تعطیلی امنیت سایبری در تعطیلات عید

جمعه شب یک حمله گسترده شبانه باعث اختلال سراسری در اینترنت کشور شد و شماری از سایت‌ها از کار افتادند. روز گذشته هر چند به‌نظر همه‌‌چیز به حالت عادی بازگشته بود اما موج این حمله سایبری ادامه داشت. حمله مختص به ایران نبود؛حدود ۲۰۰ هزار روتر سوئیچ سیسکو در کشورهای مختلف جهان هدف حمله قرار گرفتند که ۳۵۰۰ موردشان در کشور ما بود. اما به‌نظر تنها در ایران بود که ضربه این حمله بسیار سنگین توسط کاربران احساس شد و برای ساعاتی ترافیک اینترنت کشور را مختل کرد. هر چند اطلاعاتی به بیرون درز نکرد و حمله تنها از نوع منع دسترسی بود اما بیشتر از هر چیز مشکلات دفاع سایبری در این رابطه به چشم آمد. از ۱۰ روز قبل شرکت سیسکو این نقص امنیتی را هشدار داده بود. اما مرکز ماهر هشداری در این رابطه نداد و مراکز داده و شرکت‌های مهم اینترنتی هم در تعطیلات عید توجهی به این ماجرا نکردند.هر چند به گفته وزیر ارتباطات هسته اصلی شبکه ملی اطلاعات از حمله سایبری در امان بود اما بی‌توجهی به امنیت سایبری به‌خاطر تعطیلات عید در میان خطوط گزارش وزارت ارتباطات هم به چشم می‌خورد. جان‌کلام حرف‌های وزیر ارتباطات این بود که توجه نکردن به نکات امنیتی و نبود اطلاع‌رسانی در این حوزه باعث شد چنین حمله‌ای رخ دهد و به شرکت‌ها آسیب بزند؛ دو نکته‌ای که پیشگیری کردن از آن بسیار ساده‌تر از دست و پنجه نرم کردن با حمله‌های بزرگ اینترنتی است.

عامل حمله که بود؟

مانند حملات سایبری دیگر هنوز هکرهای عامل حمله مشخص نیستند. در کدنویسی این حمله،  پرچم آمریکا و عبارت «به انتخابات ما کاری نداشته باشید»‌ دیده می‌شود که باعث شده برخی منشا آن را آمریکا و هدف اصلی حمله را کشور روسیه بدانند. این در حالی است که در جدول قربانیان این حمله آمریکا و روسیه هر دو در میان ۱۰ کشور اصلی هدف حمله قرار دارند. شرکت سیمانتک حتی روسیه را متهم کرده و گروه هکرهای موسوم به Dragonfly را پشت پرده این حمله دانسته است. ضمن اینکه،  طبق اطلاعاتی که وزارت ارتباطات کشور منتشر کرده، ‌ این حمله ظاهرا به بیش از 200هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله‌ای گسترده بوده است.  در کشور ما حدود 3500روتر سوئیچ مورد حمله واقع شده که 555 مورد در تهران،  170مورد  استان سمنان و 88 مورد استان اصفهان بوده است.

چه شرکت‌هایی هدف قرار گرفتند؟

  هدف اصلی در داخل کشور چند FCP(شرکت‌های دارای پروانه ارتباطات ثابت) بودند که تعدادی از آنها به‌خاطر به‌روزرسانی سیستم‌های امنیتی‌شان،  آسیبی ندیده بودند. اینطور که وزارت ارتباطات گزارش داده، «بیشترین آسیب‌پذیری در شرکت‌های رسپینا،  ایزایران و شاتل رخ داده  اما علاوه بر این  اختلال تعداد کمی روتر در برخی مراکز سرویس‌های پرکاربرد را از دسترس خارج کرد.»  شرکت ایرانی رسپینا جزو 10شرکتی است که در دنیا بیشترین تأثیرات را از این حمله داشته است. در ایران هم تهران با 555موردتجهیزات بیشترین ضربه را در این حمله متحمل شد.FCP ها از طرف سازمان تنظیم مقررات مجوز ارائه‌ خدمات اینترنت در کشور را دارند و به ISP‌ها یعنی شرکت‌های کوچک‌تری که خدمات اینترنت را در سراسر کشور پخش می‌کنند خدمات می‌دهند. کمتر از ۲۴ ساعت بعد از این حمله، ‌وزیر ارتباطات اعلام کرد ‌95درصد مشکل برطرف شده اما اینطور که نعیم فرهادیان،  کارشناس امنیت شبکه در یکی از شرکت‌های امنیت اینترنتی کشور می‌گوید: «شرکت‌های اصلی و بزرگ مشکل‌شان حل شده اما آی.اس.پی‌ها که شرکت‌های کوچک‌تر ارائه‌دهنده خدمات اینترنت در کشور هستند، ‌هنوز مشکلاتی دارند.»

حمله چطور صورت گرفت؟

این حمله سایبری یک سری دستگاه‌ها،  سوئیچ‌ها و روترهای سیسکو را هدف قرار داده بود. اینطور که نعیم فرهادیان،  کارشناس امنیت شبکه می‌گوید: «دستگاه‌هایی که به مشکل خورده‌اند، ‌بیشتر از سری 3000شرکت سیسکو بوده‌اند. » آن‌طور که بررسی‌ها نشان می‌دهد این آسیب‌پذیری به‌دلیل وجود یک نقص در قابلیت «Smart Install Client» تجهیزات سری 3x و 4x شرکت سیسکو به‌وجود آمد و باعث شد تا مهاجمان بتوانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر سوئیچ‌ها اقدام  کرده و مانع خدمات‌دهی این تجهیزات شوند. هر دیتاسنتری در ساعت خاصی متوجه حمله شد اما عموما تا حوالی ساعت 9و 30دقیقه شب تمام شرکت‌ها از این مسئله باخبر بودند. برخی تا حوالی نیمه‌شب و گروهی دیگر تا حوالی ساعت 3بامداد مشکل‌شان را حل کردند.

بی‌‌توجهی به آپدیت‌ها و پچ‌های امنیتی

این حمله به هیچ عنوان غیرمنتظره نبوده و شرکت سیسکو که سخت‌افزارهای مورد نیاز این شرکت‌ها را فراهم می‌کند،  در روز ۲۸ مارس (۸ فروردین‌ماه) هشدار داده بود پکیج‌های امنیتی‌شان را به‌روزرسانی کرده و خودشان را در مقابل مشکلی که احتمال وقوع آن بالاست،  ایمن کنند. درست یک روز پیش از حمله نیز هشدار مشابهی توسط سیسکو اعلام شده بود اما عموما به آن بی‌توجهی شد. طبق اطلاعیه وزارت ارتباطات به‌دلیل اینکه بسیاری از شرکت‌های خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را در حالت فریز نگهداری می‌کنند و عدم‌هشدار به این شرکت‌ها برای به‌روز رسانی منجر به آسیب پذیری شبکه این شرکت‌ها شده است.» در این حمله، ‌دستگاه‌هایی که لایه دوم و سوم سرورها را به هم متصل می‌کنند،  هدف قرار داده و تمام تنظیمات‌شان را پاک کرده بودند. در نتیجه، ‌این شرکت‌ها مجبور شدند تمام اطلاعات‌شان را از نسخه‌های پشتیبان قبلی بارگذاری کنند که همین موضوع باعث قطعی و اختلال در شبکه شد.

همه‌چیز قابل پیشگیری بود

جلوگیری از این حمله کار چندان دشواری نبود چون شرکت «سیسکو» از قبل تمام هشدارها را اعلام کرده و پکیج‌های آپدیت را نیز ارائه کرده بود. تنها کاری که  شرکت‌ها از جمله آی‌اس‌پی‌ها باید انجام می‌دادند، ‌اعلام لزوم به‌روزرسانی به مشتری‌هایشان و قطع شبکه برای مدتی کوتاه بود تا بتوانند شبکه‌شان را به‌روزرسانی کنند. به جز این،  مرکز ماهر که در چنین مواقعی هشدارهای امنیتی را برای کاربران ایرانی منتشر می‌کند، ‌عملا تا بعد از پایان حمله هیچ واکنشی نداشت. اینطور که نعیم فرهادیان،  مشاور امنیت شبکه به همشهری می‌گوید، ‌سیسکو یک روز قبل از حمله،  هشدار دیگری هم ارائه داده بود اما به آن بی‌توجهی شد.

نعمت‌الله کلانتری،  معاون سخت‌افزار یکی از بانک‌های خصوصی کشور در این‌باره به همشهری می‌گوید: «بانک‌ها چون همزمان از چند FCP خدمات می‌گیرند،  زمانی که دسترسی‌شان به یک سرور مختل بشود،  به‌طور خودکار روی سیستم دیگری سوئیچ می‌کنند و در این حمله نیز کوچک‌ترین آسیبی ندیدند. اما این مشکل ممکن است دوباره رخ بدهد و باید با بهترین شیوه برای مقابله با آن آماده باشیم. اشتباه بسیاری از شرکت‌ها این است که امنیت شبکه برایشان در اولویت نیست. خیلی از این سازمان‌ها نگاه‌شان به سازمان‌هایی مثل مرکز ماهر و اطلاعیه‌های آنهاست اما روش بهتر این است که خود شرکت‌ها یک سری کارشناس،  مخصوص ساختار شبکه خودشان داشته باشند که راه‌حل‌های سریع‌تر و شخصی‌سازی شده‌ای را ارائه کنند.»
سید مجتبی مصطفوی،  کارشناس امنیت شبکه،  درباره مشکلی که باعث شده این حمله‌ها در چند وقت اخیر به شبکه داخلی کشور آسیب بزند،  به همشهری می‌گوید: .ارگان‌های دولتی ما عموما به مسئله امنیت شبکه بی‌توجه هستند. این ارگان‌ها یا کارشناس امنیتی ندارند یا اگر داشته باشند، ‌سطح دانش آن کارشناس بسیار پایین است. بودجه و ارائه تجهیزات وجود دارد،  از شرکت‌های بومی و داخلی هم دعوت می‌کنند اما کسی از ما توقع سطح بالایی ندارد. خیلی از کارشناسان هم  اگر واقعا کاربلد باشند- راه‌حل‌های ساده‌ای را آنطور که مشتری درخواست کرده،  ارائه می‌کنند. نتیجه نهایی این است که،  سیستم‌ها بسیار آسیب‌پذیر می‌شوند.»


تجهیزات در معرض تهدید

«تالوس سکیوریتی» پیش‌تر نسبت به‌وجود حفره ناشناخته در سوئیچ‌های سیسکو خبر داده و به سازمان‌های استفاده‌کننده نسبت به حمله سایبری هشدار داده بود.
در 28مارس شرکت Cisco یک آسیب‌پذیری بحرانی را اعلام کرد که با استفاده از آسیب‌پذیری قابلیت Smart Install نفوذگران می‌توانستند کنترل برخی از سوئیچ‌های Cisco با سیستم عامل IOS و IOS XR را از راه دور در اختیار بگیرند و نسبت به reload دستگاه،  بازنشانی و پاک کردن پیکربندی آن و یا اجرای کد دلخواه خود اقدام کنند. اسکن 29مارس روی 8.5میلیون دستگاه حکایت از وجود حفره روی 250هزار سوئیچ داشت که به مالکان آن هشدار امنیتی داده شد. کارشناسان می‌گویند سوءاستفاده از پروتکل Smart Install،  هنگام نصب از طریق کنسول روی سوئیچ‌های سیسکو،  شبیه کاری است که پیش‌تر،  هکرهای دولتی روس برای حمله به تاسیسات هسته‌ای و انرژی آمریکا بهره برده بودند.
ظاهرا پورت 4786روی سوئیچ‌ها(مدل‌های 2960،  4500،  3850،  3750، 3560،  2975) به‌صورت دیفالت باز بوده و ادمین‌ها نیز از موضوع خبر ندارند. هکرها نیز از طریق این پورت حمله تعریف شده را انجام داده و سوئیچ‌ها را به حالت کارخانه‌ای بازگرداندند.