساختمان و دفتر آن در نیوپورت واقع در رودآیلند قرار دارد.

حجم اطلاعاتی که توسط هکرها سرقت شده بالغ بر ۶۱۴ گیگابایت بوده و مربوط به طرحی موسوم به اژدهای دریاست. برخی اطلاعات مربوط به سیستم های ارسال پیام و حسگرها، اتاق های مخابراتی زیردریایی های آمریکایی، سیستم های رمزگذاری آنها و واحدهای جنگ الکترونیک این زیردریایی ها نیز به دست هکرها افتاده است. تمامی این اطلاعات ماهیت فوق محرمانه داشته اند.


حمله هکر‌ها به آیفون و آی‌پد از راه دور



خبرگزاری ایسنا: هنگامی­که آی­فون خود را به یک لپ‌تاپ متصل می‌­کنید، مراقب باشید؛ محققان یک حمله برای کاربران آیفون و آی‌پد شناسایی کرده­‌اند که می‌تواند این امکان را به کسی که به او اعتماد دارید بدهد تا از راه دور کنترل مداوم به دستگاه اپل شما داشته باشد.

 اپل یک ویژگی همگام‌سازی iTunes Wi-Fi را در iOS ارائه می­‌دهد که به کاربران اجازه هماهنگ کردن آیفون خود با کامپیوتر به صورت بی­‌سیم را می­‌دهد. هنگامی­که آی­فون خود را به یک لپ‌تاپ قابل اطمینان برای شارژ سریع و یا به اشتراک‌گذاری متصل می‌­کنید، مراقب باشید. محققان سیمانتک یک هشدار امنیتی برای کاربران آیفون و آی‌پد در مورد حمله­‌ای جدید صادر کرده­‌اند که «TrustJacking» نام دارد؛ این حمله می‌­تواند این امکان را به کسی که شما به او اعتماد دارید، بدهد تا از راه دور کنترل مداوم به دستگاه اپل شما داشته باشد.

پس از فعال شدن ویژگی همگام‌سازی، به مالک کامپیوتر اجازه داده می‌شود بدون استفاده از هرگونه احراز هویت، حتی در زمانی که تلفن شما به طور فیزیکی به آن رایانه متصل نیست، به طور مخفیانه برروی آی­فون شما از طریق شبکه Wi-Fi جاسوسی کند.

با خواندن متن، کاربر اینگونه تصور می­‌کند که این اتصال تنها به حالتی که دستگاه به طور فیزیکی به کامپیوتر متصل است، مربوط می­‌شود، بنابراین فرض را بر این می‌­گذارد که قطع آن از دسترسی به اطلاعات شخصی جلوگیری می­‌کند. اما سیمانتک معتقد است از آنجایی که هیچ نشانه قابل‌توجهی در دستگاه قربانی وجود ندارد، این ویژگی می­‌تواند از اعتماد قربانی در ارتباط بین دستگاه iOS خود و رایانه بهره­‌برداری کند.

همچنین مهاجم می­‌تواند از این دسترسی به دستگاه برای نصب برنامه‌­های مخرب استفاده کند و حتی برنامه‌های موجود را با یک نسخه پیچیده اصلاح شده دقیقا شبیه برنامه اصلی، جایگزین کند، همچنین می‌­تواند هنگام استفاده از برنامه از کاربر جاسوسی کرده و با نفوذ در APIهای خصوصی از سایر فعالیت­‌ها در هر زمانی مطلع شود.

حمله TrustJacking همچنین می‌­تواند از راه­‌ دور از کامپیوترها برای تماشای صفحه نمایش دستگاه شما در حالت real-time با عمل ارسال مکرر تصاویر از صفحه نمایش استفاده کند و این یعنی مشاهده و ضبط هر عمل شما. بر اساس اطلاعات سایت پلیس فتا، اپل برای حل معضل TrustJacking در حال حاضر یکی دیگر از لایه‌های امنیتی را در سیستم عامل iOS 11 ارائه داده است. محققان سیمانتک، از کاربران خواسته­‌اند تا کد عبور آی­فون خود را در هنگام اتصال آی­فون به یک کامپیوتر وارد نکنند. با این حال، سیمانتک معتقد است که این مشکل هنوز برقرار است زیرا اپل مشکل اصلی را حل نکرده است.

بهترین و ساده‌­ترین راه برای محافظت از امنیت دستگاه خود این‌­است که اطمینان حاصل کنید که هیچ دستگاه ناخواسته‌­ای توسط دستگاه iOS شما همگام‌سازی نشده باشد. برای این­ کار، می­‌توانید فهرست رایانه‌­های قابل اعتماد را با رفتن به تنظیمات ← عمومی ← تنظیم مجدد ← تنظیم مجدد مکان و حریم خصوصی حذف کنید.
همچنین، نکته مهم این‌­است که همواره باید هنگام شارژ دستگاه آی او اس خود، درخواست دسترسی trust the computer را رد کنید.


حمله سایبری به دو بانک بزرگ کانادا


خبرآنلاین: مقامات دو بانک بزرگ در کانادا تائید کردند اطلاعات نزدیک به ۹۰ هزار مشتری در یک حمله سایبری بی‌سابقه به سرقت رفته است.

دو قربانی اصلی در اولین حمله عمده سایبری به سیستم مالی این کشور، بانک مونترآل و بانک تجارت امپریال/ CIBC هستند.

بانک مونترآل به‌عنوان چهارمین بانک بزرگ کانادا در بیانیه‌ای تائید کرد حمله‌کننده با مسئولان بانک تماس تلفنی داشته و ادعا کرده است که اطلاعات بانکی برخی مشتریان را در اختیار دارد. سخنگوی بانک می‌گوید او کمتر از ۵۰ هزار حساب از ۸ میلیون حساب کاربران را هک کرده است. وی از پاسخ به این سؤال که آیا پولی هم به سرقت رفته است یا نه، طفره رفت.

البته حمله‌کنندگان تهدید کرده‌اند که دیتای کاربران را در صورت پاسخ ندادن به درخواستشان، روی اینترنت منتشر خواهند کرد و به همین خاطر با مقامات امنیتی دست به تحقیق دراین‌باره زده‌اند. مدیران بانک مونترآل می‌گویند حمله‌کنندگان بیرون از کانادا هستند.

بانک تجارت امپریال نیز به‌عنوان پنجمین بانک بزرگ کانادا از سرقت مستقیم دیتای ۴۰ هزار کاربر خود از شعبه Simplii خبر داد ولی از ذکر جزییات خودداری کرد.

سهام هر دو کمپانی پس از انتشار خبر حدود ۰٫۳ درصد کاهش یافت و سایر بانک‌های کانادایی اعلام کردند موردحمله واقع نشده‌اند.

سال گذشته دریکی از بزرگ‌ترین حملات سایبری دیتای بیش از ۱۴۶ میلیون مشتری موسسه مالی اعتباری Equifax سرقت شد و بی‌اعتباری گسترده‌ای را موجب شد.


۱۰۰ کشور هدف حمله بدافزار «VPN فیلتر»



خبرگزاری مهر: مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری با اشاره به گزارش منتشر شده توسط Cisco Talos، اعلام کرد که بدافزار جدید «وی پی ان فیلتر» با ویژگیهای منحصر به فردی دستگاه‌ها و روترهای اینترنت اشیاء (IoT ) را مورد هدف قرار داده است. طبق اعلام سیسکو، تحقیقات صورت گرفته روی این بدافزار هنوز به پایان نرسیده اما به دلیل مخاطرات تاثیرگذار این بدافزار، یافته‌های کنونی به صورت عمومی به اشتراک گذاشته شده تا دستگاه‌ها و قربانیان تحت تاثیر قرار گرفته بتوانند محافظت‌ها و اقدامات لازم را انجام دهند.

طبق تحقیقات صورت گرفته، کدهای این بدافزار با بدافزار BlackEnergy که حملات گسترده‌ای را روی دستگاه‌های مستقر در کشور اکراین انجام داده، همپوشانی و اشتراک دارد. در حال حاضر نیز، بدافزار VPNFilter به سرعت در حال انتشار در کشور اکراین است و همچنین از یک سرور C&C (C۲) مستقر در این کشور نیز بهره می‌برد.

بر اساس گزارش‌های ارائه شده، وسعت حملات و قابلیت‌های این بدافزار نگران‌کننده است. به طور کلی تخمین زده می‌شود که حداقل ۵۰۰ هزار دستگاه در ۵۴ کشور مختلف آلوده شده‌اند.

این تحقیقات نشان می دهد که تاکنون، دستگاه‌های Linksys، MikroTik، NETGEAR، تجهیزات شبکه‌ای دفاتر کوچک و منازل (SOHO) TP-Link و دستگاه‌های ذخیره‌سازی متصل به شبکه (NAS) QNAP هدف این بدافزار بوده‌اند. با توجه به تحقیقات فعلی سیسکو، هیچ دستگاهی از شرکت‌های دیگر از جمله سیسکو تاکنون توسط VPNFilter آلوده نشده‌اند.

بدافزار VPNFilter دارای ویژگی‌های بسیار مخربی است، بطوریکه اجزاء این بدافزار می‌تواند اطلاعات مربوط به احراز هویت وبسایت‌ها را به سرقت ببرد و بر پروتکل‌های Modbus SCADA نظارت کند. علاوه براین، این بدافزار می‌تواند دستگاه‌های آلوده را کاملا از کار بیاندازد و دسترسی هزاران قربانی در سطح جهان را از اینترنت قطع کند.

به دلیل نوع دستگاه‌های مورد هدف، محافظت در برابر این بدافزار مشکل است. این نوع دستگاه‌ها در محیط شبکه هستند و دارای سیستم محافظت نفوذ (IPS) نیز نیستند. همچنین این دستگاه‌ها سیستم محافظت مبتنی بر میزبان مانند بسته های آنتی‌ویروس نیز ندارند.

مرکز افتا با ارائه یافته‌های فنی در مورد این بدافزار، روش‌های مقابله با این تهدید و نحوه مدیریت دستگاه آلوده شده را اعلام کرد.

VPNFilter، بدافزاری چند مرحله‌ای

بدافزار VPNFilter یک بدافزار چند مرحله‌ای، با ساختار ماژولار و دارای قابلیت‌های مختلف است که می‌تواند عملیات‌ جمع‌آوری اطلاعات و حملات سایبری را پشتیبانی کند.

بدافزار در مرحله اول، نسبت به راه اندازی مجدد دستگاه اقدام می‌کند، فرایندی که این بدافزار را با سایر بدافزارهای دستگاه‌های IoT متمایز می‌کند. زیرا به طور معمول یک بدافزار پس از راه‌اندازی مجدد دستگاه، در آن باقی نمی‌ماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیاده سازی مرحله دوم فراهم شود.

در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده می‌کند. این امر باعث می‌شود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیش‌بینی زیرساخت‌های سرورهای C&C مقاوم باشد.

قابلیت‌های بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمع‌آوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخه‌های بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد. بطوریکه با بدست گرفتن کنترل بخش حیاتی Firmware دستگاه و راه اندازی مجدد آن، باعث از کار افتادن دستگاه می‌شود.

در مرحله سوم، ماژول‌های مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل می‌کنند. این پلاگین‌ها قابلیت‌های بیشتری به بدافزار مرحله دوم اضافه می‌کنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که عبارتند از یک packet sniffer که روی ترافیک شبکه نظارت می‌کند تا اطلاعات احراز هویت سایت‌ها را به سرقت ببرد و روی پروتکل‌های Modbus SCADA نظارت کند و دوم یک ماژول ارتباطی که برای بدافزار مرحله دوم امکان ارتباط از طریق Tor را فراهم می‌کند.

سیسکو با اطمینان زیادی ادعا کرده است که ماژول‌های دیگری نیز موجود هستند که هنوز قادر به کشف آنها نشده‌اند.

فعالیت‌های بدافزار

به دنبال تحقیقات صورت گرفته توسط سیسکو به منظور مشخص شدن ابعاد این تهدید و رفتار دستگاه‌های آلوده، این گروه تحلیل‌های نظارتی را در دستور کار خود قرار داده است. نتایج حاکی از آن است که این تهدید، جهانی و وسیع است و به دنبال گسترش خود است.

در اوایل ماه می میلادی اسکن‌های TCP فراوانی روی پورت‌های ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ دستگاه‌های آلوده مشاهده شده است. اسکن این پورت‌ها نشان می‌دهد که مهاجمان به دنبال دستگاه‌های NAS مربوط به QNAP و Mikrotik هستند. این اسکن‌ها دستگاه‌های بیش از ۱۰۰ کشور مختلف را مورد هدف قرار داده است.

در تاریخ ۸ ماه می، فعالیت‌های این بدافزار گسترش یافته است و تقریبا تمامی قربانیان جدید از کشور اوکراین بوده است. همچنین، در تاریخ ۱۷ می، قربانیان جدیدی از کشور اوکراین نیز مشاهده شدند که اهمیت این مخاطره جدی را بیان می‌کند.

وابستگی حملات

طبق بررسی‌های صورت گرفته، ارتباطاتی میان حملات انجام شده از طریق بدافزار VPNFilter و گروه Sofacy یا FancyBear مشخص شده است. گروه Sofacy پیش‌تر در حملات سایبری بین‌المللی علیه امریکا و سایر کشورها از طرف دولت روسیه نقش داشته است. این گروه با عناوین apt۲۸، sandworm، x-agent، pawn storm، fancy bear و sednit نیز شناخته می‌شود.

محافظت در برابر این تهدید

به دلیل ماهیت دستگاه‌های آلوده، محافظت در برابر این تهدید بسیار مشکل است. اکثر دستگاه‌ها به اینترنت متصل هستند و هیچ لایه امنیتی میان آنها و مهاجمان وجود ندارد. علاوه بر این، اغلب دستگاه‌های آلوده دارای آسیب‌پذیریهای شناخته‌شده هستند و اعمال وصله برای آنها برای کاربران معمولی دشوار است. از طرفی، بیشتر این دستگاه‌ها قابلیت‌های ضد بدافزار نیز ندارند. سه مورد بیان شده دلایل کافی بر این امر هستند که مقابله با این تهدید فرایند دشواری است.

با این وجود سیسکو از زوایای مختلفی، محافظت‌هایی برای این تهدید ارائه کرده است. در همین راستا بیش از ۱۰۰ امضای Snort برای آسیب‌پذیری دستگاه‌های مربوط به این تهدید منتشر شده است. این قوانین بصورت عمومی منتشر شده‌اند تا همه بتوانند از آنها استفاده کنند. بعلاوه، سیسکو دامنه‌ها، IPها و hash فایل‌های مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکت‌های Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاع‌رسانی شده است.

توصیه‌ها

انجام موارد زیر از طرف سیسکو توصیه شده‌اند:

• کاربران روترهای SOHO و دستگاه‌های NAS، دستگاه‌های خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله ۲ و ۳ از دستگاه حذف شوند.

• ارائه دهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران راه‌اندازی مجدد کنند.

• اگر دستگاهی مشکوک به آلوده بودن توسط این بدافزار است، نسبت به بروزرسانی آن به آخرین وصله‌های ارائه شده توسط سازنده اقدام فوری شود.

• ارائه دهندگان سرویس اینترنت اطمینان حاصل کنند که دستگاه‌های مشتریان به آخرین نسخه‌های نرم‌افزار یا Firmware بروزرسانی شده باشند.

• بدلیل احتمال انجام عملیات مخرب این عامل تهدید روی سایر دستگاه‌ها، توصیه می‌شود که موارد فوق برای تمامی دستگاه‌های SOHO یا NAS مدنظر قرار گیرند.


توضیحات مرکز ماهر درباره حمله به سرورهای ایمیل


خبرگزاری مهر: مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای بار دیگر با اعلام اطلاعیه ای، در مورد افزایش شدت حملات سایبری به سرورهای ایمیل در کشور، توضیح داد.

مرکز ماهر اول خردادماه با اعلام گزارشی نسبت به افزایش شدید حمله به سرویس دهنده‌های ایمیل سازمانی هشدار داد و توصیه کرد که مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند. همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد.

در این زمینه این مرکز بار دیگر توضیحات جدیدی به هشدار قبلی اضافه و اعلام کرد: ایمیل سرورهای مورد استفاده در سطح سازمان‌ها و شرکت‌ها در کشور از نظر نرم‌افزار و نحوه پیاده سازی بسیار متنوع هستند و نمی‌توان به سادگی ادعا کرد که اکثر سرویس دهنده‌ها متصل به active directory یا directory service های دیگر هستند.

در اطلاعیه منتشر شده اشاره‌ای به جزئیات و چگونگی پیاده سازی قابلیت Lockout‌ نشده است. در توصیه ارائه شده نیز منظور مسدود سازی دسترسی از طریق حساب ایمیل است. بدیهی است مدیران سیستم لازم است تنظیمات و توصیه‌های دریافتی را با مطابقت با نیازمندی‌ها و شرایط زیرساخت خود بکار ببندند.

متاسفانه همه سرویس دهنده‌های ایمیل مورد استفاده، قابلیت شناسایی و مسدودسازی آدرس های با تلاش ناموفق را ندارند. علاوه بر این با توجه به دسترسی مهاجمان به شبکه های بزرگ بات و IPهای متعدد با سوءاستفاده از این ظرفیت، مهاجم می تواند حمله brute force خود را با آدرس های متعدد ادامه دهد.

در هر صورت بدون شک تمام کاربران ترجیح خواهند داد حساب کاربری آنها در صورت وقوع حمله موقتا مسدود شود تا اینکه مورد نفوذ و سوءاستفاده‌ مهاجم قرار گیرد.

لازم است مدیران سیستم ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجه با اختلالات مشابه موضوع را به اطلاع مرکز ماهر برسانند.

گفته شده است که حملات سایبری کشف شده از نفوذ به ایمیل سرورها در قالب brute force روی رمز عبور از طریق پروتکل‌های imap و pop۳ و نیز حمله DOS‌ از طریق ارسال دستورات پی‌درپی imap و pop۳ صورت می‌گیرد.


حمله بدافزار‌ها به آیفون و رایانه‌ها هم سرایت کرد



خبرگزاری ایسنا: حملات بدافزارها، باج افزارها و ویروس‌های رایانه‌ای که در سال ۲۰۱۷ در مقایسه با سال‌های گذشته به بیش‌ترین حد خود رسیده بود، حالا بر اساس تازه‌ترین تحقیقات صورت گرفته، پیش‌بینی شده است که سال جاری میلادی حملات سایبری توسط بدافزارهای جدید رکورد خواهند زد.

حالا متخصصان امنیت سایبری فعال در آزمایشگاه‌های شرکت کاسپرسکی به تازگی اعلام کرده‌اند که یک بدافزار جدید در حملات سایبری گسترده‌ای که پیشتر گوشی‌های هوشمند اندرویدی را هدف قرار داده بود، به‌روزرسانی شده و دستگاه‌های الکترونیکی بیشتری از جمله گوشی‌های iOS و رایانه‌های شخصی را در معرض خطر هک قرار داده است.

این بدافزارها که مودم و روترهای اینترنت وای فای را هدف قرار داده‌اند به منظور دسترسی یافتن به اطلاعات شخصی و مالی کاربران توسعه داده شده‌اند.

بدافزارها، باج ‌افزارها و حملات DDOS از جمله تهدیدهای امنیتی بودند که از سال ۲۰۱۶ کاربران فضای مجازی را در معرض خطر حملات سایبری قرار داده‌اند و موجب لو رفتن اطلاعات شخصی و محرمانه آن‌ها شده است.

همانطور که در اخبار گذشته اشاره شده است، سالانه شرکت‌ها و سازمان‌های دولتی و خصوصی بزرگی در سراسر جهان متحمل خسارات و آسیب‌های جبران ناپذیری می‌شوند که از جمله مهم‌ترین آن‌ها می‌توان به حمله سایبری به شرکت مالی اکوئیفاکس در آمریکا، سازمان بهداشت و سلامت در انگلستان، وزارت‌های دفاع و امور خارجه بسیاری از کشورها، شرکت حسابرسی دیلویت (Deloitte) در آمریکا اشاره کرد.

بنابراین می‌توان گفت خطر حملات سایبری در کمین تمامی افراد، کاربران و شرکت‌های کوچک و بزرگ در جهان است و دیگر نمی‌توان ادعا کرد که کسی از گزند و خطرات حملات سایبری در امان است. حمله سایبری توسط بدافزار واناکرای (WannaCry) به طور قطع یکی از مهلک‌ترین حملاتی است که در طول سال‌های اخیر صورت گرفته است.

حملاتی که بدافزار واناکرای در سال گذشته به کشورها، سازمان‌ها و شرکت‌های بسیاری کرد، خسارات جبران ناپذیر بسیاری را برای آن‌ها برجای گذاشت. به تازگی نیز ویروس رایانه‌ای و بدافزار “خرگوش بد” سرو صدای بسیاری به راه انداخته است و به شرکت‌ها، بانک‌ها و موسسات کوچک و بزرگی در کشورهای مختلف بخصوص در اروپا حمله کرده و اطلاعات محرمانه آنها را به سرقت برده است.


حمله سایبری به ایمیل‌های سازمانی



خبرگزاری مهر: مرکز ماهر با اعلام گزارشی فوری در خصوص شناسایی حملات سایبری به سرویس دهنده های ایمیل سازمانی در کشور هشدار داد.

این مرکز اعلام کرد: پیرو گزارشات واصله از سطح کشور،‌ حملات به سمت سرویس دهنده‌های ‫ایمیل سازمانی افزایش شدیدی داشته است. این حملات در قالب brute force روی رمز عبور از طریق پروتکل‌های imap و pop۳ و نیز حمله DOS‌ از طریق ارسال دستورات پی‌درپی imap و pop۳ صورت می‌گیرد.

حملات فوق الذکر عمدتا از بلوک IP آدرس‌های زیر رصد شده است:

۹۲.۶۳.۱۹۳.۰/۲۴
۵.۱۸۸.۹.۰/۲۴

مرکز ماهر اکیدا توصیه کرده که مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند.

همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور موفق (account lockout) فعال باشد.

لازم است مدیران سیستم های سازمانی، ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجهه با اختلالات مشابه موضوع را به اطلاع مرکز ماهر برسانند.


حمله هکرهای منتسب به کره‌شمالی به پلی‌استور



خبرگزاری فارس: محققان امنیتی شرکت مک آفی از شناسایی یک حمله هکری منحصر به فرد به فروشگاه اینترنتی گوگل موسوم به پلی استور خبر داده اند.

هکرهای یادشده که گروهی موسوم به سان تیم را تشکیل داده اند سه برنامه را بر روی گوگل پلی استور ارسال کرده اند که برای شناسایی برخی افراد فراری از این کشور به کار می رود.

مهاجمان از طریق فیس بوک با افراد هدف تماس می گیرند و آنها را به شیوه های مختلف فریب می دهند تا برنامه های مذکور را بر روی گوشی خود نصب کنند.

این برنامه های جاسوسی بعد از نصب، اطلاعات فهرست تماس، عکس ها و متن پیامک های هر فرد را برای رایانه های هدف ارسال می کنند. مک آفی می گوید این حملات که به تازگی تشدید شده قبلا در ماه ژانویه هم انجام شده بود و کدنویسی جاسوس افزار مورد استفاده با نمونه های قبلی مورد استفاده هکرهای کره شمالی مشابه است.

هنوز مشخص نیست که این جاسوس افزار تا چه حد موفق بوده است؛ زیرا هنوز هیچ امار رسمی در مورد میزان موفقیت جاسوس افزار یادشده و تعداد قربانیان آن منتشر نشده است.


تشدید حمله باج‌افزاری به سیستم کنترل از دور



خبرگزاری مهر: مرکز ماهر در اطلاعیه ای اعلام کرد: درخواست های متعدد امداد از مرکز ماهر و تحلیل حوادث بوجود آمده در بعضی از سازمان ها در روزهای اخیر نشان داده است حملات باج‌افزاری از طریق نفوذ به سرویس پروتکل دسترسی از راه دور یا همان پروتکل RDP به شکل روز افزونی در حال افزایش است.

متاسفانه مشاهده می‌شود که در بعضی از سازمان‌ها و شرکت‌ها، هنوز حفاظت کافی در استفاده از پروتکل RDP انجام نگرفته است.قربانیان این حمله معمولا مراکزی هستند که برای ایجاد دسترسی به منظور دریافت پشتیبانی برای نرم‌افزارهای اتوماسیون (اداری، مالی، کتابخانه، آموزشی و …) از این روش استفاده می کنند.

بررسی الگوی این حملات و مشاهدات بعمل آمده در امداد به ۲۴ مورد از رخدادهای باج‌افزاری اخیر که توسط پروتکل مذکور صورت گرفته است، نشان می دهد خسارت ناشی از آنها، بدون احتساب مبالغ احتمالی باج پرداخت شده توسط بعضی از قربانیان، به طور میانگین حدود ۹۰۰ میلیون ریال برای هر رخداد بوده است.

مرکز ماهر به کلیه سازمان‌ها، شرکت‌ها و مخصوصا مجموعه‌های پشتیبانی نرم‌افزارها توصیه اکید کرد که استفاده از سرویسRDP بر بستر اینترنت بسیار پر مخاطره بوده و راه را برای انجام بسیاری از حملات، مخصوصا حملات باج‌افزاری هموار می‌کند.

براین اساس پیشنهاد شده است که اقدامات زیر جهت پیشگیری از وقوع این حملات به صورت فوری در دستور کار مدیران فناوری اطلاعات سازمان ها و شرکت ها قرار گیرد.

۱- با توجه به ماهیت پروتکل RDP اکیداً توصیه می شود که این پروتکل بصورت امن و کنترل شده استفاده شود، مانند ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات؛ همچنین توصیه می شود از قرار دادن آدرس IP عمومی به صورت مستقیم روی سرویس دهنده ها خودداری شود.

۲- تهیه منظم نسخه های پشتیبان از اطلاعات روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله و نگهداری اطلاعات پشتیبان بصورت غیر برخط.

۳- اجبار به انتخاب رمز عبور سخت و تغییر دوره ای آن توسط مدیران سیستمها.

۴- محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم.

۵- هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.

۶- توجه و بررسی فهرست کاربران سیستم ها و سطح دسترسی آنها.

۷- توصیه می‌شود در صورت بروز این حمله در سازمانها، مدیران فناوری اطلاعات ضمن اجتناب در پرداخت باج درخواستی سریعا با مرکز ماهر تماس گرفته شود.


امکان از بین بردن تلفن‌های اندرویدی با یک حمله



خبرگزاری ایسنا: گوشی‌های هوشمند آسیب‌پذیر را می‌توان با فریب دادن کاربران به بازدید از یک وب سایت میزبانی یک برنامه مخرب مخرب مورد هدف قرار داد و یک بهره‌برداری موفق موجب می‌شود کدهای مخرب در دستگاه‌ اجرا شوند.

محققان دانشگاه Vrije Universiteit در آمستردام ثابت کرده‌اند که استفاده از یک حمله Rowhammer برای از بین بردن تلفن‌های اندرویدی امکان‌پذیر است. حمله Rowhammer، طراحی حافظه RAM را هدف قرار می‌دهد. بخش CERT موسسه مهندسی نرم‌افزار ( SEI ) در دانشگاه کارنیگی ملون به اختصار توضیح داد که در سیستمی که DRAM به طور کافی احیا نشده است، عملیات‌های هدفمند در یک سطر از حافظه RAM ممکن است قادر به نفوذ بر ارزش حافظه در ردیف‌های مجاور باشد.

نتیجه این حمله این است که مقدار یک یا چند بیت در حافظه فیزیکی (در این مورد حافظه GPU ) برگردانده می‌شود و ممکن است امکان دسترسی جدید به سیستم هدف را فراهم کند.

حملات Rowhammer موفق قبلا علیه ماشین‌های محلی، ماشین‌های دوردست و ماشین‌های مجازی لینوکس روی سرورهای ابری به نمایش گذاشته شده‌اند. محققان این حمله را ” glitch ” نامیده‌اند، چون WebGL، یک API JavaScript برای ترسیم گرافیک رایانه‌ای در مرورگرهای وب، برای تعیین طرح فیزیکی حافظه RAM قبل از شروع حمله Rowhammer هدف قرار داده است.

گوشی‌های هوشمند آسیب‌پذیر را می‌توان با فریب دادن کاربران به بازدید از یک وب سایت میزبانی یک برنامه مخرب مخرب مورد هدف قرار داد. یک بهره‌برداری موفق موجب می شود کدهای مخرب در دستگاه‌ها اجرا شوند، اما فقط در اختیار مرورگر قرار می گیرند، به این معنی که سازش کاملی از دستگاه امکان پذیر نیست اما سرقت رمز عبور است. تاثیر ترکیب هر دو حمله به کانال و حمله rowhammer برای دور زدن Firefox روی پلت‌فرم اندروید نشان‌داده شده‌است.

بر اساس اطلاعات سایت پلیس فتا، حمله glitch تنها در تلفن ۵Nexus نشان‌داده‌ شده که در سال ۲۰۱۳ منتشر شد. ۵Nexus آخرین نسخه امنیتی نرم‌افزار خود را در اکتبر ۲۰۱۵ دریافت کرد و بنابراین استفاده از آن یک دستگاه ناامن است. چندین تلفن دیگر که در سال ۲۰۱۳ منتشر شد، مورد آزمایش قرار گرفتند، اما نتوانستند با حمله glitch مورد حمله قرار بگیرند. نرخ موفقیت در تلفن‌های جدیدتر از مدل‌های سال ۲۰۱۳ ارایه نشده است. دستگاه‌های Non نیز مورد آزمایش قرار نگرفتند.

در این باره محققان گفته‌اند که این حمله را می‌توان برای هدف قرار دادن معماری‌های مختلف تلفن و مرورگرهای دیگری تغییر داد. برای کاهش خطر این حمله خاص، گوگل و موزیلا در حال حاضر به‌روزرسانی برای کروم و فایرفاکس منتشر شده است که تایمرهای دقیق WebGL را غیرفعال کرده که برای رفع آدرس‌های حافظه مفید هستند.


1 2 3 13