در امنیت همواره تغییر با خطر همراه است. از آنجا که تغییر، همیشه وجود دارد، آگاهی از تغییرات کلیدی که خطر را افزایش می‌دهند، بخشی حیاتی از واکنش‌گرا بودن در امنیت سایبری است.
در واقع تیم‌های امنیتی تنها نیمی از پارامتر اقدام را کنترل می¬کنند. ما نمی‌توانیم زمان انجام یا گسترش تهدیدها را تعیین کنیم و آسیب‌ پذیری‌ها به علت ضعف در افراد و فناوری انباشته می‌شوند. افراد به آرامی تغییر می‌کنند، اما فناوری به سرعت در حال تغییر است و پذیرش فناوری‌ های جدید کسب و کار، همواره منجر به آسیب‌ پذیری‌های جدیدی می‌شود که تهدیدهای تازه‌ای را ممکن می‌سازد. درک و پیش‌ بینی نیاز کسب و کار برای فناوری‌های نوظهور یک عنصر کلیدی در برنامه های امنیتی موفقیت آمیز است.

لینک پیوست

با توجه به شیوع گسترده حملات مختلف سایبری با سوء استفاده از آسیب پذیری های پروتکل SMB نظیر باج افزار WannaCrypt و سایر حملات مشابه مطرح شده در رسانه های کشور، مرکز ماهر اقدام به رصد فضای IP و شناسایی سیستم های متعدد آسیب پذیر در این خصوص نموده و اطلاعات مربوط به آسیب پذیری های رصد شده مستقیما به اطلاع مالکین IP ها در سطح کشور رسیده است.

با توجه به حمله گسترده باجافزار wannacry در سطح جهان و شیوع سریع آن و آلودگی کاربران ایرانی به این بدافزار، و از آنجا که نسخه نهایی این باجافزار از روش رمزنگاری قوی استفاده میکند، به کاربران توصیه اکید میشود که منحصرا از روشها و راهکارهای معرفی شده توسط مراجع شناخته شده، از جمله مرکز ماهر برای رفع آلودگی به این بدافزار استفاده کنند. همچنین تاکید میشود که نرم افزارها و وبسایتهای ناشناختهای مانند شکل زیر که گاها در جستجوهای اینترنتی ظاهرمیشوند، خود منتشر کننده بدافزارهای دیگری هستند که با شناسایی سیستمهای آسیب دیده و آسیبپذیر میتوانند به آنها از همان طریق ورود این بد افزار نفوذ کرده و سبب ایجاد آسیبهای بیشتر شوند.
با اینکه در بسیاری از موارد، این باج افزار موفق به رمز گذاری تمام فایلها در سیستم های قربانی نشده است. اما در خصوص موارد رمزگذاری موفق، تاکنون هیچ روش موثری برای رمزگشایی فایلهای آسیب دیده در هیچیک از کشورهای مورد حمله یافت نشده است. در صورت پیدا شدن راه حل مناسب، به سرعت و به شکل مطمین، از طریق مرکز ماهر اطالع رسانی انجام خواهد شد.
در انتها یادآور میشود که در صورت مبتال شدن به آسیبهای ناشی از این باجافزار، ضروری است تا پس از حذف آن نسبت به حذف دیگر بدافزارهایی که به همراه آن نصب شدهاند نیز اقدام نمود.

اطلاعیه شماره 1 مرکز ماهر
اطلاعیه شماره 2 مرکز ماهر
دریافت کامل گزارش

با توجه به اتفاقات اخیر و انتشار باج افزار Wanna Crypt، نرم افزار ضدباج افزار بومی محصول شرکت امن پرداز که با مشارکت و سرمایه گذاری وزارت ارتباطات و فناوری اطلاعات توسعه یافته، در دسترس عموم قرارگرفته است. لازم به ذکر می باشداین ابزار توسط مرکز ماهر مورد ارزیابی امنیتی قرار گرفته و در پیشگیری کامل از آلودگی به باج افزارها از جمله باج افزار مذکور موثر شناخته شده است. لذا عموم کاربران می توانند با کلیک بر روی "دریافت نرم افزار" نسبت به دریافت و استفاده از نرم افزاراقدام نمایند.

دریافت نرم افزار

" دستورالعمل مرکز ماهر درخصوص نحوه مقابله و پیشگیری از باج افزار wanna crypt را در این‌ قسمت میتوانید دریافت نمایید"

در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است.
تا این لحظه بیش از 200 قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدامات لازم جهت جلوگیری از انتشار باج افزار و کاهش خسارت ناشی ازآن، از سوی تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استان های کشور در دست انجام می باشد.

از کلیه سازمانها و شرکت های محترم درخواست می شود در صورت برخورد با آلودگی به باج افزار فوق در اسرع وقت موارد را با شماره تلفن های 22115950 و 4265000 با همکاران مرکز ماهر درمیان بگذارند و یا از طریق آدرس پست الکترونیکی cert@certcc.ir ارسال نمایند.
برای دریافت اطلاعات بیشتر جهت پیشگیری اینجا را کلیک نمایید.

تا لحظه مخابره این خبر، بیش از 200 قربانی آلوده به باج افزار در فضای سایبری کشور از سوی مرکز ماهر شناسایی و اقدام های لازم عملیاتی شده است.
به گزارش مرکز ماهر، در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است.
تا این لحظه بیش از 200 قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدام جهت جلوگیری از انتشار باج افزار و کاهش خسرات ناشی از آن، از سوی تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استانهای کشور در دست انجام می باشد.
این گزارش حاکی است، این حمله را می‌توان بزرگترین حمله آلوده نمودن به باج‌افزار تاکنون نامید. این باج‌افزار به نام‌های مختلفی همچون WannaCry، Wana Decrypt0r، WannaCryptor و WCRY شناخته می‌شود. این باج‌افزار همانند دیگر باج‌افزار‌ها دسترسی قربانی به کامپیوتر و فایل‌ها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می کند.
باج‌افزار مذکور برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده می‌کند که مدتی پیش توسط گروه shadowbrokers منتشر شد. این کد اکسپلویت از یک آسیب پذیری در سرویس SMB سیستم‌های عامل ویندوز با شناسه MS17-010 استفاده می‌کند. در حال حاضر این آسیب‌پذیری توسط مایکروسافت مرتفع شده است اما کامپیوتر‌هایی که بروزرسانی مربوطه را دریافت ننموده‌اند نسبت به این حمله و آلودگی به این باج‌افزار آسیب‌پذیر هستند.
باتوجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به برورزرسانی سیستم‌های عامل ویندوز و تهیه کپی پشتیبان از اطلاعات مهم خود در اسرع وقت اقدام کنند.
لازم به ذکر است بزودی اطلاعات بیشتری در این خصوص از سوی مرکز ماهر منتشر خواهد شد.

بدافزارهای هدف دار مربوط به سامانه های کنترل صنعتی، کمتر رایج بوده و بیشتر ماندگار هستند، از جمله یک نمونه از این بدافزارها می توان به بدافزاری که خود را به جای سفت افزار Siemens PLC نشان داده و از سال 2013 فعال است اشاره کرد. بخشی از این جاسوس افزار که خود را به جای نرم افزار Siemens PLC نشان داده، به مدت چهار سال توسط یک گروه مهاجم ناشناخته در چرخه وجود داشته و در تلاش برای آلوده کردن شبکه های صنعتی (بیشتر در ایالات متحده) بوده است.
این بدافزار پنهان به گونه ای بسته بندی شده تا خود را به صورت فایل نصبی کنترلر منطقی قابل برنامه ریزی Siemens نشان دهد و حدود 10 واحد صنعتی با این کمپین حمله هدف دار مواجه شده اند که براساس تحقیقات جدید توسط Dragos، هفت مورد از آنها در ایلات متحده و چندین مورد در اروپا و چین قرار دارد.
«رابرت م. لی » بنیانگذار و مدیر Dragos اینگونه عنوان کرده است که، «این بدافزار تلاش می کند اپراتورها را به نصب فایل هایی که انتظار دارند مرتبط به PLCهایشان است، فریب دهد، ولی در واقع یک درب پشتی است».
«لی» و همکارش «بن میلر » رئیس مرکز عملیات در زمینه تهدیدات، موارد بدافزار مرتبط با شبکه های ICS را شناسایی و تحلیل کردند (1500 نمونه بدافزار از محیط های ICS را در یک دوره سه ماهه مطالعه کردند). محققان، بدافزارهای جمع آوری شده از پایگاه داده های عمومی مانند VirusTotal و همچنین جستجوهای گوگل و داده های سرویس نام دامنه (DNS) را مطالعه کردند.
پروژه بدافزار در ICSهای مدرن Dragos ( MIMICS)، به منظور انجام ارزیابی روی نمونه های حقیقی بدافزارهایی که امروزه محیط های ICS را هدف می گیرند، راه اندازی شد. محققان توانستند بدافزارهای روز را شناسایی کنند: هیچگونه حمله هدف دار بدافزار از نوع Stuxnet دیده نشد. حتی بدافزار مخصوص Siemens در حالی که شبکه های ICS را هدف می گیرد، همچنان از قطعه پنهانی جاسوس افزار استفاده
می کند: هیچ گونه مورد مخرب یا سفارشی مانند Stuxnet، Havex یا BlackEnergy2 دیده نشد.
محققان یافتند که نمونه هایی از بدافزارهای تقریباً رایج و به سادگی قابل توزیع، به شبکه های ICS حمله کرده اند: Sivis با اختلاف بسیار زیاد و با 15863 شناسایی، بیشترین تعداد حمله را در اختیار داشته و پس از آن، Lamar (6830)، Ramnit (3716)، Sinwal (2909) و دیگر خانواده های رایج بدافزارها از جمله Virut (1814) و Sality (1225) در رتبه های بعدی قرار گرفتند. محققان محاسبه کردند که سالانه حدود 3000 واحد صنعتی با این نوع بدافزارهای غیرهدف دار و روزمره آلوده می شوند؛ این رقم، به دلیل اینکه لزوماً تمام واحدهای آلوده شده به بدافزار خود را در پایگاه داده های عمومی برای مثال VirusTotal ثبت نمی کنند محافظه کارانه در نظر گرفته شده است.
«لی» عنوان کرده «افراد به جای توجه به وقوع موارد آشکار (آلودگی با بدافزار)، انتظار نسخه دوم Stuxnet را دارند. فرضیه این است که به نسخه دوم Stuxnet برای نفوذ به تأسیسات نیاز نیست. اگر بتوان نشان داد از بدافزار قدیمی برای هدفگیری ICS استفاده شده، تأثیر بیشتری خواهد داشت» .
حملات هدف داری که به غیر از بدافزار Siemens PLC یافت کردند، به اندازه بدافزارهای غیر هدف دار، گسترده نبودند. «لی» عنوان کرده که حدود 10 مورد دیگر از بدافزارهای مخصوص ICS وجود داشت. یکی از حملات که در سال 2011 رخ داد، ایمیل فیشینگ بود که چندین سایت هسته ای در غرب ولی عمدتاً در ایالات متحده را هدف گرفتند.
«لی» عنوان می کند که حضور هر گونه ای از این بدافزار روی سامانه های ICS، به این معنی نیست تأسیسات تولیدی از کار افتاده یا بحران هسته ای رخ داده است. یافته های MIMICS داده های حقیقی درباره نوع بدافزار و حملاتی که روی واحد های ICS رخ داده را نشان می دهد. «لی» اینگونه گفته که «بسیاری از مالکان واحدها می خواهند نمودارهایی برای امنیت ایجاد کنند. امید است که این مسئله، عمومیت را از بین ببرد و نشان دهد که مشکلاتی وجود دارد».
با این وجود، مسئله دلسردکننده، تعداد فایل های معتبر ICS و شناسایی شده توسط MIMICS بود که به اشتباه به عنوان بدافزار در VirusTotal و دیگر سایت های عمومی علامت گذاری شده بودند و این مسئله باعث شد که آن فایل ها در معرض سوءاستفاده توسط مجرمان سایبری یا دیگر تهدیدکنندگانی قرار گیرد که به دنبال اطلاعاتی برای اجرای حمله هدف دار روی واحد صنعتی هستند. آنها صدها برنامه نرم افزاری معتبر ICS را شناسایی کردند از جمله نصب کننده های رابط ماشین انسان و تاریخ نگارهای داده ها و تولیدکننده های شماره سریال برای نرم افزارها که همگی برای استفاده مجرمان قابل دسترسی بودند.
«لی» و «میلر» حدود 120 فایل پروژه یافتند که به عنوان مخرب علامت گذاری شده و در آن پایگاه داده های عمومی ثبت شده بودند، از جمله یک گزارش کمیسیون مقررات هسته ای، خصوصیات طرح و گزارش های پشتیبانی یک شعبه و انواع دیگر اطلاعات حساس که سهواً به طور عمومی منتشر شدند.
انجام حمله هدف دار و مخرب روی سامانه ICS در یک واحد صنعتی خیلی آسان نیست. به آگاهی و درک بسیاری از طرح فیزیکی واحد و همچنین آگاهی از فرآیندهای صنعتی آن واحد نیاز دارد. متخصصان امنیت ICS مانند «رالف لانگنر » از Langner Communications عنوان کرده اند که به منظور اجرای حمله سایبری فیزیکی که به واحد یا فرآیندهای آن آسیب وارد کند، مهاجم به آگاهی از جنبه های فیزیکی و مهندسی واحد مورد هدف، نیاز دارد. با توجه به گفته های «لانگنر» این آگاهی، مهارتی به حساب می آید که فراتر از بدافزار و هک کردن است.
ولی فایل های معتبری که تیم Dragos در اینترنت یافتند، به عنوان بخشی از عملیات اطلاعاتی و شناسایی توسط مهاجمان مخرب قابل استفاده هستند. «لی» عنوان می کند که «آنها می توانستند اطلاعاتی درباره مکان واحد، مالک تجهیزات، پیکربندی و طرح فرآیند، تجهیزات مورد استفاده، نرم افزار موجود در واحد به دست آورند. آنها می توانستند اطلاعات زیادی کسب کنند. لزوماً این فایل ها به آنها مهندسی فیزیکی را ارائه نمی کند ولی اطلاعات قابل توجهی را ارائه خواهد کرد».
یک مهاجم برای هک کردن یک واحد بایستی تحقیقات بسیاری انجام دهد، ولی یافتن این گونه اطلاعات و فایل های معتبر برای مثال در VirusTotal، فرآیند جستجو را برای مهاجم کاهش خواهد داد.
متخصص امنیت ICS «جوزف وایس » در یک پست وبلاگی اشاره کرد که حقیقتاً بدافزار در سامانه های ICS وجود دارد، بنابراین اپراتورهای واحد صنعتی باید روی انعطاف پذیری و بازیابی از حملات سایبری احتمالی، تمرکز کنند. تضمین اینکه سامانه های سیستم کنترل روی اینترنت قابل دسترسی نیستند و همچنین ایجاد بروزرسانی های ایمن نرم افزاری و محدودسازی دسترسی فقط برای کاربران مطمئن، برخی اقدامات محافظتی است که این واحدها باید اعمال کنند.

مرجع:

http://www.darkreading.com/threat-intelligence/3000-industrial-plants-per-year-infected-with-malwar…

بالاخره پس از 10 سال، مایکروسافت اعلام کرد که پایان پشتیبانی از ویندوز ویستا فرا رسیده است و دیگر برای این نسخه سیستم عامل ویندوز هیچ وصله ای صادر نخواهد شد.
در تاریخ 11 آوریل 2017 مایکروسافت هرگونه به روز رسانی امنیتی جدید، برطرف سازی مشکلات اساسی غیر امنیتی، مشاوره رایگان و پولی را برای ویندوز ویستا تعلیق نموده و دیگر هیچ به روزرسانی در محتوای فنی سایت ماکروسافت برای این نسخه از سیستم عامل انجام نخواهد شد.
داده های مرکز Netmarketshare نشان می دهد که این حرکت تنها 0.72% از همه کاربران کامپیوتر را تحت تاثیر قرار می دهد، اما هنوز هم بخش قابل توجهی از رایانه های محیط کسب کار و سازمان ها از ویندوز ویستا استفاده می کنند.
گزارش ماه نوامبر کمپانی امنیتی Due نشان می دهد که 65% از کاربران ویندوز این شرکت از نسخه ویستا استفاده می کنند. این مقاله نشان می دهد که با توجه به تهدیدات زیادی موجود برای نسخه های قدیمی سیستم عامل ها وجود دارد بسیاری ازشرکت ها در شبکه کسب و کار خود همچنان از آن ها استفاده می کنند، برای مثال ویندوز XP همچنان 7.44% از بازار سیستم عامل های دسکتاپ را در اختیار دارد، این در حالی است که از از 2014 به بعد هیچ بروز رسانی برای این نسخه دریافت نشده است.
همچنین بسیاری از تولیدکنندگان نرم افزار و سخت افزار اقدام به بهینه سازی نسخه های جدیدتر محصولات خود برای نسخه های جدیدتر ویندوز می کنند و به طبع بسیاری از محصولات جدید قابلیت راه اندازی و اجرا در ویندوز ویستا را نخواهند داشت.
سازندگان اصلی مرورگر ها نیز پایان پشتیبانی خود از پلتفرم XP را اعلام نموده اند. موزیلا در دسامبر 2016 اعلام کرد که دیگر پشتیبانی از ویندوز های ویستا و XP نخواهد داشت.
مایکروسافت برای ترغیب کاربران خود برای حرکت از ویستا به نسخه ها جدیدتر ویندوز دیگر نرم افزار Microsoft Security Essentials را برای ویستا ارائه و بروزرسانی نخواهد کرد. به روز رسانی دیتابیس امضای بدافزار ها تا زمان محدودی ادامه خواهد داشت و سپس به طور کامل قطع می گردد، پس از آن کاربران به شدت در معرض تهدیدات جدی خواهند بود.

بدافزار Mirai که یکی از منفورترین‌ها در حوزه‌ی اینترنت اشیاء است، با یک بدافزار دیگر وارد عرصه‌ی رقابت شده است. این بدافزار جدید می‌تواند همان دستگاه‌هایی که Mirai به راحتی آلوده می‌کند را به بات تبدیل کند. محققان این بدافزار را که با بدافزار Mirai وارد رقابت شده، Hajime نامگذاری کرده‌اند. این بدافزار 6 ماه قبل شناسایی شده و از آن زمان به‌طور بی‌وقفه به رشد خود ادامه داده و بات‌نت بزرگی از دستگاه‌های آسیب‌پذیر اینترنت اشیاء را به‌وجود آورده است. محققان تخمین می‌زنند این بدافزار نزدیک به 100 هزار دستگاه را در سراسر جهان آلوده کرده باشد.
این بات‌نت‌ها یا بهتر بگوییم دستگاه‌های اجیرشده می‌توانند بسیار مشکل‌ساز باشند. مهاجمان می‌توانند از این بات‌ها برای انجام حملات منع سرویس توزیع‌شده استفاده کنند و با این حملات بخش وسیعی از زیرساخت اینترنت و وب‌گاه‌های مختلف آسیب خواهند دید. به خاطر بیاورید که در اکتبر سال 2016 میلادی، بدافزار Mirai با بات‌نت بزرگی به ارائه‌دهند‌ه‌ی سرویس DNS با نام Dyn حمله کرده و بخش وسیعی از اینترنت آمریکا را با اختلال روبرو کرده بود.
بدافزار Hajime نیز تقریباً در همان روزها در ماه اکتبر کشف شد زمانی که محققان امنیتی فعالیت‌های بدافزار Mirai را تحت نظر داشتند. این بدافزار چیزی شبیه به Mirai بود ولی بسیار سرسخت‌تر. شبیه به بدافزار Mirai، بدافزار Hajime نیز برای کشف دستگاه‌های آسیب‌پذیر اینترنت اشیاء مانند دوربین‌های اینترنتی و مسیریاب‌ها آن‌ها را در سطح اینترنت پویش می‌کند. این بدافزار با امتحان کردن ترکیب‌های مختلفی از نام کاربری و گذرواژه، به دستگاه‌ها دسترسی پیدا کرده و در ادامه برنامه‌های مخربی را بر روی آن‌ها تزریق می‌کند.
با این حال بدافزار Hajime مانند Mirai از یک سرور دستور و کنترل از راه دور دستوراتی را برای اجرا دریافت نمی‌کند. در عوض برای برقراری ارتباط و اجرای دستورات از ارتباطات نظیر به نظیر (P2P) مبتنی بر پروتکل بیت‌تورنت استفاده می‌کند و این باعث می‌شود یک ساختار غیرمتمرکز از بات‌ها بوجود آمده و متوقف کردن آن سخت باشد. محققان می‌گویند Hajime بسیار بسیار پیچیده‌تر از Mirai است چرا که دارای ساختار دستور و کنترل بسیار پیچیده است.
ارائه‌دهندگان پهنای‌باند در اینترنت توانسته‌اند با مسدود کردن ارتباطات بات‌نت Mirai با سرور دستور و کنترل، تاحدودی ترافیک مخرب آن را کنترل کنند. به‌طور همزمان بدافزار Hajime به رشد خود ادامه داده و این رشد به 24.7 درصد رسیده است و توانسته بسیاری از دستگاه‌های آلوده‌شده توسط Mirai را مجدداً آلوده کند. باتوجه به ماهیت نظیر به نظیر در بات‌نت Hajime، یک بات می‌تواند به راحتی دستورات و پرونده‌های مخرب را به سایر قسمت‌های بات‌نت منتقل کند. همچنین فرآیند مسدود کردن ترافیک مخرب نیز در این ساختار غیرمتمرکز بسیار دشوار است.
در تصویر زیر میزان تلاش هر یک از بدافزارهای Hajime و Mirai را برای آلوده کردن دستگاه‌های اینترنت اشیاء مشاهده می‌کنید. خط آبی متعلق به بدافزار Hajime و خط قرمز مربوط به Mirai است.

چه کسی عامل بات‌نت Hajime است؟ محققان امنیتی هنوز مطمئن نیستند چه کسی پشت این بدافزار است. به‌طور قطع تاکنون حمله‌ی منع سرویس توزیع‌شده (DDoS) با استفاده از این بات‌نت مشاهده نشده و این خبر خوبی است. هرچند این بات‌نت بسیار بزرگ بوده و قادر است حملاتی مشابه آنچه Mirai انجام داد را راه‌اندازی کند. با این حال هدف نهایی بات‌نت Hajime هنوز ناشناخته باقی مانده است. با این حال احتمالی که وجود دارد این است که در آینده برای اجرای حمله‌ی منع سرویس توزیع‌شده برای یک اخاذی مالی بسیار بزرگ مورد استفاده قرار بگیرد. همچنین امکان دارد بات‌نت Hajime یک پروژه‌ی تحقیقاتی باشد یا یک متخصص امنیت بخواهد با تشکیل آن، بات‌نت Mirai را تحت فشار قرار داده و از صحنه خارج کند.
هرچند تاکنون رشد بات‌نت Hajime بیشتر از Mirai بوده است ولی یک تفاوت عمده بین این دو بات‌نت وجود دارد و آن اینکه بات‌نت Hajime طیف محدودتری از دستگاه‌های اینترنت اشیاء با معماری تراشه‌ی ARM را آلوده می‌کند. باتوجه به آنچه که در کد منبع بدافزار Mirai دیدیم، این مسئله با این بدافزار در تضاد است چرا که Mirai طیف وسیعی از دستگاه‌ها را آلوده می‌کند. به‌عبارتی دیگر می‌توان گفت رقابتی که بین Hajime و Mirai در جریان است، با یکدیگر هم‌پوشانی ندارد. با این‌حال تاکنون Hajime توانسته است Mirai را تحت فشار قرار دهد.
برای متوقف کردن این بدافزارها، محققان امنیتی پیشنهاد می‌کنند که مشکل به‌طور ریشه‌ای حل شده و آسیب‌پذیری‌ها بر روی دستگاه‌های اینترنت اشیاء وصله شود. با این حال این راه‌حل ممکن است زمان زیادی ببرد و در برخی موارد حتی شدنی نباشد. به عبارت دیگر بدافزارهای Hajime و Mirai همچنان در عرصه‌ی تهدیدات اینترنت اشیاء حضور خواهند داشت.

منبع:

http://www.networkworld.com/article/3190178/security/iot-malware-clashes-in-a-botnet-territory-batt…

امروزه در دنیا دستگاههای متصل به اینترنت به شدت در حال رشد هستند و به طبع خطرات امنیتی نیز آنها را تهدید میکند. با توجه به اجرای نا امن، اکثریت این دستگاههای دارای اینترنت از جمله تلویزیونهای هوشمند، یخچال و فریزر، مارکروویو، دوربینهای امنیتی و پرینترها به طور معمول میتوانند مورد نفوذ قرار گرفته و به عنوان سلاح در حملات سایبری استفاده شوند.
قبلاً مشاهده نمودهاید که باتنتهای مانند mirai که هدف آنها اینترنت اشیاء میباشد در سالهای اخیر تبدیل به خطرناک ترین تهدید برای افراد و نرمافزارهای موجود در اینترنت شده اند. با استفاده از این دستگاهها، هکرها توانایی پیاده سازی حملات تکذیب سرویس توزیع شده در سطوح پیشرفته و خطرناک را بدست میآورند، همانگونه که چندی پیش شرکت DynDNS مورد حمله گسترده قرار گرفت.
در حال حاظر یک محقق امنیتی هشدار داده است که یکی دیگر از تهدیدات اینترنت اشیاء شامل تلویزیونهای هوشمند است که می تواند به هکرها اجازه دهد تا کنترل طیف گستردهای از تلویزیونهای هوشمند را بدون دسترسی فیزیکی بدست گیرند.

::: اثبات نفوذ توسط پژوهشگران
اکسپلویت این حمله برای بهره برداری توسط Rafael Scheel در شرکت امنیتی Oneconsult توسعه یافته است، با استفاده از یک فرستنده کم هزینه سیگنالهای مخرب تعبیه شده به سمت DVB-T ارسال شده است. با پخش سیگنال های گول زننده و دریافت آنها توسط تلویزیون های هوشمند، دسترسی ریشه(Root) به هکر داده میشود. در نهایت هکر میتواند با آلوده کردن تعداد زیادی از این دستگاهها حملاتی از قبیل DDOS را رو روی یک هدف خاص اجرا نماید و یا با آنها اقدام به جاسوسی در سطوح گسترده نماید.
آقای Rafael Scheel در سمینار امنیت اتحادیه پخش اروپا بیان نموده است : حدود 90 درصد تلویزیونهای هوشمنده فروخته شده در سال 2016 میتوانن جزء قربانیان بالقوه این حملات باشند.
آسیب پذیری کشفت شده توسط Scheel بر روی یک فرستنده DVB-T است که استاندارد اتصال تلویزیون به اینترنت را پیاده سازی میکند.این اکسپلویت دارای دو آسیبپذیری ناشناخته افزایش سطح دسترسی از طریق مرورگر در حال اجرا و پس زمینه است که مهاجمان با آن کنترل کامل دستگاه متصل به اینترنت را بدست میگیرند.
قابل ذکر است که دسترسی مهاجم به تلویزیونهای آلوده شده را نمی توان از طریق اجرای دوباره(reboot) و بازگشت به تنظیمات کارخانه از بین برد.
نفوذهای قبلی به تلویزیونهای هوشمند از جمله پروژه "گریه فرشته" که توسط CIA انجام شده است نیازمند دسترسی فیزیکی به تلویزیون بوده و یا باید از طریق تکنیکهای مهندسی اجتماعی انجام میشده است. با این حال در اکسپلویت Scheel نیاز به دسترسی فیزیکی عملاً حذف شده است و بدین ترتیب میتوان آنرا منحصر به فرد ترین حمله به تلویوزیونهای هوشمند نامید که دارای سبک بهره برداری خاص میباشد.
هک بار دیگر خطرات اینترنت اشیاء را به دنیا نشان داد. از از آنجا که دستگاه های اینترنت اشیاء به سرعت در حال رشد و تغییر روش استفاده ما از فن آوری هستند سطح حملات نیز با شدت گسترش مییابد. این موضوع از دیدگاه امنیت اطلاعات میتواند ترسناک باشد.

در امنیت همواره تغییر با خطر همراه است. از آنجا که تغییر، همیشه وجود دارد، آگاهی از تغییرات کلیدی که خطر را افزایش می‌­دهند، بخشی حیاتی از واکنش ­گرا بودن در امنیت سایبری است.
در واقع تیم­های امنیتی تنها نیمی از پارامتر اقدام را کنترل می­کنند. ما نمی­توانیم زمان انجام یا گسترش تهدیدها را تعیین کنیم و آسیب­ پذیری­ها به علت ضعف در افراد و فناوری انباشته می­شوند. افراد به آرامی تغییر می­‌کنند، اما فناوری به سرعت در حال تغییر است و پذیرش فناوری­ های جدید کسب و کار، همواره منجر به آسیب­ پذیری­های جدیدی می­شود که تهدیدهای تازه­ای را ممکن می­سازد. درک و پیش­ بینی نیاز کسب و کار برای فناوری­های نوظهور یک عنصر کلیدی در برنامه های امنیتی موفقیت ­آمیز می­ باشد.

برای دریافت فایل کامل مطلب کلیک کنید.