🔴🔴🔴 فوری/ در ادامه حملات دامنه دار اخیر، هکرها به سازمان ملی امنیت هستهای آمریکا هم نفوذ کردهاند!
▪️منابع آگاه میگویند وزارت انرژی و سازمان ملی امنیت هستهای آمریکا جزو نهادهای فدرال هستند که هکرها موفق به نفوذ به آنها شدهاند.
▪️سازمان امنیت ملی هستهای آمریکا یکی از سازمانهای فدرال آمریکا است که نظارت بر زرادخانههای تسلیحات هستهای ایالات متحده را بر عهده دارد.
▪️این دو نهاد آمریکایی بدون اشاره به جزئیات بیشتر گفتهاند فعالیتهای مشکوکی را در شبکههای متعلق به «کمیسیون فدرال تنظیم مقررات انرژی»، آزمایشگاههای هستهای «سندیا» و «لسآموس» و چند نهاد دیگر شناسایی کردهاند./فارس
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️منابع آگاه میگویند وزارت انرژی و سازمان ملی امنیت هستهای آمریکا جزو نهادهای فدرال هستند که هکرها موفق به نفوذ به آنها شدهاند.
▪️سازمان امنیت ملی هستهای آمریکا یکی از سازمانهای فدرال آمریکا است که نظارت بر زرادخانههای تسلیحات هستهای ایالات متحده را بر عهده دارد.
▪️این دو نهاد آمریکایی بدون اشاره به جزئیات بیشتر گفتهاند فعالیتهای مشکوکی را در شبکههای متعلق به «کمیسیون فدرال تنظیم مقررات انرژی»، آزمایشگاههای هستهای «سندیا» و «لسآموس» و چند نهاد دیگر شناسایی کردهاند./فارس
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ping Channel
🔴🔴🔴 فوری/ در ادامه حملات دامنه دار اخیر، هکرها به سازمان ملی امنیت هستهای آمریکا هم نفوذ کردهاند! ▪️منابع آگاه میگویند وزارت انرژی و سازمان ملی امنیت هستهای آمریکا جزو نهادهای فدرال هستند که هکرها موفق به نفوذ به آنها شدهاند. ▪️سازمان امنیت ملی هستهای…
✍️ تحلیلی شخصی از حملات یک هفته اخیر.
▪️همانطور که پیش بینی میشد و چند روز قبل در اینجا هم اشاره کرده بودیم دامنه حملات اخیر ادامه خواهد داشت. نفوذ روسی ها به پنتاگون و سازمان ملی امنیت هسته ای آمریکا شرایط را بسیار پیچیده کرده و آمریکا ضربه سختی دریافت کرده است.
▪️تصور کنید هکرهای دولتی روسی در یک مدت 9 ماهه در شبکه های حساس و فوق محرمانه دولت آمریکا جا خوش کرده بودند و به همه چیز دسترسی داشته اند و هر سند و مدرکی را که میخواسته اند از عمق Serverهای محرمانه دولت آمریکا استخراج کرده اند!
▪️آمریکا و روسیه هر دو در دکترین دفاع سایبری خود، انجام حملات سایبری را به نوعی اعلام جنگ می پندارند و برای خود این حق را قائل هستند که پاسخ حملات سایبری دولتی را با حملات نظامی بدهند. (سال گذشته در ایران هم قانون مشابهی تصویب شد.) پوتین دیروز هرگونه ارتباط این حملات با دولت روسیه را رد کرد. اما اگر آمریکا مدرکی بدست بیاورد که اثبات کند دولت روسیه پشت پرده این حملات بوده شرایط سیاسی و امنیتی جهان بسیار نگران کننده تر خواهد شد. کسی چه میداند!؟ شاید این حملات سایبری مقدمه یک نزاع ویرانگر بین المللی باشد! در نگاهی افراطی تر برخی عقیده دارند که این حمله می تواند آغازگر جنگ جهانی سوم باشد!
▪️به عنوان یک تحلیلگر خبرهای امنیتی و یک نظاره گر حملات سایبری اخیر، شک ندارم که آمریکا تنها کشوری نیست که گرفتار این حملات شده است. آمریکا موفق شده زودتر از بقیه کشورها این حملات را کشف کند. در ایران هم محصولات SolarWinds به وفور در بسیاری از سازمانها استفاده می شود. قطعا تعدادی از شرکتها و سازمانهای ایرانی هم درگیر این Backdoor روسی شده اند. فقط امیدواریم برادران روسی حداقل این بار بر خلاف رویه پیشین تاریخی خود عمل کرده باشند و از پشت به شریک سیاسی و استراتژیک خود خنجر نزده باشند!
⚫️ نکته مغفول مانده از دید اکثر کارشناسان:
▪️شرکت SolarWinds نرم افزارهای Monitoring تولید می کند. نرم افزار Monitoring برای کارکرد درست باید در نقطه ای نصب شود که بتواند به Probeها و Agentها و تجهیزات در Zoneهای مختلف دسترسی داشته باشد. این دسترسی ها هم معمولا از نوع سطح بالا است. چون سیستم های مانیتورینگ باید بتوانند فاکتورهای مهم را در سطح سیستم عامل نظارت کنند. حتی در مواردی که المانهای مانیتورینگ از طریق SNMP خوانده می شود ممکن است دسترسی ها از نوع Write تعریف شده باشد. در برخی نقاط بنا به ضرورت ممکن است سرویسهایی با دسترسی Administrator توسط نرم افزار مانیتورینگ اجرا شود.
به طور خلاصه نرم افزار مانیتورینگ دارای سطح دسترسی نسبتا بالایی در شبکه است و از طرفی در نقطه ای نصب می شود که به Zone های زیادی بصورت مستقیم یا غیرمستقیم دسترسی دارد. این باعث می شود که Inject کردن یک Backdoor داخل آن قدرت بسیار زیادی به هکر بدهد! توجه کنید که لازم نیست سرور SolarWinds روی اینترنت Publish شده باشد. حتی نیاز نیست به اینترنت متصل شده باشد. Backdoor به زیبایی کار خودش انجام می دهد و راه ارتباط با اینترنت را از طریق Agentها و Probeها پیدا می کند! این باعث میشود که ریسک این Backdoor به شدت زیاد باشد.
⚫️ سردرگمی جدید
▪️به عقیده من این هک و نفوذ با این روش خارق العاده، یک Next Generation Hack بود و ما را در این ابهام بزرگ فرو برد که از این پس Security Updateهای بقیه نرم افزارها را نصب کنیم یا خیر؟ اگر نصب کنیم ممکن است به این روش قربانی شویم و اگر نصب نکنیم هم به هزاران روش دیگر قربانی می شویم! سردرگمی عجیبی است!
علی کیائی فر
28 آذر 99
▪️همانطور که پیش بینی میشد و چند روز قبل در اینجا هم اشاره کرده بودیم دامنه حملات اخیر ادامه خواهد داشت. نفوذ روسی ها به پنتاگون و سازمان ملی امنیت هسته ای آمریکا شرایط را بسیار پیچیده کرده و آمریکا ضربه سختی دریافت کرده است.
▪️تصور کنید هکرهای دولتی روسی در یک مدت 9 ماهه در شبکه های حساس و فوق محرمانه دولت آمریکا جا خوش کرده بودند و به همه چیز دسترسی داشته اند و هر سند و مدرکی را که میخواسته اند از عمق Serverهای محرمانه دولت آمریکا استخراج کرده اند!
▪️آمریکا و روسیه هر دو در دکترین دفاع سایبری خود، انجام حملات سایبری را به نوعی اعلام جنگ می پندارند و برای خود این حق را قائل هستند که پاسخ حملات سایبری دولتی را با حملات نظامی بدهند. (سال گذشته در ایران هم قانون مشابهی تصویب شد.) پوتین دیروز هرگونه ارتباط این حملات با دولت روسیه را رد کرد. اما اگر آمریکا مدرکی بدست بیاورد که اثبات کند دولت روسیه پشت پرده این حملات بوده شرایط سیاسی و امنیتی جهان بسیار نگران کننده تر خواهد شد. کسی چه میداند!؟ شاید این حملات سایبری مقدمه یک نزاع ویرانگر بین المللی باشد! در نگاهی افراطی تر برخی عقیده دارند که این حمله می تواند آغازگر جنگ جهانی سوم باشد!
▪️به عنوان یک تحلیلگر خبرهای امنیتی و یک نظاره گر حملات سایبری اخیر، شک ندارم که آمریکا تنها کشوری نیست که گرفتار این حملات شده است. آمریکا موفق شده زودتر از بقیه کشورها این حملات را کشف کند. در ایران هم محصولات SolarWinds به وفور در بسیاری از سازمانها استفاده می شود. قطعا تعدادی از شرکتها و سازمانهای ایرانی هم درگیر این Backdoor روسی شده اند. فقط امیدواریم برادران روسی حداقل این بار بر خلاف رویه پیشین تاریخی خود عمل کرده باشند و از پشت به شریک سیاسی و استراتژیک خود خنجر نزده باشند!
⚫️ نکته مغفول مانده از دید اکثر کارشناسان:
▪️شرکت SolarWinds نرم افزارهای Monitoring تولید می کند. نرم افزار Monitoring برای کارکرد درست باید در نقطه ای نصب شود که بتواند به Probeها و Agentها و تجهیزات در Zoneهای مختلف دسترسی داشته باشد. این دسترسی ها هم معمولا از نوع سطح بالا است. چون سیستم های مانیتورینگ باید بتوانند فاکتورهای مهم را در سطح سیستم عامل نظارت کنند. حتی در مواردی که المانهای مانیتورینگ از طریق SNMP خوانده می شود ممکن است دسترسی ها از نوع Write تعریف شده باشد. در برخی نقاط بنا به ضرورت ممکن است سرویسهایی با دسترسی Administrator توسط نرم افزار مانیتورینگ اجرا شود.
به طور خلاصه نرم افزار مانیتورینگ دارای سطح دسترسی نسبتا بالایی در شبکه است و از طرفی در نقطه ای نصب می شود که به Zone های زیادی بصورت مستقیم یا غیرمستقیم دسترسی دارد. این باعث می شود که Inject کردن یک Backdoor داخل آن قدرت بسیار زیادی به هکر بدهد! توجه کنید که لازم نیست سرور SolarWinds روی اینترنت Publish شده باشد. حتی نیاز نیست به اینترنت متصل شده باشد. Backdoor به زیبایی کار خودش انجام می دهد و راه ارتباط با اینترنت را از طریق Agentها و Probeها پیدا می کند! این باعث میشود که ریسک این Backdoor به شدت زیاد باشد.
⚫️ سردرگمی جدید
▪️به عقیده من این هک و نفوذ با این روش خارق العاده، یک Next Generation Hack بود و ما را در این ابهام بزرگ فرو برد که از این پس Security Updateهای بقیه نرم افزارها را نصب کنیم یا خیر؟ اگر نصب کنیم ممکن است به این روش قربانی شویم و اگر نصب نکنیم هم به هزاران روش دیگر قربانی می شویم! سردرگمی عجیبی است!
علی کیائی فر
28 آذر 99
🔴مایکروسافت هم!
▪️مایکروسافت هم اعتراف کرد که مانند بسیاری از مشتریان SolarWinds فایلهای آلوده به Backdoor را در شبکه خودش مشاهده کرده! البته گفته این بخش از بخشهای عملیاتی ایزوله بوده. مایکروسافت این را هم اضافه کرده که بیش از ۴۰ مورد از حمله به مشتریانش را کشف کرده که ۸۰ درصد آنها در آمریکا بوده اند. بقیه هم در کانادا و مکزیک و بلژیک و اسپانیا و انگلیس و اسرائیل و امارات!
▪️خبرهای غافلگیر کننده ادامه دارد....
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️مایکروسافت هم اعتراف کرد که مانند بسیاری از مشتریان SolarWinds فایلهای آلوده به Backdoor را در شبکه خودش مشاهده کرده! البته گفته این بخش از بخشهای عملیاتی ایزوله بوده. مایکروسافت این را هم اضافه کرده که بیش از ۴۰ مورد از حمله به مشتریانش را کشف کرده که ۸۰ درصد آنها در آمریکا بوده اند. بقیه هم در کانادا و مکزیک و بلژیک و اسپانیا و انگلیس و اسرائیل و امارات!
▪️خبرهای غافلگیر کننده ادامه دارد....
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴ایران هم طعمه Backdoor روسی شده!
▪️مایکروسافت نقشه ای منتشر کرده که نحوه و میزان انتشار Backdoor روسی را در سطح دنیا نشان میدهد.
▪️همانگونه که پیش بینی شده بود در ایران هم این Backdoor مشاهده شده است. روسیه عاری از انتشار امضای بدافزار است.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️مایکروسافت نقشه ای منتشر کرده که نحوه و میزان انتشار Backdoor روسی را در سطح دنیا نشان میدهد.
▪️همانگونه که پیش بینی شده بود در ایران هم این Backdoor مشاهده شده است. روسیه عاری از انتشار امضای بدافزار است.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⚠️کم توجهی مراکز امنیتی کشور به حملات اخیر
▪️از نحوه و سطح واکنش مراکز متولی امنیت سایبری کشور به حملات سایبری اخیر چنین برمی آید که به عمق فاجعه توجه چندانی نشده است!
▪️خطر این حمله بسیار جدی و بی سابقه است و در ایران هم قطعا قربانیانی را دامن گرفته است. نوشدارو بعد از مرگ سهراب هم بکار نخواهد آمد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️از نحوه و سطح واکنش مراکز متولی امنیت سایبری کشور به حملات سایبری اخیر چنین برمی آید که به عمق فاجعه توجه چندانی نشده است!
▪️خطر این حمله بسیار جدی و بی سابقه است و در ایران هم قطعا قربانیانی را دامن گرفته است. نوشدارو بعد از مرگ سهراب هم بکار نخواهد آمد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ping Channel
🔴مایکروسافت هم! ▪️مایکروسافت هم اعتراف کرد که مانند بسیاری از مشتریان SolarWinds فایلهای آلوده به Backdoor را در شبکه خودش مشاهده کرده! البته گفته این بخش از بخشهای عملیاتی ایزوله بوده. مایکروسافت این را هم اضافه کرده که بیش از ۴۰ مورد از حمله به مشتریانش…
🔷 مایکروسافت تصریح کرد که شبکه اش هک نشده!
▪️امروز بسیاری از کانالها و تعدادی از خبرگزاریها گزارش کردند که مایکروسافت یکی از قربانیان حملات سایبری اخیر بوده. علت بروز این شایعات هم خبری بود که رویترز منتشر کرد و البته مایکروسافت هم بلافاصله آنرا تکذیب کرد. مایکروسافت توضیح داده که: مانند بقیه مشتریان SolarWinds ما به دنبال شاخصهایی درباره عامل این حملات بودیم و میتوانیم این موضوع را تایید کنیم که باینریهای مخرب SolarWinds را در محیط مایکروسافت پیدا کردهایم. اما ما هیچ شواهدی مبنی بر دسترسی هکرها به محصولات، سرویسها و یا اطلاعات مشتریان خود پیدا نکردهایم. تحقیقات ما در حال حاضر در جریان است و ما هیچ شاخصی را پیدا نکردیم که تایید کند سیستمهای ما برای حمله به دیگران استفاده شدهاند.
▪️نقشه ای که مایکروسافت منتشر کرده نشان می دهد بیش از 40 مشتری از مشتریان مایکروسافت در این حمله قربانی شده اند حاصل استخراج اطلاعات آنتی ویروس مایکروسافت دیفندر است که در تمام دنیا استفاده می شود و این به معنی هک شدن مایکروسافت نیست.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️امروز بسیاری از کانالها و تعدادی از خبرگزاریها گزارش کردند که مایکروسافت یکی از قربانیان حملات سایبری اخیر بوده. علت بروز این شایعات هم خبری بود که رویترز منتشر کرد و البته مایکروسافت هم بلافاصله آنرا تکذیب کرد. مایکروسافت توضیح داده که: مانند بقیه مشتریان SolarWinds ما به دنبال شاخصهایی درباره عامل این حملات بودیم و میتوانیم این موضوع را تایید کنیم که باینریهای مخرب SolarWinds را در محیط مایکروسافت پیدا کردهایم. اما ما هیچ شواهدی مبنی بر دسترسی هکرها به محصولات، سرویسها و یا اطلاعات مشتریان خود پیدا نکردهایم. تحقیقات ما در حال حاضر در جریان است و ما هیچ شاخصی را پیدا نکردیم که تایید کند سیستمهای ما برای حمله به دیگران استفاده شدهاند.
▪️نقشه ای که مایکروسافت منتشر کرده نشان می دهد بیش از 40 مشتری از مشتریان مایکروسافت در این حمله قربانی شده اند حاصل استخراج اطلاعات آنتی ویروس مایکروسافت دیفندر است که در تمام دنیا استفاده می شود و این به معنی هک شدن مایکروسافت نیست.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
ZDNET
Microsoft confirms it was also breached in recent SolarWinds supply chain hack
Microsoft denies that hackers pivoted to production systems and abused its software to attack customers.
⚠️یک درس بزرگ از حملات سایبری اخیر
▪️شرکت SolarWinds در وب سایت خود بخشی داشت که لیست مشتریانش را برای عموم به نمایش گذاشته بود. در این لیست بیش از 425 شرکت از لیست مشهور 500 شرکت برتر دنیا به انتخاب نشریه Fortune قرار داشتند. علاوه بر این، اسم سازمانهای نظامی (ازجمله پنتاگون) و دستگاه های دولتی آمریکا هم در لیست مشتریان این شرکت دیده میشد. همین موضوع باعث شده بود تا هکرها سرنخهای خوبی بدست آوردند و مطمئن شوند که طعمه را به درستی انتخاب کرده اند! SolarWinds بعد از رسوایی اخیر این لیست را از وب سایتش حذف کرد.
▪️انتشار لیست مشتریان در وب سایت تولیدکنندگان و فروشندگان محصولات و نرم افزارها می تواند امنیت آنها را خدشه دار کند.
▪️شایسته است مرکز افتا، همه شرکتهایی را که از این مرکز مجوز فعالیت گرفته اند از انتشار عمومی لیست مشتریان منع کند. کارفرماها نیز می توانند در قراردادهای خود با پیمانکاران بر عدم انتشار نام کارفرما در لیست مشتریان تاکید کنند.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️شرکت SolarWinds در وب سایت خود بخشی داشت که لیست مشتریانش را برای عموم به نمایش گذاشته بود. در این لیست بیش از 425 شرکت از لیست مشهور 500 شرکت برتر دنیا به انتخاب نشریه Fortune قرار داشتند. علاوه بر این، اسم سازمانهای نظامی (ازجمله پنتاگون) و دستگاه های دولتی آمریکا هم در لیست مشتریان این شرکت دیده میشد. همین موضوع باعث شده بود تا هکرها سرنخهای خوبی بدست آوردند و مطمئن شوند که طعمه را به درستی انتخاب کرده اند! SolarWinds بعد از رسوایی اخیر این لیست را از وب سایتش حذف کرد.
▪️انتشار لیست مشتریان در وب سایت تولیدکنندگان و فروشندگان محصولات و نرم افزارها می تواند امنیت آنها را خدشه دار کند.
▪️شایسته است مرکز افتا، همه شرکتهایی را که از این مرکز مجوز فعالیت گرفته اند از انتشار عمومی لیست مشتریان منع کند. کارفرماها نیز می توانند در قراردادهای خود با پیمانکاران بر عدم انتشار نام کارفرما در لیست مشتریان تاکید کنند.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ping Channel
⚠️کم توجهی مراکز امنیتی کشور به حملات اخیر ▪️از نحوه و سطح واکنش مراکز متولی امنیت سایبری کشور به حملات سایبری اخیر چنین برمی آید که به عمق فاجعه توجه چندانی نشده است! ▪️خطر این حمله بسیار جدی و بی سابقه است و در ایران هم قطعا قربانیانی را دامن گرفته است.…
⚠️توصیه های مرکز افتا در خصوص حملات اخیر
▪️مرکز افتا در اطلاعیه ای که روز سه شنبه منتشر شده توصیه هایی را به کارشناسان زیرساخت کشور ارائه کرده است. در بخشی از این اطلاعیه آمده است:
«کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا، توصیه می کنند تا کارشناسان IT دستگاههای زیرساخت در کوتاهترین زمان ممکن، با استفاده از محصولات ضدویروس و ابزارهای امنیتی، وجود هر گونه نشانه آلودگی را بررسی کنند.
دستگاههای زیرساخت همچنین، باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساختهای فیزیکی و ابری را بازبینی و مقاومسازی کنند.
متخصصان IT زیرساختهای کشور، باید در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.
کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساختها خواستهاند تا در نخستین فرصت، SolarWinds Orion Platform را به Version ۲۰۲۰,۲.۲.۱HF۱ ارتقا داده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستمها را به حالت قبل بازگردانند. »
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️مرکز افتا در اطلاعیه ای که روز سه شنبه منتشر شده توصیه هایی را به کارشناسان زیرساخت کشور ارائه کرده است. در بخشی از این اطلاعیه آمده است:
«کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا، توصیه می کنند تا کارشناسان IT دستگاههای زیرساخت در کوتاهترین زمان ممکن، با استفاده از محصولات ضدویروس و ابزارهای امنیتی، وجود هر گونه نشانه آلودگی را بررسی کنند.
دستگاههای زیرساخت همچنین، باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساختهای فیزیکی و ابری را بازبینی و مقاومسازی کنند.
متخصصان IT زیرساختهای کشور، باید در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.
کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساختها خواستهاند تا در نخستین فرصت، SolarWinds Orion Platform را به Version ۲۰۲۰,۲.۲.۱HF۱ ارتقا داده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستمها را به حالت قبل بازگردانند. »
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
www.afta.gov.ir
پورتال-مرکز مدیریت راهبردی افتای ریاست جمهوری -افتا/ماجرای یکی از کمنظیرترین حملات سایبری تاریخ
پورتال--/
☑️مایکروسافت گزارش تحلیلی خود را از Backdoor تزریق شده به محصولات SolarWinds منتشر کرد.
▪️این گزارش بسیار خواندنی و مفصل را که لحظاتی پیش منتشر شد در اینجا بخوانید.
▪️ازجمله نکات قابل توجه این است که این Backdoor چند فاز دارد. در فاز اول یک سری شرایط را بررسی می کند. اگر شرایط مهیا نبود Backdoor اصلا اجرا نمیشود. این شرایط عبارتند از:
➖It verifies that the process hosting the malicious DLL is named solarwinds.businesslayerhost.exe
➖It checks that the last write-time of the malicious DLL is at least 12 to 14 days earlier
➖It delays execution by random amounts of time
➖It verifies that the domain name of the current device meets the following conditions:
▫️The domain must not contain certain strings; the check for these strings is implemented via hashes, so at this time the domain names that are block-listed are unknown
▫️The domain must not contain “solarwinds”
▫️The domain must not match the regular expression (?i)([^a-z]|^)(test)([^a-z]|$), or in simpler terms, it must not look like a test domain
➖It checks that there are no running processes related to security-related software (e.g., Windbg, Autoruns, Wireshark)
➖It checks that there are no drivers loaded from security-related software (e.g., groundling32.sys)
➖It checks that the status of certain services belonging to security-related software meets certain conditions (e.g., windefend, sense, cavp)
➖It checks that the host “api.solarwinds.com” resolves to an expected IP address
▪️هرکدام از شرایط بالا فراهم نبود Backdoor اجرا نخواهد شد. اوج هوشمندی هکرها در تعریف این شرط ها قابل تشخیص است. در ادامه این تحلیل، فرمانهایی که از C2 دریافت می کند و اجرا می کند شرح داده شده است که فرصت ترجمه نیست. از اینجا مطالعه کنید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️این گزارش بسیار خواندنی و مفصل را که لحظاتی پیش منتشر شد در اینجا بخوانید.
▪️ازجمله نکات قابل توجه این است که این Backdoor چند فاز دارد. در فاز اول یک سری شرایط را بررسی می کند. اگر شرایط مهیا نبود Backdoor اصلا اجرا نمیشود. این شرایط عبارتند از:
➖It verifies that the process hosting the malicious DLL is named solarwinds.businesslayerhost.exe
➖It checks that the last write-time of the malicious DLL is at least 12 to 14 days earlier
➖It delays execution by random amounts of time
➖It verifies that the domain name of the current device meets the following conditions:
▫️The domain must not contain certain strings; the check for these strings is implemented via hashes, so at this time the domain names that are block-listed are unknown
▫️The domain must not contain “solarwinds”
▫️The domain must not match the regular expression (?i)([^a-z]|^)(test)([^a-z]|$), or in simpler terms, it must not look like a test domain
➖It checks that there are no running processes related to security-related software (e.g., Windbg, Autoruns, Wireshark)
➖It checks that there are no drivers loaded from security-related software (e.g., groundling32.sys)
➖It checks that the status of certain services belonging to security-related software meets certain conditions (e.g., windefend, sense, cavp)
➖It checks that the host “api.solarwinds.com” resolves to an expected IP address
▪️هرکدام از شرایط بالا فراهم نبود Backdoor اجرا نخواهد شد. اوج هوشمندی هکرها در تعریف این شرط ها قابل تشخیص است. در ادامه این تحلیل، فرمانهایی که از C2 دریافت می کند و اجرا می کند شرح داده شده است که فرصت ترجمه نیست. از اینجا مطالعه کنید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Microsoft News
Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect…
We, along with the security industry and our partners, continue to investigate the extent of the Solorigate attack. While investigations are underway, we want to provide the defender community with intel to understand the scope and impact, remediation guidance…
🔴 مهم: چرا تاکید داریم حملات اخیر بی سابقه است و عواقب آن می تواند وخیم و دنباله دار باشد؟
▪️فرض کنید یکی از بانکهای کشور، یکی از محصولات آلوده به Backdoor شرکت SolarWinds را نصب کرده باشد. این Backdoor به مدت 6 الی 9 ماه در بستر بانک با بالاترین دسترسی فعال بوده. این Backdoor می توانسته فعالیتهای زیر را انجام دهد:
❗️فایل بسازد
❗️کاربر تعریف کند
❗️سرویس نصب کند
❗️سرویسهای موجود را حذف و یا غیرفعال کند
❗️و ... (به بقیه کاری نداریم. همین ها برای نگرانی کافیست.)
▪️حالا فرض کنید که این بانک بلافاصله پس از اطلاع از وجود Backdoor اقدام به Uninstall کردن تمام محصولات SolarWinds کرده باشد. آیا نگرانی برطرف شده است؟!
قطعا خیر! زیرا Backdoor در دوران فعالیتش ممکن است چندین Backdoor ناشناخته دیگر در بانک نصب کرده باشد. ممکن است چندین راه نفوذ جدید باز کرده باشد که بعد از حذف Backdoor مادر، فعالیتشان را آغاز کنند. ممکن است چندین بمب ساعتی در شبکه بانک نصب کرده باشد تا بعد از مرگ Backdoor در زمانی مشخص به اجرا درآیند و زیرساخت بانک را منهدم کنند.
🔴دقیقا به همین دلایل است که آمریکایی های زخم خورده به شدت سردرگم هستند و حتی نمی توانند تصور شفافی از عمق ماجرا داشته باشند.
⚠️لذا اگر در ماه های گذشته در شبکه خود از محصولات SolarWinds نسخه ۲۰۱۹,۴ HF ۵ الی ۲۰۲۰.۲.۱ استفاده کرده اید حتی اگر امروز این نرم افزار را Uninstall کرده باشید باز هم نباید شبها خواب راحت داشته باشید و باید از مشاوران مجرب برای آنالیز دقیق شبکه ها و سرویسهای خود کمک بگیرید تا شاید(!) تا حدی(!) اطمینان پیدا کنید که Backdoor در زمان حیاتش در ماه های گذشته عمل ناشایستی(!) در شبکه شما انجام نداده است و تمام اثرات و فرزندانش نابود شده اند!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️فرض کنید یکی از بانکهای کشور، یکی از محصولات آلوده به Backdoor شرکت SolarWinds را نصب کرده باشد. این Backdoor به مدت 6 الی 9 ماه در بستر بانک با بالاترین دسترسی فعال بوده. این Backdoor می توانسته فعالیتهای زیر را انجام دهد:
❗️فایل بسازد
❗️کاربر تعریف کند
❗️سرویس نصب کند
❗️سرویسهای موجود را حذف و یا غیرفعال کند
❗️و ... (به بقیه کاری نداریم. همین ها برای نگرانی کافیست.)
▪️حالا فرض کنید که این بانک بلافاصله پس از اطلاع از وجود Backdoor اقدام به Uninstall کردن تمام محصولات SolarWinds کرده باشد. آیا نگرانی برطرف شده است؟!
قطعا خیر! زیرا Backdoor در دوران فعالیتش ممکن است چندین Backdoor ناشناخته دیگر در بانک نصب کرده باشد. ممکن است چندین راه نفوذ جدید باز کرده باشد که بعد از حذف Backdoor مادر، فعالیتشان را آغاز کنند. ممکن است چندین بمب ساعتی در شبکه بانک نصب کرده باشد تا بعد از مرگ Backdoor در زمانی مشخص به اجرا درآیند و زیرساخت بانک را منهدم کنند.
🔴دقیقا به همین دلایل است که آمریکایی های زخم خورده به شدت سردرگم هستند و حتی نمی توانند تصور شفافی از عمق ماجرا داشته باشند.
⚠️لذا اگر در ماه های گذشته در شبکه خود از محصولات SolarWinds نسخه ۲۰۱۹,۴ HF ۵ الی ۲۰۲۰.۲.۱ استفاده کرده اید حتی اگر امروز این نرم افزار را Uninstall کرده باشید باز هم نباید شبها خواب راحت داشته باشید و باید از مشاوران مجرب برای آنالیز دقیق شبکه ها و سرویسهای خود کمک بگیرید تا شاید(!) تا حدی(!) اطمینان پیدا کنید که Backdoor در زمان حیاتش در ماه های گذشته عمل ناشایستی(!) در شبکه شما انجام نداده است و تمام اثرات و فرزندانش نابود شده اند!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴نرم افزار دومی هم در کار است!
▪️موضوع حمله سایبری اخیر با استفاده از Backdoor ظاهرا محدود به SolarWinds نیست! آژانس امنیت سایبری آمریکا اعلام کرده که بجز SolarWinds یک نرم افزار دیگر هم به همین روش هدف قرار گرفته و روی آن Backdoor اینجکت شده است. این آژانس اعلام کرده که شرکتهای FireEye و مایکروسافت با کمک هم در حال تحلیل نرم افزار دوم هستند و به زودی نام آن اعلام خواهد شد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️موضوع حمله سایبری اخیر با استفاده از Backdoor ظاهرا محدود به SolarWinds نیست! آژانس امنیت سایبری آمریکا اعلام کرده که بجز SolarWinds یک نرم افزار دیگر هم به همین روش هدف قرار گرفته و روی آن Backdoor اینجکت شده است. این آژانس اعلام کرده که شرکتهای FireEye و مایکروسافت با کمک هم در حال تحلیل نرم افزار دوم هستند و به زودی نام آن اعلام خواهد شد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴شرکت Cisco جدیدترین قربانی حملات سایبری اخیر
⚠️شرکت Cisco هم تایید کرد که قربانی حملات سایبری اخیر شده است و کدهای Backdoorهای نرم افزار SolarWinds را روی برخی از سیستم های لابراتوارهایش مشاهده کرده. سیسکو گفته هنوز مشخص نشده که این حمله چه Impactهایی روی محصولات Cisco ایجاد کرده است. سیسکو با اولویت بالا درحال بررسی عوارض این حمله در شبکه خودش است.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⚠️شرکت Cisco هم تایید کرد که قربانی حملات سایبری اخیر شده است و کدهای Backdoorهای نرم افزار SolarWinds را روی برخی از سیستم های لابراتوارهایش مشاهده کرده. سیسکو گفته هنوز مشخص نشده که این حمله چه Impactهایی روی محصولات Cisco ایجاد کرده است. سیسکو با اولویت بالا درحال بررسی عوارض این حمله در شبکه خودش است.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Bloomberg.com
Cisco Latest Victim of Russian Cyber-Attack Using SolarWinds
Cisco Systems Inc. was compromised as part of a suspected Russian campaign that has roiled the U.S. government and private sector and left security experts across the country racing to assess the extent of the damage.
💡این روزها بیش از پیش به عمق این جمله پی میبریم:
▪️سازمان دو دسته اند:
آنها که هک شده اند و آنها که هک خواهند شد!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️سازمان دو دسته اند:
آنها که هک شده اند و آنها که هک خواهند شد!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⭕️واکنش سرد ترامپ به حملات سایبری
▪️ترامپ ادعای دخالت روسیه در حمله سایبری اخیر به سیستمهای کامپیوتری این کشور را کم اهمیت جلوه داد.
▪️روز گذشته مایک پومپئو، وزیر خارجه آمریکا، مسکو را مسئول این حمله دانست و آن را حملهای مهم خواند. اما آقای ترامپ در توییتی مدعی شده که این حمله آن چنان که در "رسانههای خبری جعلی" گزارش شده بد نبوده است.
او در ادامه نوشت: «روسیه، روسیه، روسیه تنها چیزی است که رسانههای جریان اصلی درباره آن حرف میزنند، زیرا به دلایل اقتصادی از بحث درباره اینکه میتواند کار چین باشد واهمه دارند (که امری محتمل است.)»
🔗منبع
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️ترامپ ادعای دخالت روسیه در حمله سایبری اخیر به سیستمهای کامپیوتری این کشور را کم اهمیت جلوه داد.
▪️روز گذشته مایک پومپئو، وزیر خارجه آمریکا، مسکو را مسئول این حمله دانست و آن را حملهای مهم خواند. اما آقای ترامپ در توییتی مدعی شده که این حمله آن چنان که در "رسانههای خبری جعلی" گزارش شده بد نبوده است.
او در ادامه نوشت: «روسیه، روسیه، روسیه تنها چیزی است که رسانههای جریان اصلی درباره آن حرف میزنند، زیرا به دلایل اقتصادی از بحث درباره اینکه میتواند کار چین باشد واهمه دارند (که امری محتمل است.)»
🔗منبع
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
"آندري سولداتوف" يك كارشناس سرويسهاي امنيت روسيه در گفتوگو با گاردین گفته: «معتقدم این هک به احتمال زیاد تلاش مشترک (SVR) و (FSB) آژانسهای جاسوسی داخلی روسیه است».
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ping Channel via @like
❗️رئیس سازمان تنظیم مقررات خبر داده که آوای انتظار موبایلهای مردم را بدون درنظر گرفتن حق انتخاب آنان به یک پیام صوتی تغییر داده که مردم را به ماندن در خانه ها در شب یلدا دعوت می کند!
👀 تغییر آوای انتظار موبایل مردم بدون درنظر گرفتن نظر مردم دقیقا مثل اینه که مایکروسافت بیاد عکس Desktop همه Windowsها رو بدون اطلاع کاربران تغییر بده! اینها هم بخشی از #حق_الناس است.
لینک توئیت
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
لینک توئیت
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⭕️ شرکت SolarWinds که این روزها به شدت مورد هجمه منتقدان و کارشناسان امنیتی قرار گرفته در وب سایت خودش یکسری دلایل آورده که قضیه رو توجیه کنه. در یکی از بخشها توضیح داده که استفاده از نرم افزارهای Open Source ریسک بیشتری داره چون هرکسی می تونه سورس رو تغییر بده و توش بدافزار Inject کنه!😅
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴ناتو و پارلمان اروپا جدیدترین قربانیان حملات سایبری اخیر
▪️ناتو و پارلمان اروپا جدیدترین قربانیان جملات سایبری اخیر بوده اند که فایلهای آلوده Backdoor مربوط به SolarWinds روی آنها پیدا شده است.
▪️این دو سازمان اعلام کرده اند که متخصصانشان مشغول بررسی و کشف اثرات این حمله هستند.
▪️سازمان بهداشت انگلیس و شرکت داروسازی AstraZeneca که روی تولید واکسن Covid19 فعالیت میکرده از دیگر قربانیان جدید حملات سایبری اخیر هستند.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️ناتو و پارلمان اروپا جدیدترین قربانیان جملات سایبری اخیر بوده اند که فایلهای آلوده Backdoor مربوط به SolarWinds روی آنها پیدا شده است.
▪️این دو سازمان اعلام کرده اند که متخصصانشان مشغول بررسی و کشف اثرات این حمله هستند.
▪️سازمان بهداشت انگلیس و شرکت داروسازی AstraZeneca که روی تولید واکسن Covid19 فعالیت میکرده از دیگر قربانیان جدید حملات سایبری اخیر هستند.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Security Affairs
NATO is checking its systems to determine the impact of SolarWinds hack
NATO announced it is assessing its systems after the SolarWinds supply chain attack that impacted multiple US government agencies.
🔴 هکرهای ایرانی، سازمان هوافضای اسرائیل را هک کردند.
▪️رسانههای صهیونیستی اعلام کردند سازمان هوافضای اسرائیل توسط هکرهای ایرانی مورد حمله واقع شده و این حملات همچنان ادامه دارد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️رسانههای صهیونیستی اعلام کردند سازمان هوافضای اسرائیل توسط هکرهای ایرانی مورد حمله واقع شده و این حملات همچنان ادامه دارد.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Haaretz.com
Iranian hackers hit top Israeli defense contractor, data leaked as cyberattack continues
***
✍️مصاحبه با باشگاه خبرنگاران جوان
▪️در مصاحبه ای با باشگاه خبرنگاران جوان به جزئیات بیشتری در خصوص حملات سایبری اخیر پرداختم که متن آنرا می توانید از اینجا مطالعه بفرمایید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️در مصاحبه ای با باشگاه خبرنگاران جوان به جزئیات بیشتری در خصوص حملات سایبری اخیر پرداختم که متن آنرا می توانید از اینجا مطالعه بفرمایید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
خبرگزاری باشگاه خبرنگاران | آخرین اخبار ایران و جهان | YJC
زوایایی پنهان از حمله سایبری به آمریکا و سرقت ابزارهای محرمانه
در این گزارش گفتوگویی با علی کیائی فر کارشناس امنیت سایبری، در رابطه با حملات سایبری اخیر به آمریکا داشتیم.