⚠️کم توجهی مراکز امنیتی کشور به حملات اخیر
▪️از نحوه و سطح واکنش مراکز متولی امنیت سایبری کشور به حملات سایبری اخیر چنین برمی آید که به عمق فاجعه توجه چندانی نشده است!
▪️خطر این حمله بسیار جدی و بی سابقه است و در ایران هم قطعا قربانیانی را دامن گرفته است. نوشدارو بعد از مرگ سهراب هم بکار نخواهد آمد.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔷 مایکروسافت تصریح کرد که شبکه اش هک نشده!
▪️امروز بسیاری از کانالها و تعدادی از خبرگزاریها گزارش کردند که مایکروسافت یکی از قربانیان حملات سایبری اخیر بوده. علت بروز این شایعات هم خبری بود که رویترز منتشر کرد و البته مایکروسافت هم بلافاصله آنرا تکذیب کرد. مایکروسافت توضیح داده که: مانند بقیه مشتریان SolarWinds ما به دنبال شاخص‌هایی درباره عامل این حملات بودیم و می‌توانیم این موضوع را تایید کنیم که باینری‌های مخرب SolarWinds را در محیط مایکروسافت پیدا کرده‌ایم. اما ما هیچ شواهدی مبنی بر دسترسی هکرها به محصولات، سرویس‌ها و یا اطلاعات مشتریان خود پیدا نکرده‌ایم. تحقیقات ما در حال حاضر در جریان است و ما هیچ شاخصی را پیدا نکردیم که تایید کند سیستم‌های ما برای حمله به دیگران استفاده شده‌اند.
▪️نقشه ای که مایکروسافت منتشر کرده نشان می دهد بیش از 40 مشتری از مشتریان مایکروسافت در این حمله قربانی شده اند حاصل استخراج اطلاعات آنتی ویروس مایکروسافت دیفندر است که در تمام دنیا استفاده می شود و این به معنی هک شدن مایکروسافت نیست.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚠️یک درس بزرگ از حملات سایبری اخیر
▪️شرکت SolarWinds در وب سایت خود بخشی داشت که لیست مشتریانش را برای عموم به نمایش گذاشته بود. در این لیست بیش از 425 شرکت از لیست مشهور 500 شرکت برتر دنیا به انتخاب نشریه Fortune قرار داشتند. علاوه بر این، اسم سازمانهای نظامی (ازجمله پنتاگون) و دستگاه های دولتی آمریکا هم در لیست مشتریان این شرکت دیده میشد. همین موضوع باعث شده بود تا هکرها سرنخهای خوبی بدست آوردند و مطمئن شوند که طعمه را به درستی انتخاب کرده اند! SolarWinds بعد از رسوایی اخیر این لیست را از وب سایتش حذف کرد.
▪️انتشار لیست مشتریان در وب سایت تولیدکنندگان و فروشندگان محصولات و نرم افزارها می تواند امنیت آنها را خدشه دار کند.
▪️شایسته است مرکز افتا، همه شرکتهایی را که از این مرکز مجوز فعالیت گرفته اند از انتشار عمومی لیست مشتریان منع کند. کارفرماها نیز می توانند در قراردادهای خود با پیمانکاران بر عدم انتشار نام کارفرما در لیست مشتریان تاکید کنند.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚠️توصیه های مرکز افتا در خصوص حملات اخیر
▪️مرکز افتا در اطلاعیه ای که روز سه شنبه منتشر شده توصیه هایی را به کارشناسان زیرساخت کشور ارائه کرده است. در بخشی از این اطلاعیه آمده است:

«کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا، توصیه می کنند تا کارشناسان IT دستگاه‌های زیرساخت در کوتاهترین زمان ممکن، با استفاده از محصولات ضدویروس و ابزارهای امنیتی، وجود هر گونه نشانه آلودگی را بررسی کنند.
دستگاه‌های زیرساخت همچنین، باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساخت‌های فیزیکی و ابری را بازبینی و مقاوم‌سازی کنند.
متخصصان IT زیرساخت‌های کشور، باید در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.
کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساخت‌ها خواسته‌اند تا در نخستین فرصت، SolarWinds Orion Platform را به Version ۲۰۲۰,۲.۲.۱HF۱ ارتقا داده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستم‌ها را به حالت قبل بازگردانند. »

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

☑️مایکروسافت گزارش تحلیلی خود را از Backdoor تزریق شده به محصولات SolarWinds منتشر کرد.
▪️این گزارش بسیار خواندنی و مفصل را که لحظاتی پیش منتشر شد در اینجا بخوانید.
▪️ازجمله نکات قابل توجه این است که این Backdoor چند فاز دارد. در فاز اول یک سری شرایط را بررسی می کند. اگر شرایط مهیا نبود Backdoor اصلا اجرا نمیشود. این شرایط عبارتند از:
➖It verifies that the process hosting the malicious DLL is named solarwinds.businesslayerhost.exe
➖It checks that the last write-time of the malicious DLL is at least 12 to 14 days earlier
➖It delays execution by random amounts of time
➖It verifies that the domain name of the current device meets the following conditions:
▫️The domain must not contain certain strings; the check for these strings is implemented via hashes, so at this time the domain names that are block-listed are unknown
▫️The domain must not contain “solarwinds”
▫️The domain must not match the regular expression (?i)([^a-z]|^)(test)([^a-z]|$), or in simpler terms, it must not look like a test domain
➖It checks that there are no running processes related to security-related software (e.g., Windbg, Autoruns, Wireshark)
➖It checks that there are no drivers loaded from security-related software (e.g., groundling32.sys)
➖It checks that the status of certain services belonging to security-related software meets certain conditions (e.g., windefend, sense, cavp)
➖It checks that the host “api.solarwinds.com” resolves to an expected IP address

▪️هرکدام از شرایط بالا فراهم نبود Backdoor اجرا نخواهد شد. اوج هوشمندی هکرها در تعریف این شرط ها قابل تشخیص است. در ادامه این تحلیل، فرمانهایی که از C2 دریافت می کند و اجرا می کند شرح داده شده است که فرصت ترجمه نیست. از اینجا مطالعه کنید.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔴 مهم: چرا تاکید داریم حملات اخیر بی سابقه است و عواقب آن می تواند وخیم و دنباله دار باشد؟
▪️فرض کنید یکی از بانکهای کشور، یکی از محصولات آلوده به Backdoor شرکت SolarWinds را نصب کرده باشد. این Backdoor به مدت 6 الی 9 ماه در بستر بانک با بالاترین دسترسی فعال بوده. این Backdoor می توانسته فعالیتهای زیر را انجام دهد:
❗️فایل بسازد
❗️کاربر تعریف کند
❗️سرویس نصب کند
❗️سرویسهای موجود را حذف و یا غیرفعال کند
❗️و ... (به بقیه کاری نداریم. همین ها برای نگرانی کافیست.)
▪️حالا فرض کنید که این بانک بلافاصله پس از اطلاع از وجود Backdoor اقدام به Uninstall کردن تمام محصولات SolarWinds کرده باشد. آیا نگرانی برطرف شده است؟!
قطعا خیر! زیرا Backdoor در دوران فعالیتش ممکن است چندین Backdoor ناشناخته دیگر در بانک نصب کرده باشد. ممکن است چندین راه نفوذ جدید باز کرده باشد که بعد از حذف Backdoor مادر، فعالیتشان را آغاز کنند. ممکن است چندین بمب ساعتی در شبکه بانک نصب کرده باشد تا بعد از مرگ Backdoor در زمانی مشخص به اجرا درآیند و زیرساخت بانک را منهدم کنند.
🔴دقیقا به همین دلایل است که آمریکایی های زخم خورده به شدت سردرگم هستند و حتی نمی توانند تصور شفافی از عمق ماجرا داشته باشند.

⚠️لذا اگر در ماه های گذشته در شبکه خود از محصولات SolarWinds نسخه ۲۰۱۹,۴ HF ۵ الی ۲۰۲۰.۲.۱ استفاده کرده اید حتی اگر امروز این نرم افزار را Uninstall کرده باشید باز هم نباید شبها خواب راحت داشته باشید و باید از مشاوران مجرب برای آنالیز دقیق شبکه ها و سرویسهای خود کمک بگیرید تا شاید(!) تا حدی(!) اطمینان پیدا کنید که Backdoor در زمان حیاتش در ماه های گذشته عمل ناشایستی(!) در شبکه شما انجام نداده است و تمام اثرات و فرزندانش نابود شده اند!

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔴نرم افزار دومی هم در کار است!
▪️موضوع حمله سایبری اخیر با استفاده از Backdoor ظاهرا محدود به SolarWinds نیست! آژانس امنیت سایبری آمریکا اعلام کرده که بجز SolarWinds یک نرم افزار دیگر هم به همین روش هدف قرار گرفته و روی آن Backdoor اینجکت شده است. این آژانس اعلام کرده که شرکتهای FireEye و مایکروسافت با کمک هم در حال تحلیل نرم افزار دوم هستند و به زودی نام آن اعلام خواهد شد.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔴شرکت Cisco جدیدترین قربانی حملات سایبری اخیر
⚠️شرکت Cisco هم تایید کرد که قربانی حملات سایبری اخیر شده است و کدهای Backdoorهای نرم افزار SolarWinds را روی برخی از سیستم های لابراتوارهایش مشاهده کرده. سیسکو گفته هنوز مشخص نشده که این حمله چه Impactهایی روی محصولات Cisco ایجاد کرده است. سیسکو با اولویت بالا درحال بررسی عوارض این حمله در شبکه خودش است.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

💡این روزها بیش از پیش به عمق این جمله پی میبریم:
▪️سازمان دو دسته اند:
آنها که هک شده اند و آنها که هک خواهند شد!

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⭕️واکنش سرد ترامپ به حملات سایبری
▪️ترامپ ادعای دخالت روسیه در حمله سایبری اخیر به سیستم‌های کامپیوتری این کشور را کم اهمیت جلوه داد.
▪️روز گذشته مایک پومپئو، وزیر خارجه آمریکا، مسکو را مسئول این حمله دانست و آن را حمله‌ای مهم خواند. اما آقای ترامپ در توییتی مدعی شده که این حمله آن چنان که در "رسانه‌های خبری جعلی" گزارش شده بد نبوده است.
او در ادامه نوشت: «روسیه، روسیه، روسیه تنها چیزی است که رسانه‌های جریان اصلی درباره آن حرف می‌زنند، زیرا به دلایل اقتصادی از بحث درباره اینکه می‌تواند کار چین باشد واهمه دارند (که امری محتمل است.)»
🔗منبع

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

"آندري سولداتوف" يك كارشناس سرويس‌هاي امنيت روسيه در گفت‌وگو با گاردین گفته: «معتقدم این هک به احتمال زیاد تلاش مشترک (SVR) و (FSB) آژانس‌های جاسوسی داخلی روسیه است».

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

❗️رئیس سازمان تنظیم مقررات خبر داده که آوای انتظار موبایلهای مردم را بدون درنظر گرفتن حق انتخاب آنان به یک پیام صوتی تغییر داده که مردم را به ماندن در خانه ها در شب یلدا دعوت می کند!

👀 تغییر آوای انتظار موبایل مردم بدون درنظر گرفتن نظر مردم دقیقا مثل اینه که مایکروسافت بیاد عکس Desktop همه Windowsها رو بدون اطلاع کاربران تغییر بده! اینها هم بخشی از #حق_الناس است.
لینک توئیت

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⭕️ شرکت SolarWinds که این روزها به شدت مورد هجمه منتقدان و کارشناسان امنیتی قرار گرفته در وب سایت خودش یکسری دلایل آورده که قضیه رو توجیه کنه. در یکی از بخشها توضیح داده که استفاده از نرم افزارهای Open Source ریسک بیشتری داره چون هرکسی می تونه سورس رو تغییر بده و توش بدافزار Inject کنه!😅

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔴ناتو و پارلمان اروپا جدیدترین قربانیان حملات سایبری اخیر
▪️ناتو و پارلمان اروپا جدیدترین قربانیان جملات سایبری اخیر بوده اند که فایلهای آلوده Backdoor مربوط به SolarWinds روی آنها پیدا شده است.
▪️این دو سازمان اعلام کرده اند که متخصصانشان مشغول بررسی و کشف اثرات این حمله هستند.
▪️سازمان بهداشت انگلیس و شرکت داروسازی AstraZeneca که روی تولید واکسن Covid19 فعالیت میکرده از دیگر قربانیان جدید حملات سایبری اخیر هستند.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔴 هکرهای ایرانی، سازمان هوافضای اسرائیل را هک کردند.
▪️رسانه‌های صهیونیستی اعلام کردند سازمان هوافضای اسرائیل توسط هکرهای ایرانی مورد حمله واقع شده و این‌ حملات همچنان ادامه دارد.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

✍️مصاحبه با باشگاه خبرنگاران جوان
▪️در مصاحبه ای با باشگاه خبرنگاران جوان به جزئیات بیشتری در خصوص حملات سایبری اخیر پرداختم که متن آنرا می توانید از اینجا مطالعه بفرمایید.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

🔴شرکت VMware هم به قربانیان حملات سایبری اخیر پیوست.
▪️شرکت معظم VMware رسما اعلام کرد که قربانی حملات سایبری اخیر با استفاده از Backdoor اینجکت شده در نرم افزار SolarWinds واقع شده است.
▪️این شرکت البته تصریح کرده که تلاش هکرها برای نفوذ در محصولات این شرکت ناموفق بوده است.
▪️پیش از این شرکت‌های مایکروسافت و سیسکو هم تایید کرده بودند که این Backdoor را در شبکه های داخلی خود مشاهده کرده اند. این Backdoor در بازه زمانی ۶ الی ۹ ماه در شبکه قربانیان فعالیت میکرده بدون اینکه شناسایی شود.
▪️انتظار می رود در روزهای آتی باز هم اسامی جدیدی به لیست شرکتهای هک شده اضافه شود.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

⚠️بزرگان فناوری دنیا در لیست هک شدگان!
▪️جدیدترین لیست شرکتهای فعال در حوزه فناوری اطلاعات که در حملات سایبری اخیر مورد نفوذ قرار گرفته اند منتشر شد. در این لیست نامهای بزرگی به شرح زیر به چشم می خورد:
🔥Cisco
🔥VMware
🔥Microsoft
🔥SAP
🔥Intel
🔥Check Point
🔥FireEye
🔥Cox Communications
🔥Deloitte
🔥Nvidia
🔥Fujitsu
🔥Belkin
🔥Amerisafe
🔥Lukoil
🔥Rakuten
🔥Optimizely
🔥Digital Reach
🔥Digital Sense.
▪️وجود نام شرکت Check Point (غول امنیتی اسرائیل) در این لیست جالب توجه است. شرکت اسرائیلی Check Point شرکت نام آشنا در حوزه امنیت اطلاعات است. این شرکت تقریبا سه دهه پیش تاسیس شد و هم اکنون 5200 نفر کارمند دارد.
▪️جهت مشاهده لیست کامل شرکت ها به این لینک مراجعه نمایید.

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات

☑️انتشار Firmware های جدید فایروالهای Sophos XG (نسخه های 17.5.15 و 18.0.4)
➖مشاهده Release Note برای نسخه 17.5.15
➖مشاهده Release Note برای نسخه 18.0.4
☑️ درخواست مشاوره: @Kiaeifar
🔗فایلهای Firmwareهای فایروالهای Sophos XG را می توانید از همین کانال دانلود کنید.
🌐 www.modaberan.ir

🆔 @SophosXG
مرجع دانلود Firmwareهای فایروالهای Cyberoam و Sophos XG

🎥 بررسی حمله هکرهای ایرانی به صنایع هوا فضای اسرائیل (پخش شده از شبکه خبری i24NEWS متعلق به رژیم صهیونیستی)

🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات