ساعات پاياني جمعه شب بود كه دسترسي به شبكه اينترنت در ديتاسنتر افرانت، شاتل، صبانت و. . . با اختلال مواجه شد و اندكي نگذشت كه بسياري از سايتها و پايگاههاي خبري نيز از دسترس خارج شدند تا يك حمله سايبري را گوشزد كنند؛حملهاي كه وزير ارتباطات و فناوري اطلاعات با پيام توييتري خود هم آن را تأييد كرد و هم از تلاش براي به دست گرفتن كنترل اوضاع خبر داد. اين حمله سايبري طي دوساعت مهار شد و بر اساس گزارش مركز «ماهر» هيچ دسترسي غيرمجازي به اطلاعات شهروندان اتفاق نيفتاده است. با تمام اينها چنين حملاتي در اين سطح باگهاي امنيتي را گوشزد ميكند كه در صورت نرسيدن به استقلال در حوزه فضاي مجازي
ميتواند به آسيبهايي جدي منتهي شود.
توييتهاي محمد جواد آذري جهرمي درباره حملات سايبري 17 اسفند حكايت از آن داشت كه آقاي وزير در حال رصد ماجراست.
نخستين توييت وي در ساعت 12 و 24 دقيقه جمعهشب با تأييد حمله سايبري همراه بود«امشب برخي از مراكز داده كشور با حمله سايبري مواجه شدهاند. تعدادي از مسيريابهاي كوچك به تنظيمات كارخانهاي تغيير يافتهاند. مركز ماهر به ياري اين مراكز داده، حمله را كنترل كردند و در حال اصلاح شبكههاي آنان به حالت طبيعي هستند. تلاشها براي ناامن جلوه دادنها يك فرصت براي اصلاح اشكالهاست».
توييت آخر وزير در ساعت يك و 15 دقيقه بامداد شنبه از بازگشت اوضاع به حالت عادي خبر ميداد. آذري جهرمي كه همچنان پيگير ماجراست روز گذشته درباره اين حمله گفت: حدود3هزار و ۵۰۰ مسيرياب از مجموع چندصد هزار مسيرياب شبكه كشور متأثر از حمله شدهاند. عملكرد شركتها در دفع حمله و بازگرداني به شرايط عادي مناسب ارزيابي شده است. وي در عين حال پذيرفت كه ضعف در اطلاعرساني مركز ماهر به شركتها و نيز ضعف در پيكرهبندي مراكز داده وجود داشته است. آنطور كه جهرمي درباره اين حمله توضيح ميدهد، به لحاظ بزرگي حمله اينترنتي جمعهشب، ۲ درصد سهم كشور ما بوده و ايران به لحاظ حجم حمله در جمع ۱۰ كشور اول جهان هم نبوده است.نقشه تأثير حملات نيز نشان ميدهد كه روسيه و امريكا بيشترين آسيب را از اين حملات ديدهاند. وي تأكيد ميكند:نوع حمله اخير از نوع منع سرويس بوده و سرقت اطلاعاتي صورت نگرفته است. آقاي وزير معتقد است با توجه به اينكه در اين حمله از پرچم كشور امريكا استفاده شده به نظر ميرسد منشأ حمله از منطقه خاورميانه نبوده است. به گفته وي با هك پرچم ايالات متحده، اعتراضي درباره انتخابات امريكا صورت گرفته است.
چرايي حمله سايبري جمعهشب
جهرمي ميگويد: اين اشكال امنيتي براساس خطاي روترهاي سامانه سيسكو به وجود آمد و دسترسي را با اشكال مواجه كرد و در نهايت تجهيزات از مدار خارج شد. البته حفره امنيتي در تجهيزات سيسكو حدود ۱۰ روز پيش منتشر شد كه شركت ارتباطات زيرساخت و اپراتورهاي تلفن همراه و برخي اپراتورهاي اينترنت به اين تذكر توجه كرده بودند،اما مابقي به دليل تعطيلات عيد به اين موضوع توجهي نشان ندادند.
وي با تأكيد بر اينكه وزارت ارتباطات در چارچوب مسئوليت خود شبكه ارتباطي را ايمن و آن را مديريت كرده است، افزود: از اين جهت، هسته شبكه ملي اطلاعات با مشكلي مواجه نشد. البته وظيفه مركز ماهر اين بود كه با درجه اهميت بالا اين حفره امنيتي را منعكس ميكرد،اما شبكه شركتها به دليل فريزنگهداشته شدن، اين هشدار را جدي نگرفتند. جهرمي از تشكيل جلسه مجدد براي رسيدگي كاملتر به اين موضوع خبر داد و گفت: حملات سايبري يكي از واقعيات فضاي مجازي است و نظامهايي براي جلوگيري از عوارض و حواشي اين حملات وجود دارد كه بايد آن را چابكتر و فعالتر كنيم. از سوي ديگر مركز پيشگيري حوادث سايبري ما و شركتهاي ارائهدهنده خدمات بايد روابطشان عميقتر شود و دستورالعملهاي امنيتي بايد بهروزرساني شود. سرهنگ نيكنفس،رئيس مركز تشخيص و پيشگيري پليس فتاي نيروي انتظامي با بيان اينكه اختلال در سرويس اينترنت كشور صرفاً قطعي و كندي ارتباطات را در پي داشته و هيچگونه دسترسي غيرمجاز يا نشت اطلاعات رخ نداده است، درباره چرايي حمله صورت گرفته ميگويد: اين حمله سايبري ناشي از آسيبپذيري امنيتي در سرويس پيكربندي از راه دور تجهيزات سيسكو بوده و با توجه به اينكه روترها و سوييچهاي مورد استفاده در سرويسدهندههاي اينترنت و مراكز داده نقطه گلوگاهي و حياتي در شبكه محسوب ميشوند،ايجاد مشكل در پيكربندي آنها تمام شبكه مرتبط را بهصورت سراسري دچار اختلال كرده و قطع دسترسي كاربران اين شبكهها را در پي داشته است.
هشداري كه جدي گرفته نشد
بنا به تأكيد رئيس مركز تشخيص و پيشگيري پليس فتاي ناجا بررسيهاي اخير تيم تالوس كه مرجع تهديدشناسي و امنيت تجهيزات سيسكو است، نشاندهنده وجود اين نقص امنيتي در بيش از168 هزار ابزار فعال در شبكه اينترنت بوده است.
وي تصريح ميكند: حدود يكسال قبل نيز شركت مزبور هشداري مبني بر جستوجوي گسترده هكرها بهدنبال ابزارهايي كه قابليت پيكربندي از راه دور (smart install client) بهروي آنها فعال است، منتشر كرده بود. همچنين اطلاعات كامل و جزئيات فني مربوط به آسيبپذيري مزبور بههمراه وصله امنيتي مربوطه، 10روز قبل (هشتم فروردين) اعلام شده است.
رئيس مركز تشخيص و پيشگيري پليس فتاي ناجا با بيان اينكه هكرها ميتوانند با سوءاستفاده از آسيبپذيري شناساييشده علاوه بر سرريز بافر به حذف و تغيير پيكربندي سوييچها و روترهاي سيسكو و كارانداختن خدمات آنها اقدام كنند و همچنين قابليت اجراي كد از راه دور بهروي آنها را داشته باشند، ميافزايد: در اقدام فوريتي توصيه ميشود مديران شبكه سازمانها و شركتها با استفاده از دستور «show vstack» به بررسي وضعيت فعال بودن قابليت smart install client اقدام و با استفاده از دستور «no vstack» آن را غيرفعال كنند. سرهنگ نيكنفس تأکید ميكند:مسئولان فناوري اطلاعات سازمانها و شركتها بايد نسبت به بررسي مستمر آخرين آسيبپذيرهاي سامانهها و ابزارها اقدام و نسبت به بهروزرساني و رفع نواقص احتمالي در اسرع وقت اقدام كنند.
50 هزار حمله سايبري در يك سال
اين اما نخستين حمله سايبري به كشورمان نيست و بيترديد آخرين آنها هم نخواهد بود. اواخر بهمنماه سال گذشته هم سايت چند روزنامه هك شد كه بر اساس گزارش مركز ماهر پس از دريافت فايلهاي ثبت وقايع از حملات انجام شده از سرويسدهندهها با تحليل و بررسي تاريخچه حملات و آسيبپذيريها حجم بالايي از فايلها مورد تحليل و آناليز قرار گرفت و آيپي مبدأ حملات استخراج شد كه شامل پنج آيپي از كشورهاي انگلستان و امريكا بوده است.
پيش از اين، رئيس سازمان پدافند غيرعامل كشور در گفتوگو با شبكه العالم گفته بود: سال 95 بيش از 50 هزار حمله سايبري به زيرساختهاي كشور گزارش شده است كه حدود 94 درصد آن كم اهميت يا با اهميت متوسط بود و حدود 6درصد آن پرخطر بود كه خوشبختانه با اقداماتي كه از قبل در قالب پدافند غيرعامل و سايبري در زيرساختهاي سايبري صورت گرفته بود، بخشي از آن را قبل از وقوع كشف كرديم.