امنیت سایبری ایران در سالی که گذشت؛ حملات گسترده در سایه دورکاری

سال ۹۹ را می‌توان یکی از پر التهاب‌ترین سال‌ها از نظر امنیت سایبری برای مردم ایران و جهان دانست که شیوع کرونا و دورکاری در آن بی‌تاثیر نبوده است. مرکز تخصصی آپا دانشگاه صنعتی اصفهان در جدیدترین گزارش سالانه خود مروری بر وضعیت امنیت سایبری ایران و جهان داشته است که برخی رخدادهای مهم در حوزه فضای مجازی کشور مثل نشت اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام و حمله به زیرساخت‌های ابرآروان پرداخته است.

اگرچه به دلیل شیوع کرونا و شرایط دورکاری انتظار می‌رفت سال ۹۹ سالی پرهیاهو در حوزه فناوری اطلاعات باشد، اما شاید کمتر کسی حدس می‌زد که این سال حتی در نخستین روزهای خود در حوزه امنیت سایبری غوغا به پا کند. در اولین روزهای فروردین ۹۹، نه اخبار مربوط به کرونا بلکه خبر نشت اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام در فضای مجازی کشور سر و صدای زیادی به پا کرد.

اما این تنها روزهای ابتدایی سال بود و با نگاهی به اخبار و رخدادهای سال ۹۹ می‌توان دریافت که این سال یکی از پر هیجان‌ترین سال‌ها از دید امنیت سایبری برای مردم ایران و جهان بوده است.

مرکز تخصصی آپا دانشگاه صنعتی اصفهان در گزارش سالانه خود با مروری بر رخدادهای مهم امنیت سایبری در سال گذشته داشته و بررسی آماری آن‌ها، سعی بر ارائه تصویری جامع از فضای سایبری ایران در سال ۹۹ و ابتدای ۱۴۰۰ داشته است.

زنجیره نشت‌های اطلاعاتی

نشت اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام از عجیب‌ترین و قابل تامل ترین اخبار سال ۹۹ بود که در نخستین روزهای این سال رخ داد. این اطلاعات روی سامانه‌ای به نام «سامانه شکار» قرار داشته که پایگاه داده الاستیک سرچ آن، بدون کلمه عبور یا مکانیزم احزار هویت بوده است. باب دیاچنکو، کارشناس امنیت سایبری، این سرور را در ۲ فروردین ماه کشف می کند و مورد تحلیل قرار می دهد. سپس در پنجم فروردین ماه به صاحبان این پایگاه داده، مشکل را گزارش کرده و اطلاعات در ششم فروردین از این پایگاه داده حذف شده‌اند.

اما حذف اطلاعات در آن زمان نتوانست جلوی انتشار عمومی داده‌ها را بگیرد و اطلاعات در فروم‌های هکری با قیمت ۵۰۰ دلار به فروش رفت.

زنجیره بعدی، نشت اطلاعات ۵ میلیون از کاربران فروشگاه یک استور iOS ایرانی بود. این اطلاعات که شامل نام، شماره تلفن و آدرس ایمیل برخی از مشتری‌ها بود نیز بلافاصله پس از به حراج گذاشتن اطلاعات تلگرام و توسط همان گروه هکری به حراج گذاشته شد. در همین راستا سیب اپ دو بیانیه منتشر کرد و ضمن تایید این قضیه، از مشتریانش عذرخواهی کرد.

پس از آن، اطلاعات سازمان ثبت احوال بود که از طریق یک بات تلگرامی منتشر شد. اطلاعات منتشرشده شامل نام و نام خانوادگی، کد ملی و شماره تماس برخی از هم وطنانمان بود. با توجه به سخنان سخنگوی سازمان ثبت احوال، این اطلاعات برای تکمیل پرونده سلامت الکترونیک به وزارت بهداشت داده شده بود که وزارت بهداشت این اطلاعات را به اشتباه در سامانه غربالگری ویروس کرونا بارگذاری می‌کند که منجر به این نشت اطلاعات می شود.

هکرها با توجه به اطلاعات افشا شده، بات تلگرامی توسعه می‌دهند که ادعا می‌شد اطلاعات ۸۰ میلیون ایرانی را در اختیار دارد. البته در حال حاضر این بات غیرفعال شده است.

در اواسط خردادماه نیز، اطلاعات ۵.۵ میلیون مشترک رایتل به قیمت ۱۰۰۰ دلار به فروش گذاشته شد. رایتل نیز با صدور بیانیه‌ای اعلام کرد اخبار منتشره درخصوص درخواست فرد باجگیر از رایتل کذب محض است و حدس اصلی رایتل در خصوص نشر اطلاعات، توسط منشاء انسانی مربوط به سال ۹۴ و پیش از آن است.

در بهمن ماه هم افشای اطلاعات برخی از کاربران «پونیشا» توسط خود این استارتاپ تایید شد. پونیشا در بیانیه‌ای نشت اطلاعات کاربرانش را تایید و اعلام کرد این داده‌ها مربوط به بخشی از پروفایل می‌شوند که اطلاعاتی از جمله نام، نام خانوادگی، شماره موبایل و موارد مرتبط با اطلاعات عمومی پروفایل کاربران است.

در جریان این رخدادها، فرصت مناسبی برای مجرمین سایبری ایجاد شد که داده‌های ساختگی را تحت عنوان داده‌های مراکز مختلف به فروش برسانند.

تحلیل داده‌های سامانه مقابله با آسیب‌پذیری

به تلاش برای ارسال درخواست‌های کاذب با هدف خارج کردن منابع شبکه از دسترس کاربران، منع خدمت از سرویس توزیع‌شده (Distributed Denial of Service) یا به‌اختصار DDoS می‌گویند. یکی از متداول ترین حملات منع خدمت توزیع شده، حمله منع خدمت از نوع انعکاسی/تقویتی (Amplification DDoS) است.

پروتکل‌های مختلفی هستند که نسبت به این حمله آسیب پذیر بوده و مهاجمین می‌توانند از آن‌ها برای اجرای حمله منع خدمت توزیع شده سوءاستفاده نمایند. بر اساس داده‌های حاصل از سامانه ملی مقابله با بات و آسیب پذیری، بیشترین سرویس‌های آسیب پذیر نسبت به حمله منع خدمت تقویتی در سال ۱۳۹۹ در ایران بر اساس بیشترین تعداد تکرار، مشخص شده‌اند.

پس از شیوع کرونا، دورکاری رواج یافت و بسیاری از شرکت‌ها برای حفظ سلامت نیروهای خود به این موضوع روی آوردند. کارمندان برخی از سازمان‌ها و شرکت‌ها جهت پیش‌برد کار خود به استفاده از پروتکل RDP یا پروتکل دسکتاپ از راه دور روی آوردند تا از این طریق امکان اتصال از راه دور به سیستم‌هایشان در محل کار فراهم شود.

از همین روی سیستم موجود در محل کار بایستی آنلاین بوده و به این ترتیب مهاجمین بسیاری جذب حمله به این پروتکل می‌شوند. مهاجمین برای شروع حمله از حدس رمز عبور کاربر یا بروت فرس استفاده می‌کنند که این امر بار دیگر لزوم اهمیت انتخاب رمز عبور پیچیده برای RDP را نشان می‌دهد.

بر اساس آمارهای ارائه شده توسط سامانه ملی مقابله با بات و آسیب پذیری، در سال گذشته حدود ۵ میلیون دستگاه در کشور در حال استفاده از RDP و متصل به اینترنت بوده‌اند. از این تعداد حدود ۷درصد سیستم‌ها نسبت به BlueKeep آسیب پذیر هستند.

گزارش‌های ارائه شده توسط سامانه ملی مقابله با آسیب پذیری‌های شبکه و بات نشان می‌دهد که بدافزار اندرومدا (Andromeda) که با نام های Gamarue و Wauchos نیز شناخته شده است در صدر آلودگی‌های سال ۹۹ قرار داشته است. این بدافزار بات نتی است که برای توزیع بدافزارهای دیگر، سرقت اطلاعات و انجام فعالیت‌هایی مانند دزدی کلیک استفاده می‌شود و در حال حاضر بیش‌ترین نرخ آلودگی در ایران را دارد.

علاوه بر این، دو بدافزار اندرویدی تله پلاس (teleplus) و پرایزمس (prizmes) نیز در صدر بدافزارهای اندرویدی سال ۹۹ بوده‌‌اند. تله پلاس از جمله اپلیکیشن‌هایی است که پس از فیلتر شدن تلگرام، به عنوان نسخه‌ای غیر رسمی از این پیام‌رسان محبوب در میان مردم رواج پیدا کرده است.

پرایزمس نیز یک تروجان اندرویدی است که در برخی از گوشی‌های ارزان قیمت چینی به صورت از پیش نصب شده قرارگرفته و در زنجیره تامین، دستگاه پیش از رسیدن به دست مشتری آلوده به این بدافزار شده است. این بدافزار قابلیت دانلود، نصب و حذف برنامه، اجرای فرمان های شِل و بارگذاری یک URL در مرورگر را دارند که بسیار خطرناک هستند.

حملات سایبری به سازمان‌های ایرانی

مهرماه سال ۹۹ در فضای مجازی، زمزمه‌هایی در مورد حمله سایبری به چند سازمان دولتی منتشر شد. کارشناسان فناوری اطلاعات سازمان‌های دولتی نیز هشدارها و توصیه‌های امنیتی مبنی بر متوقف کردن سریع فرآیندهای به روزرسانی سیستمی، آنتی ویروس‌ها و فایروال‌ها دریافت کردند.

فردای آن روز نیز مرکز ماهر در اطلاعیه‌ای از حمله مهم سایبری به دو سازمان دولتی خبر داد و اعلام کرد این حملات در حال پیگیری و رفع هستند. به گفته معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران، این حمله رخدادی مبتنی بر یک آسیب پذیری مهم و حیاتی از مراجع بین المللی بوده است.

منظور وی آسیب پذیری مهم معروف به زیرولوگان با شناسه ۱۴۷۲ – CVE-2020 است که دو ماه پیش از تاریخ حمله، توسط مایکروسافت اطلاع‌رسانی عمومی شده بود. اما با وجود اطلاع رسانی‌های عمومی چه در خارج و چه در داخل کشور، این آسیب پذیری در سازمان های دولتی مهمی همچون سازمان بنادر مورد بررسی و رفع قرار نگرفته بود.

۲ روز بعد از این حمله، سازمان بنادر و دریانوردی درخصوص حمله سایبری به این سازمان در بیانیه‌ای اعلام کرد که کلیه ماموریت‌های این سازمان در بنادر بدون وقفه در جریان است.

همچنین اردیبهشت ماه سال گذشته روزنامه واشنگتن پست مدعی شد که اسرائیل علیه تاسیسات بندر شهید رجایی ایران حمله سایبری داشته است. این روزنامه تلاش کرد تا در متن گزارش خود ابعاد این اختلال را وسیع جلوه دهد.

اما به نظر می‌رسد برخلاف ادعاهای انجام شده مبنی بر گستردگی اختلال در بندر شهید رجایی، این حمله سایبری چندان موفق نبوده است. مسئولان بندر شهید رجایی تاکید کرده‌اند که با توجه به آمادگی کامل واحدهای پدافند غیرعامل در تاسیسات بندر شهید رجایی و مقابله به موقع و مؤثر با اشکالات به وجود آمده، این حمله نتوانسته هیچ گونه اخلالی در روند فعالیت‌های جاری ایجاد کند.

اما یکی از بزرگترین حملات سایبری که سال گذشته سر و صدای زیادی به پا کرد، حمله گسترده به زیرساخت‌های ابر آروان بود. هدف از این حمله تخریب و حذف اطلاعات مشتریان گزارش شد.

به گزارش وب سایت رسمی این شرکت، این حمله در حدود ۱۶ درصد از مشتریان غیر رایگان ابر آروان را متاثر کرد. در این حمله، آن گروهی از مشتریان دچار مشکل اساسی شدند که از داده‌های خود نسخه پشتیبان نداشتند، یا معماری آن ها به شکل ابرزی (Cloud Native) نبود.

پروژه عظیم شبکه ملی اطلاعات

مرکز تخصصی آپا دانشگاه صنعتی اصفهان در ادامه گزارش خود به دیگر موردی که به بحث امنیت سایبری در کشور مرتبط است و سال گذشته رخ داد اشاره می‌کند و مشخصا به بحث شبکه ملی اطلاعات می‌پردازد. پروژه‌ای که ایده آن در سال ۸۴ مطرح و مهم‌ترین دلیل پیاده‌سازی آن، کاهش وابستگی به شبکه جهانی اینترنت اعلام شده است.

اگرچه این پروژه در طی سال‌های گذشته روندی کند داشته است اما به نظر می‌رسد اقدامات انجام شده در سال ۹۹، به تحقق آن سرعت بخشیده است. در مصوبه جدید شورای عالی فضای مجازی در مورد شبکه ملی اطلاعات، مدل مفهومی کاملی از فضای مجازی کشور ترسیم شده است.

این مدل نشان می‌دهد که لایه‌های محتوا و خدمات کاربردی خارج از قلمرو شبکه ملی اطلاعات براساس سند تبیین الزامات این شبکه است. البته در این سند ذکر شده که تامین نیازهای ملی فضای مجازی، تحقق استقلال و کاهش وابستگی و مداخله بیگانگان در فضای مجازی کشور، مستلزم شکل‌گیری و پیشرفت تمامی لایه‌ها به صورت همگن و هماهنگ است.

این پروژه، همچون بسیاری از پروژه‌های کلان کشوری موافقین و مخالفین بسیاری دارد. از موارد بسیار مهمی که موافقین این طرح بر آن تاکید می‌کنند، موضوع امنیت اطلاعات کاربران است. معاون راهبری فنی مرکز ملی فضای مجازی در این رابطه اعلام کرده بود معتقد است رکن اصلی برقراری امنیت فضای مجازی توسط شبکه ملی اطلاعات تامین می‌شود. از سوی دیگر مخالفین نگران محدود شدن بیشتر شبکه اینترنت هستند.

پروژه ملی ابر ایران

یکی دیگر از مواردی که در حوزه تقویت امنیت سایبری در سال گذشته رخ داد مربوط به پروژه ملی ایران بود. در اواسط دی ماه سال ۹۹، سازمان فناوری اطلاعات، پروژه ملی «ابر ایران» را با همکاری بخش خصوصی کلید زد. این پروژه در حقیقت قراردادی است که به منظور توسعه، تجهیز و راه اندازی سرویس ابری روی ۱۰ دیتاسنتر موجود در کشور، منعقد شده است.

امیر ناظمی، رییس سازمان فناوری اطلاعات ایران، این طرح را موجب تمرکز زدایی از حیطه خدمات و توزیع ترافیک داده معرفی کرد. اتفاقی که از نظر وی هم منافع اقتصادی دارد و هم به منافع امنیتی کمک می کند. اما در میان اهداف کلانی که ناظمی برای این پروژه ذکر کرد، مورد «کاهش وابستگی به اینترنت بین الملل»، نگرانی بسیاری از کاربران در فضای مجازی را برانگیخت.

با توجه به اتفاقات رخ داده در آبان ۹۸ و قطعی گسترده اینترنت، بسیاری از کاربران نگران هستند که توسعه شبکه ملی اطلاعات و زیرساخت‌های مد نظر آن، به قطع دسترسی به اینترنت بین‌الملل منجر شود. از این روی نگرانی‌هایی بابت ملی شدن اینترنت و دریافت رانت از شرکت‌های خصوصی در همکاری با حاکمیت مطرح می‌شد.

ابر آروان به عنوان یکی از شرکت‌های خصوصی حاضر در این پروژه، دست به شفاف سازی زد و با انتشار بیانیه‌ای عنوان کرد پروژه ابر ایران هیچ ارتباطی با ایجاد پدیده اینترنت ملی ندارد. تمام اینترنت ایران به شکل انحصاری به وسیله شرکت ارتباطات زیرساخت و در لایه بعدی اپراتورهای موبایل و FCP تهیه می‌شود و هیچ یک از زیرساخت های ابری ایران، مسیری برای دسترسی به اینترنت، خارج از این محدوده ندارند.

ابرآروان همچنین در رابطه با «کاهش وابستگی به اینترنت بین الملل» توضیح داد که این جمله به افزایش نسبت ترافیک داخل ایران به ترافیکی که از کشورهای همسایه ترانزیت می شود، اشاره دارد.

سایت‌های شرط‌بندی

سایت‌های شرط‌بندی یکی از پدیده‌های شومی هستند که طی چند سال گذشته بسیاری از مردم را درگیر خود کرده‌اند.

وب سایت‌های شرط بندی که از درگاه‌های پرداخت اینترنتی استفاده می‌کنند، دارای چندین درگاه هستند و زمانی که نهاد ناظر یکی از درگاه‌های آن‌ها را شناسایی می‌کند، به سرعت آن را قطع خواهد کرد. از این رو این سایت‌ها تلاش می‌کنند در فاصله بین زمان شناسایی و مسدود شدن، بلافاصله درگاه بعدی را جایگزین کنند.

با وجود تلاش‌های مثبت در سال اخیر مانند ارسال پیامک به ۶۰۰ هزار کاربر سایت‌های قمار و ارسال اطلاعات ۷۰ هزار کاربر کاربر فعال این سایت‌ها به قوه قضاییه، همچنان لازم است اقدامات گسترده‌تر و جدی‌تری برای از بین بردن این پدیده شوم اتخاذ شود.

در این مورد کارشناسان امنیت سایبری پیشنهاد می‌کنند که پس از شناسایی این وب سایت‌ها، بلافاصله و بدون هیچ تعللی درگاه خرید وب سایت مسدود شود تا فرصت کافی برای جایگزینی درگاه جدید وجود نداشته باشد. همچنین با مدیران بانک‌ها و درگاه‌های پرداخت واسط و غیرواسط متخلف برخورد جدی‌تری شود.

رمزارزها و تهدیدات پیرامون آن‌ها

رشد چشمگیر بیت کوین و بازدهی خارق العاده آن در سال ۹۹ موجب شد تا ایرانی‌های بسیاری همانند مردم سایر کشورها به بازار رمزارزها علاقمند شوند. اما سرمایه‌گذاری در رمزارزها، پروژه‌ها و صرافی‌های مشکوک و نامعتبر یکی از بزرگترین آفات این بازار بوده و هست.

سال گذشته شاهد ظهور یک توکن توسط موسس ایرانی آن بودیم که برخی از کارشناسان این پروژه جنجالی را کلاهبرداری از نوع پانزی می‌دانستند. اگر چه این توکن در ابتدای راه سود خوبی را برای خریداران به همراه داشت اما در سال جدید و با دستگیری موسس آن شاهد سقوط ۹۹ درصدی قیمت این توکن بودیم.

با دستگیری موسس توکن مذکور، مرکز بررسی جرایم سازمان یافته سایبری، بیانیه‌ای در خصوص غیرمعتبر بودن این رمزارز منتشر کرد. نداشتن پشتوانه، تبلیغات شعاری، تمرکز عمده سرمایه در چند کیف پول، ایجاد نوسان جهت تخلیه سرمایه مردم، موج سازی‌های جعلی و غیرواقعی و همچنین قیمت سازی جعلی و …. تنها بخشی از شاخصه‌های کلاهبردارانه پروژه مذکور طبق این بیانیه است. همچنین موسس این توکن، صاحب یک صرافی معامله ارز دیجیتال بود که با دستگیری وی، دردسرهای بسیاری برای مشتریان این صرافی ایجاد شده است.

گزارش کامل مرکز تخصصی آپا دانشگاه صنعتی اصفهان درباره امنیت سایبری ایران و جهان در سالی که گذشت را می‌توانید از این جا مطالعه کنید.