سیسکو هشدار داد: احتمال دست داشتن دولت‌‌ها در حمله سایبری اخیر به مراکز داده ایران و چند کشور دیگر

هکرها با سوءاستفاده از یک آسیب پذیری در کلاینت اسمارت اینستال شرکت سیسکو موفق به نفوذ در زیرساخت های مهم دیجیتال در برخی کشورها و از جمله ایران شده اند.
به گزارش زددی نت، گروه Talos Intelligence وابسته به سیسکو می گوید ردپای ارتباط این هکرها با یک دولت خاص مشاهده می شود.
 
US CERT نیز که در آمریکا وظیفه مقابله با حملات سایبری گسترده را بر عهده دارد، حملات یادشده را به دولت روسیه منتسب کرده و از انجام حملات مشابه  علیه سازمان ها و نهادهای آمریکایی در حوزه هایی همچون انرژی، هسته ای، موسسات تجاری، آب، ناوبری و غیره خبر داده است. سمانتک هم مدعی شده نام گروه هکری که مسئول این حملات است دراگون فلای می باشد.
 
کلاینت اینستال اسمارت ابزاری برای به کارگیری سریع سوئیچ های جدید است و نکته جالب این است که سیسکو یک هفته قبل برای حل مشکل اجرای کدهای مخرب از راه دور در برخی از این سوئیچ ها یک وصله امنیتی عرضه کرده بود، اما بی توجهی مدیران شبکه ها و عدم نصب وصله های عرضه شده باعث شده حملات هکرها موفق باشد و به نتیجه برسد.
 
بررسی ها نشان می دهد میلیون ها سوئیچ  و همین طور دیگر ابزار شبکه ای عرضه شده توسط سیسکو به همین علت آسیب پذیر هستند. حملات یادشده از طریق پرت آزاد TCP 4786 صورت گرفته است.
 
اجرای این حملات پس از افزایش ترافیک پرت یادشده از نوامبر سال 2017 شناسایی شد. این حملات در آوریل 2018 به اوج رسید که نشانگر شدت گرفتن حملات مذکور بوده است.
 
بسیاری از برنامه های موبایلی، وب سایت ها و خدمات تحت وب در دسترس در ایران هم به دنبال همین حملات دچار اختلال شده اند. از جمله این شرکت ها می توان به افرانت، شاتل و صبا نت اشاره کرد. تعداد سیستم های رایانه ای که به همین علت دچار مشکل شده اند حدود 168 هزار مورد برآورد شده است.
 
سیسکو قبلا در 29 مارس هشدار داده بود که در صورت عدم نصب وصله های عرضه شده 8.5 میلیون سوئیچ این شرکت آسیب پذیر بوده و در معرض خطر حمله قرار می گیرند.
 

سیسکو هشدار داد: احتمال دست داشتن دولت‌‌ها در حمله سایبری اخیر به مراکز داده ایران و چند کشور دیگر

هکرها با سوءاستفاده از یک آسیب پذیری در کلاینت اسمارت اینستال شرکت سیسکو موفق به نفوذ در زیرساخت های مهم دیجیتال در برخی کشورها و از جمله ایران شده اند.
به گزارش زددی نت، گروه Talos Intelligence وابسته به سیسکو می گوید ردپای ارتباط این هکرها با یک دولت خاص مشاهده می شود.
 
US CERT نیز که در آمریکا وظیفه مقابله با حملات سایبری گسترده را بر عهده دارد، حملات یادشده را به دولت روسیه منتسب کرده و از انجام حملات مشابه  علیه سازمان ها و نهادهای آمریکایی در حوزه هایی همچون انرژی، هسته ای، موسسات تجاری، آب، ناوبری و غیره خبر داده است. سمانتک هم مدعی شده نام گروه هکری که مسئول این حملات است دراگون فلای می باشد.
 
کلاینت اینستال اسمارت ابزاری برای به کارگیری سریع سوئیچ های جدید است و نکته جالب این است که سیسکو یک هفته قبل برای حل مشکل اجرای کدهای مخرب از راه دور در برخی از این سوئیچ ها یک وصله امنیتی عرضه کرده بود، اما بی توجهی مدیران شبکه ها و عدم نصب وصله های عرضه شده باعث شده حملات هکرها موفق باشد و به نتیجه برسد.
 
بررسی ها نشان می دهد میلیون ها سوئیچ  و همین طور دیگر ابزار شبکه ای عرضه شده توسط سیسکو به همین علت آسیب پذیر هستند. حملات یادشده از طریق پرت آزاد TCP 4786 صورت گرفته است.
 
اجرای این حملات پس از افزایش ترافیک پرت یادشده از نوامبر سال 2017 شناسایی شد. این حملات در آوریل 2018 به اوج رسید که نشانگر شدت گرفتن حملات مذکور بوده است.
 
بسیاری از برنامه های موبایلی، وب سایت ها و خدمات تحت وب در دسترس در ایران هم به دنبال همین حملات دچار اختلال شده اند. از جمله این شرکت ها می توان به افرانت، شاتل و صبا نت اشاره کرد. تعداد سیستم های رایانه ای که به همین علت دچار مشکل شده اند حدود 168 هزار مورد برآورد شده است.
 
سیسکو قبلا در 29 مارس هشدار داده بود که در صورت عدم نصب وصله های عرضه شده 8.5 میلیون سوئیچ این شرکت آسیب پذیر بوده و در معرض خطر حمله قرار می گیرند.
 

هکرها در گفت‌وگو با MOTHERBOARD مدعی شدند هدف حمله سایبری ایران و روسیه بوده

فناوران: نشریه امریکایی MOTHERBOARD مدعی شد هدف اصلی هکرهای عامل حمله سایبری جمعه شب، ایران و روسیه بوده است.
 
ساعت 12 و 15 دقیقه جمعه شب بود که حملات گسترده ای به مراکز داده در ایران و نقاط دیگر جهان انجام شد. در بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running–config و startup–config) حذف شده 
است.
براساس اعلام مرکز ماهر دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمان می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند.
در عین حال رییس مرکز تشخیص و پیشگیری پلیس فتا ناجا نیز اعلام کرد که هیچگونه نشت اطلاعاتی در پی حمله اخیر سایبری رخ نداده است.
علی نیک نفس با بیان اینکه اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعات رخ نداده است، گفت: این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچ های مورد استفاده در سرویس دهنده های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می شوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده  و قطع دسترسی کاربران این شبکه ها را در پی داشته است.
شرکت افرانت نیز در بیانیه ای اعلام کرد که مرکز داده این شرکت دچار آسیب پذیری چندانی نشده و هدف این حمله جهانی بوده است.
با این حال نشریه آمریکایی MOTHERBOARD مدعی شد: هدف حمله سایبری ایران و روسیه بوده است و هکرها قصد سرقت اطلاعات را نداشتند.
براساس این گزارش هکرها در گفت وگو با این نشریه مدعی شده اند که هدف از این حملات تنها انتقال یک پیام بوده است (آنها با انتشار پرچم آمریکا نوشته بودند که در انتخابات ما خرابکاری نکنید). 
هکرها همچنین مدعی شده اند که بسیاری از سیستم های آسیب پذیر در کشورهای مختلف از جمله در امریکا، انگلستان و کانادا را شناسایی کرده اما تنها به روسیه و ایران حمله کردند. هکرها گفته اند: «بر اثر تلاش های ما، تقریبا هیچ سیستم آسیب پذیر دیگری در جهان باقی نمانده است».
 
 توصیه مرکز آپای اصفهان
 مرکز «آپای» دانشگاه صنعتی اصفهان اعلام نیز اعلام کرد: با توجه به حمله سایبری اخیر، تشکیل گروه های «واکنش هماهنگ رخداد» در همه سازمان های بزرگ، مراکز داده و زیرساخت در کشور ضروری است.
براساس اطلاعیه این مرکز، حمله سایبری اخیر، هشداری برای کارشناسان امنیت اطلاعات و مراکز داده و زیرساخت های آن است تا برای تشکیل گروه های واکنش سریع، هماهنگ و جلوگیری از وقوع چنین رخدادهایی اقدام کنند. 
گروه واکنش هماهنگ رخداد (CERT ) علاوه بر پاسخگویی به کلیه رخدادهای صورت گرفته در فضای تولید و تبادل اطلاعات یک سازمان، وظیفه هماهنگی با مرکز مدیریت، امداد و هماهنگی عملیات رخدادهای رایانه ای و کمک رسانی در جهت افزایش سرعت تشخیص، تحلیل، کاهش اثر و رفع یا جلوگیری از گسترش رخدادهای احتمالی را بر عهده دارد. به گفته کارشناسان، این رخداد همچنین به متولیان مراکز داده کشور گوشزد کرد تا نسبت به رصد سیستم اطلاع رسانی اقدام و هشدارهای داده شده توسط شرکت ها و مراکز مختلف امنیت اطلاعات، توجه و دقت بیشتری داشته باشند. 
مرکز آپا  (آگاهی رسانی، پشتیبانی و امداد رایانه ای) دانشگاه صنعتی اصفهان گفت: هم اکنون مشکلی درباره حمله سایبری اخیر وجود ندارد و بسیاری از شرکت ها و مراکز داده کشور نسبت به رفع آسیب و حفره امنیتی شناسایی شده در تجهیزات سیسکو اقدام کرده اند. 

نشریه امریکایی MOTHERBOARD مدعی شد: هدف حمله سایبری ایران و روسیه بوده است.

نشریه امریکایی MOTHERBOARD مدعی شد هدف اصلی عاملان حمله سایبری جمعه شب، ایران و روسیه بوده است.
 
هکرها در گفت‌وگو با این نشریه مدعی شده‌اند که هدف از این حملات تنها انتقال یک پیام بوده است (آنها با انتشار پرچم امریکا نوشته بودند که در انتخابات ما خرابکاری نکنید).
 
هکرها همچنین مدعی شده‌اند که بسیاری از سیستم‌های آسیب‌پذیر در کشورهای مختلف از جمله در امریکا، انگلستان و کانادا را شناسایی کرده اما تنها به روسیه و ایران حمله کردند. هکرها گفته‌اند :«بر اثر تلاش‌های ما، تقریبا هیچ سیستم آسیب پذیر دیگری در جهان باقی نمانده است».

تماشاکنید: وزیر ارتباطات میگوید عدم اطلاع رسانی کافی مرکز ماهر به صورت جدی پیگیری می شود

 

توضیحات پلیس فتا درباره اختلال در شبکه اینترنت کشور + هشدار

رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اعلام کرد که اختلال در سرویس اینترنت کشور صرفاً قطعی و کندی ارتباطات را در پی داشته و هیچگونه دسترسی غیرمجاز یا نشت اطلاعاتی درپی آن رخ نداده است.
 
به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا)، سرهنگ علی نیک‌نفس با اشاره به اختلال رخ داده در سرویس اینترنت کشور گفت:  بررسی‌های اخیر تیم تالوس که مرجع تهدیدشناسی و امنیت تجهیزات سیسکو است، نشان دهنده وجود این نقص امنیتی در بیش از 168 هزار ابزار فعال در شبکه اینترنت بوده است و این حمله سایبری ناشی از آسیب پذیری امنیتی در سرویس پیکربندی از راه دور تجهیزات سیسکو بوده و با توجه به اینکه روترها و سوئیچ های مورد استفاده در سرویس دهنده‌های اینترنت و مراکز داده نقطه گلوگاهی و حیاتی در شبکه محسوب می‌شوند ایجاد مشکل در پیکربندی آنها تمام شبکه مرتبط را به صورت سراسری دچار اختلال کرده و قطع دسترسی کاربران این شبکه‌ها را در پی داشته است.
 
وی افزود: حدود یک‌سال قبل نیز شرکت مورد نظر هشداری مبنی بر جستجوی گسترده هکرها به دنبال ابزارهایی که قابلیت پیکربندی از راه دور(smart install client) بر روی آنها فعال است را منتشر کرده بود.
 
به گفته سرهنگ نیک‌نفس، چنانچه قبلا نیز مکرراً تاکید شده است مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید مستمراً رصد و شناسایی آسیب‌پذیری‌های جدید و رفع آنها را در دستور کار داشته باشند تا چنین مشکلاتی تکرار نشود.
 
رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا با بیان اینکه هکرها می‌توانند با سوءاستفاده از آسیب‌پذیری شناسایی شده علاوه بر سرریز بافر به حذف و تغییر پیکربندی سوئیچ‌ها و روترهای سیسکو و کارانداختن خدمات آنها اقدام نمایند و همچنین قابلیت اجرای کد از راه دور بر روی آنها را داشته باشند، افزود: در اقدام فوریتی توصیه می‌شود مدیران شبکه سازمان‌ها و شرکت‌ها با استفاده از دستور"show vstack " به بررسی وضعیت فعال بودن قابلیت smart install client اقدام و با استفاده از دستور "no vstack" آن‌را غیرفعال کنند.
 
وی ادامه داد: به علاوه با توجه به اینکه حمله مزبور بر روی  پورت 4786TCPصورت گرفته است لذا بستن ورودی پورت مزبور بر روی فایروال‌های شبکه نیز توصیه می‌شود. در مرحله بعد و در صورت نیاز به استفاده از ویژگی پیکربندی راه دور تجهیزات مزبور، لازم است به روز رسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو و رفع نقص امنیتی مزبور از طریق آدرس پیش گفته انجام شود.
 
نیک‌نفس خاطرنشان شد: برابر اعلام مرکز ماهر وزارت ارتباطات و فناوری اطلاعات تا این لحظه، سرویس دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا به صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
 
وی ادامه داد: همچنین پیش‌بینی می‌شود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ‌داخلی خود گردند. لذا مدیران سیستم‌های آسیب دیده باید با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیزات خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و پیکربندی تجهیزات مجددا انجام پذیرد.
 
براساس اعلام مرکز اطلاع رسانی فتا، نیک‌نفس با اشاره به اینکه قابلیت آسیب‌پذیر smart install client  نیز با اجرای دستور "no vstack" غیر فعال شود، تاکید کرد: لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام گردد. توصیه می‌گردد در روتر لبه شبکه با استفاده ازفهرست کنترل دسترسی(ACL )ترافیک ورودی 4786 TCP نیز مسدود گردد.
 
رئیس مرکز تشخیص و پیشگیری پلیس فتای ناجا اضافه کرد: مجددا تاکید می‌گردد که مسئولان فناوری اطلاعات سازمان‌ها و شرکت‌ها باید نسبت به بررسی مستمر آخرین آسیب پذیرهای سامانه‎ها و ابزارها اقدام و نسبت به بروز رسانی و رفع نواقص احتمالی در اسرع وقت اقدام نمایند.

مرکز ماهر: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیزات سیسکو نمایید

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی اطلاعیه دیرهنگامی را منتشر کرد.
در متن این اطلاعیه آمده است: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در قالب startup-config مشاهده گردید:
 
دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند.
لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.
تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.

جهرمی تاکید کرد: ضرورت تجدیدنظر در نظام های پیشگیری از حملات سایبری/ رسپینا جزو ۱۰ شرکت متاثر از این حملات در دنیا بود

وزیر ارتباطات و فناوری اطلاعات با توجه به حمله سایبری شب گذشته به ضرورت تجدید نظر در نظام های پیشگیری از حملات سایبری تاکید کرد.
محمد جواد آذری جهرمی ظهر امروز در ارتباطی زنده با اخبار شبکه یک سیما توضیحاتی در خصوص حمله سایبری شب گذشته ارایه کرد.
 
وی در ابتدای این گفتگو با اشاره به اینکه این حمله سایبری در کشورهای مختلف تاثیرات متفاوتی داشته است، گفت: کشورهای آمریکا و روسیه بیشترین تاثیر را از این حمله داشته اند و ایران با 2 درصد جز کشورهایی است که کمترین تاثیر از این حملات داشته است.
 
آذری جهرمی با بیان اینکه 195 هزار تجهیز شرکت سیسکو در کل دنیا مورد حمله قرار گرفته است، افزود: شرکت ایرانی رسپینا جز 10 شرکتی است که در دنیا بیشترین تاثیرات را از این حمله داشته اند.
 
وی با اشاره به اینکه در ایران نیز تهران با 555 تجهیز بیشترین تاثیر را از این حمله سایبری داشته است، گفت: این حمله باعث خارج شدن روترها و افت ترافیک در شبکه شد و در این حمله سرقت اطلاعاتی انجام نشده است .
 
وزیر ارتباطات و فناوری اطلاعات با عنوان اینکه دلیل این حمله یک اشکال امنیتی در تجهیزات سیسکو بوده است، خاطر نشان کرد: البته شرکت سیسکو در حدود 10 روز گذشته در این مورد تذکراتی داده بود و شرکت های ارتباطات زیرساخت، اپراتورهای تلفن همراه و برخی از شرکت های FCP به تذکرات توجه کردند و به همین دلیل در این حمله مشکلی برای این شرکت ها بوجود نیامد.
 
وی در پاسخ به سوالی درباره مسوولیت وزارت ارتباطات در این حوزه نیز گفت: وزارت ارتباطات در بخش هایی از شبکه که مسوولیت داشته این موارد را مدیریت کرده است و برای هسته اصلی شبکه ملی اطلاعات مشکلی بوجود نیامده است.
 
آذری جهرمی تصریح کرد: وزارت ارتباطات از طریق مرکز ماهر به تمام شرکت ها در این زمینه با درجه اهمیت بالا تذکر داده بود اما  به دلیل تعطیلات نوروزی برخی از شرکت های شبکه خود را به صورت فریز قرار می دهند و تذکرات را جدی نمی گیرند، البته مرکز ماهر باید موضوع را به صورت ویژه برای این شرکت ها اعلام می کرد که این اقدام انجام نشده است.
 
وی با تاکید به اینکه به این موضوع رسیدگی می شود و با مسوولین این موضوع برخورد می شود، افزود: درنظام هایی که برای جلوگیری و پیشگیری از این حملات طراحی شده باید تجدید نظر کنیم و با استفاده از نظر کارشناسان این حوزه نظام پیشگیری چابکتری طراحی شود.
 
وزیر ارتباطات و فناوری اطلاعاتبا بیان اینکه شبکه با گذشت 2 ساعت به حالت عادی برگشت، افزود: دستوالعملی های امنیتی در این حوزه باید به روز شود و به توصیه های امنیتی شرکت های سازنده تجهیزات داخلی و خارجی حتما توجه شود.

اطلاعیه وزارت ارتباطات و فناوری اطلاعات درخصوص حمله سایبری به تجهیزات سیسکو

وزارت ارتباطات و فناوری اطلاعات با توجه به وقوع حمله سایبری شب گذشته به تجهیزات سیسکو اطلاعیه ای را به منظور تنویر افکار عمومی منتشر کرد.
به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا)، در این اطلاعیه آمده است:
1- جمعه هفدهم فروردین ماه حدود ساعت 21 برخی از سرویس های میزبانی شده در مراکز داده داخل کشور از دسترس خارج شدند.
2- پس از اطلاع، تیم اقدام سریع تشکیل و موضوع به سرعت بررسی و مشخص شد حمله سایبری به برخی از روترسوئیچ ها کم ظرفیت سیسکو که آسیب پذیر بوده اند صورت گرفته و این روترها به حالت تنظیم کارخانه ای بازگشته اند.
3- حمله مذکور ظاهراً به بیش از 200 هزار روتر سوئیچ در کل دنیا صورت گرفته و حمله ای گسترده بوده است، در کشور ما حدود 3500 روتر سوئیج مور حمله واقع شده که 550 فقره در تهران، 170 فقره استان سمنان، 88 فقره استان اصفهان بوده و بیشترین آسیب پذیری از نقطه تعداد در شرکت های رسپینا، ایزایران و شاتل رخ داده است، لیکن اختلال تعداد کمی روتر در برخی مراکز سرویس های پرکاربردی را از دسترس خارج کرد.
4- با تشکیل گروه های واکنش سریع و تلاش همه متخصصان و فعالان همه شرکت ها به سرعت اقدمات اجرایی آغاز شد و با توجه به اینكه برای فعالیت مجدد روترها نیاز به حضور فیزیکی کارشناسان بود با اقدام به موقع تاساعت 12 شب بیش از 95 درصد شبکه به حالت اولیه برگشت.
5- خوشبختانه با توجه به پیش بینی های لازم در زیرساخت ارتباطی کشور شبکه زیرساخت دچار هیچ اختلالی نشد و کمترین اختلال نیز در سه اپراتور تلفن همراه مراکز داده شرکت های پارس آنلاین و تبیان گزارش شد.
6- در خصوص منشا حمله از طریق مراکز بین المللی پیگیری لازم صورت می گیرد لیکن با توجه به اینکه در این حمله از پرچم کشور آمریکا و شعاری در خصوص عدم دخالت در انتخابات این کشور استفاده شده و همچنین زمان وقوع حمله که جمعه شب بوده است به نظر می رسد منشاء حمله از منطقه خاورمیانه نبوده است.
7- شرکت سیسکو 10 روز پیش موضوع آسیب پذیری روتر سوئیچ های مذکور را اعلام کرده بود لیکن به دلیل اینکه بسیاری از شرکت های خصوصی در ایام تعطیلات تغییر تنظیمات شبکه خود را  در حالت فریز نگه داری می کنند و همچنین عدم اطلاع رسانی تاکیدی مرکز ماهر و عدم هشدار به این شرکت ها برای بروز رسانی تنظیمات شبکه خود منجر به آسیب پذیری شبکه این شرکت ها شد.
8- براساس اعلام مرکزماهر، مرکز آپای دانشگاه همدان پیش از وقوع حمله موضوع را در دست تحلیل و پایش داشته و منتظر تکمیل پایش تجهیزات کشور بوده که متاسفانه قبل از تکمیل گزارش نهایی حمله مذکور اتفاق افتاد.
9- آنچه مشخص است در این حمله ظاهراً سازمان یافته علیرغم وجود نقاط مثبتی همچون واکنش سریع، عدم تاثیر پذیری هسته شبکه ملی اطلاعات در شرکت ارتباطات زیرساخت، عدم اختلال جدی شبکه سه اپراتور تلفن همراه و برخی از FCPها، متاسفانه ضعف اطلاع رسانی به موقع توسط مرکز ماهر و عدم وجود پیکره بندی مناسب در مراکز داده و سرویس دهندگان فناوری اطلاعات مستقر در این مراکز داده باعث تشدید عوارض این حمله شد و بر همین اساس اصلاحات لازم در  مجموعه های مرتبط و نیز تذکرات لازم به بخش خصوصی اجرایی می شود.