راه نفوذ هکرها به وب سایت های دولتی مشخص شد

پلیس فتای کشور با انتشار دو سند مرکز ماهر به صورت عمومی، جزییات بیشتری از هک های اخیر منتشر کرد.
 
این دو سند با عناوین «راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke» و «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است.
 
در راهکار رفع آسیب پذیری Installatian در پورتال DotNetNuke آمده است: بررسی های صورت گرفته درخصوص وقایع هک اخیر در شماری از پورتال های کشور نشان از سوءاستفاده از یک ضعف امنیتی بر CMS متن باز DotNetNuke دارد. این CMS در نسخه های قبل از 8.0.3 دارای یک نقص امنیتی جدی است که در چند مرحله در سال های 2015 و 2016 مورد حمله واقع شده است.
 
نسخه فعلی 8.0.3 روی سایت شرکت irandnn.ir که ارایه دهنده CMS به بسیاری از پورتال ها در کشور است، دارای آخرین بروزرسانی ها بوده و ضعف امنیتی معروف به Installation بر نسخه فعلی ارایه شده روی این سایت پوشش داده شده و آسیب پذیری وجود ندارد. به عبارت بهتر نسخه 8.0.3 همان نسخه بروزرسانی شده 07.04.01 مربوط به سایت اصلی سیستم مدیریت محتوای DNN است که ضعف امنیتی مذکور روی آن پوشش داده شده است.سایت irandnn.ir در تاریخ 14 خرداد 95 اخطار امنیتی درباره این ضعف را گزارش داده و نحوه از بین بردن آن را به صورت دستی توضیح داده است. همچنین نسخه DNN فارسی خود را هم به 8.0.3 ارتقا داده است.
 
در نسخه 07.04.00 از DNN CMS متاسفانه هیچ گونه تدبیری درباره دسترسی افراد غیرمجاز به سیستم نصب آن اندیشیده نشده است. به همین دلیل نفوذگران با دسترسی Remote می توانند مجددا سیستم DNN CMS را reinstall کرده و به سطح دسترسی Super User روی این سیستم مدیریت محتوا برسند. همچنین تمامی نسخه های پیش از نسخه 07.04.00 هم دارای این مشکل هستند.
 
 توضیحات irandnn.ir
پویا پلاشانی، مدیرعامل شرکت راهبران فناوری پاسارگاد (سایت irandnn.ir) که در گزارش مرکز ماهر از سایت وی نام برده شده است، گفت: ما مشتریان زیادی مانند سازمان حج و زیارت، شرکت مخابرات، بانک کشاورزی و شهرداری تهران داریم و به آنها نیز حملات زیادی شده بود و می شود و باید دید چرا هکرها در حمله به آنها موفق نبوده اند.
 
وی افزود: چون اتفاق پرسروصدا و مهمی تاکنون رخ نداده بود، متاسفانه برخی از سایت ها به تذکرات و هشدارها بی توجهی می کرده و در جلوگیری از برخی آسیب پذیری ها غفلت می کردند.
 
پلاشانی در پاسخ به این سوال که چرا براساس گزارش مرکز ماهر، نخستین اخطار درباره این آسیب پذیری خیلی دیر (14 خرداد) به سازمان ها اعلام شد، گفت: این باگ از سال گذشته مشخص شده و هشدارهای لازم داده شده بود. اما پس از اینکه این مشکلات پیش آمد، مجددا در 14 خرداد اخطار جدیدی برای سازمان ها فرستاده شد.
 
وی درباره میزان نفوذی که می توان از این آسیب پذیری انجام داد، گفت: کار خاصی نمی توان کرد و در هک های اخیر هم شاهد بودیم که تنها موضوع دیفیس (تغییر ظاهر) سایت ها پیش آمد.
مدیرعامل شرکت راهبران فناوری پاسارگاد گفت: دات نت نیوک یک نرم افزار شناخته شده است که حتی  سازمان ملل، bank of America و ارتش آمریکا هم از آن استفاده می کنند. 
 
بر اساس این گزارش همچنین سند دوم با عنوان «راهنمای فنی برای ارتقای امنیت فناوری اطلاعات در سازمان» منتشر شده است. در توضیح این راهنما آمده است: هرچند توصیه های کلی توسط مراجع مختلف به سازمان ها ابلاغ شده است، اما راهنمایی که جزییات دقیق تری را از نظر فنی مشخص کند، می تواند کمک بسیاری جهت ارتقای امنیت سازمان ها داشته باشد.
 
در این راهنما پویش دوره ای و ارزیابی امنیتی محدوده آدرس IP، پورتال و سایر سرویس های الکترونیکی سازمان، مشخص کردن تیم فنی و حقوقی برای مدیریت و پاسخ به حوادث امنیتی و داشتن یک برنامه SIEM برای جمع آوری لاگ ها، تحلیل ها، همبستگی آنلاین و پاسخ خودکار از مدیران فناوری اطلاعات سازمان ها خواسته شده است.
 
راه اندازی و پیکربندی فایروال و فایروال وب (WAF)، مدیریت پیکربندی و تغییر شبکه، مدیریت سرور، مدیریت پشتیبان ها، مدیریت دسترسی از راه دور، مدیریت آسیب پذیری در سیستم های شبکه، ممانعت از پاک شدن اطلاعات کاربران، اطمینان از امنیت اطلاعات در اینترنت، مانیتور کردن ترافیک شبکه در سیستم های شبکه، مانیتورینگ شبکه های بی سیم و آموزش کاربران، نکات مربوط به حساب های کاربری و ردگیری دستگاه ها و کاربران از دیگر توصیه های مرکز ماهر به دستگاه هاست.
 
اما نکته جالب این است که این نکات در حد توصیه و راهنما باقی مانده و هیچ الزامی برای سازمان ها درخصوص رعایت این ضوابط در نظر گرفته نشده است.

دلیل هک شدن پورتال‌های ایران مشخص شد/CMS را بروز کنید

پلیس فتا با استناد به گزارش مرکز ماهر وزارت ارتباطات و فناوری اطلاعات، دلیل هک شدن پورتال‌های ایرانی طی حملات سایبری اخیر را عنوان کرد.
 
پلیس فضای تولید و تبادل اطلاعات (فتا) گزارشی را با عنوان راهکار رفع آسیب‌پذیری Installatian در پورتال DotNetNuke منتشر کرده که در آن به چرایی هک شدن برخی سایت‌های کشور پرداخته شده است.
 
پلیس فتا در این بیانیه به گزارش مرکز ماهر وزارت ارتباطات استناد و دلیل هک شدن برخی پورتال‌های داخلی را در جریان عملیات سایبری اخیر عنوان کرده است.
 
مرکز ماهر در قالب پیوستی به "راهکار رفع آسیب‌پذیری Installatian در پورتال DotNetNuke" پرداخته است.
 
طبق این گزارش، بررسی‌های صورت گرفته درباره وقایع هک اخیر بر روی شماری از پورتال‌های کشور نشان از سوءاستفاده از یک ضعف امنیتی روی CMS متن باز DotNetNuke دارد.
 
این CMS در نسخه‌های قبل از 8.0.3 دارای یک نقص امنیتی جدی است که در چند مرحله در سال‌های 2015 و 2016 مورد حمله واقع شده است.
 
نسخه فعلی 8.0.3 روی سایت شرکت irandnn.ir که ارایه دهنده این CMS به بسیاری از پورتال‌ها در کشور است، دارای آخرین بروزرسانی‌ها بوده و ضعف امنیتی معروف به Installation بر نسخه فعلی ارایه شده روی این سایت، پوشش داده شده و آسیب‌پذیری وجود ندارد.
 
به عبارت بهتر نسخه 8.0.3 همان نسخه بروزرسانی شده 07.04.01 مربوط به وب‌سایت اصلی سیستم مدیریت محتوای DNN است که ضعف امنیتی یاد شده روی آن پوشش داده شده است.
 
وب‌سایت irandnn.ir در تاریخ 14 خرداد 95 اخطار امنیتی در مورد این ضعف را گزارش و نحوه از بین بردن آن را به صورت دستی توضیح داده است. همچنین نسخه DNN فارسی خود را هم به 8.0.3 ارتقا داده است که کاربران می‌توانند از منوی بروزرسانی در صفحه مدیریت سایت‌های خود، به صورت اتوماتیک نسخه DNN مورد استفاده روی سایت‌شان را بروزرسانی کنند.
 
در نسخه 07.04.00 از DNN CMS متاسفانه هیچ‌گونه تدبیری در مورد دسترسی افراد غیرمجاز به سیستم نصب آن اندیشیده نشده است.
 
به همین دلیل نفوذگران با دسترسی Remote می‌توانند مجددا سیستم DNN CMS را reinstall کرده و به سطح دسترسی Super User روی این سیستم مدیریت محتوا برسند. تمامی نسخه‌های قبل از نسخه 07.04.00 هم دارای این مشکل هستند.
 
در بخش اثبات ادعا هم، مرکز ماهر مستندات زیر را ارائه کرده است:
 

پلیس فتا خبر داد: هکر تلگرامی در مازندران دستگیر شد

متهم به هک صفحات تلگرام زنان و دختران و عامل ارسال پيام هاي تهديد آميز در شبکه هاي اجتماعي با تلاش کارآگاهان سايبري پليس فتا مازندران شناسايي و دستگير شد.
 
سرهنگ"حسن محمدنژاد" رئيس پليس فتاي مازندران در تشريح اين خبر، گفت: در پي مراجعه زني به پليس فتا و طرح شکايت مبني بر اينکه پس از آشنايي با فردي در شبکه اجتماعي اينستاگرام با نام کاربري مشخص، اين فرد صفحه تلگرامي ام را هک و مرا مورد تهديد قرار مي دهد، موضوع به طور ويژه در دستور کار کارآگاهان و کارشناسان اين پليس قرار گرفت.
 
وي تصريح کرد:ماموران با انجام تحقيقات و بررسي هاي فني و اطلاعاتي روي گوشي تلفن همراه شاکيه و نيز رصد فعاليت مجرمانه هکر مورد نظردريافتند، فردي با نام کاربري مشخص در محيط تلگرام براي شاکيه و افرادي ديگر ايجاد مزاحمت مي کند که با اقدامات و شگردهاي خاص پليسي شناسايي شد. 
 
رئيس پليس فتاي مازندران، افزود: کارآگاهان پليس فتا پس از شناسايي مخفيگاه متهم با هماهنگي قضايي اين فرد را دستگير و سيستم هاي رايانه اي و مخابراتي وي را کشف کردند.
 
وي گفت:متهم درتحقيقات و بازجويي هاي فني پليس ضمن اقرار به بزه انتسابي عنوان داشت، در شبکه اجتماعي اينستاگرام با ايجاد نام کاربري اقدام به ارتباط با زنان و دختران در اين شبکه کرده و پس از جلب اعتماد آنان، با انجام مهندسي اجتماعي به صفحات تلگرامشان دسترسي پيدا مي کردم. 
 
رئيس پليس فتا استان مازندران عنوان داشت:با بررسي سيستم رايانه اي متهم، عکس ها و صفحات تلگرام هک شده متعلق به تعداد زيادي از زنان و دختران شناسايي و کشف شد. 
سرهنگ محمدنژاد از تشکيل پرونده براي متهم به هک صفحه تلگرام و تحويل وي به مرجع قضائي خبر داد. 

آیا احراز هویت دوعامله راه‌حلی برای جلوگیری از نفوذگری است؟

پس از نفوذهای اخیر به داده‌ها که علیه غول‌های فناوری (برای مثال MySpace، لینکدین، توییتر) صورت گرفت، ‌کارشناسان امنیتی کاربران را دعوت می‌کنند تا از به‌اشتراک‌گذاری اعتبارنامه‌های ورود خود روی وبگاه‌های متعدد جلوگیری کنند و اگر قابلیت احراز هویت دوعامله (FA٢) وجود دارد آن را فعال کنند.
 
بنابراین آیا احراز هویت دوعامله، راه‎حل صحیحی برای هر نوع از نفوذ است؟ البته که نه، بسیار مهم است که فرض کنیم وضعیت امنیتی مناسب، هوشیاری از وقوع تهدیدات است. فرایند احراز هویت دوعامله می‌تواند توسط راه‌های متعدد دور زده شود، برای مثال با استفاده از بدافزار یا از طریق حملات مهندسی اجتماعی.
 
احراز هویت دوعامله به‌شدت امنیت شما را بهبود می‌بخشد، حتی هنگامی‌که نفوذگران موفق به سرقت گذرواژه‌ شما شوند، بازهم نیاز دارند تا عامل دوم را برای کامل‌کردن فرایند احراز هویت در اختیار داشته باشند. متأسفانه، ‌آنها می‌توانند این عامل دوم را با فریب کاربران برای افشای آن در اختیار بگیرند. اوایل این هفته، کارشناسان امنیتی الکس مک کاو از بنیان‌گذاران شرکت Clearbit درباره تکنیک‌های حمله‌ای هشدار داده که در حملات واقعی دیده است. این ترفندها کمک می‌کند تا کاربران فریفته شوند و کد احراز هویت دوعامله خود را برای حساب گوگل افشا کنند.
 
در اینجا این ترفند مرحله‌به‌مرحله توضیح داده می‌شود: مهاجم یک پیام کوتاه برای کاربر ارسال و تظاهر می‌کند که از طرف شرکت ارسال ‌شده است. همچنین این ترفند درصورتی‌که کاربر از سایر ارائه‌دهندگان خدمات استفاده کند، در آنها نیز کار می‌کند. این پیام به کاربر می‌گوید که ارائه‌دهنده خدمات که در اینجا شرکت گوگل است، فعالیت‌های مشکوکی را در حساب کاربر مشاهده کرده است و اکنون شرکت از قربانی می‌خواهد کد احراز هویت دومرحله‌ای را برای اجتناب از قفل‌شدن حساب برای او پیامک کند.
 
قربانی برای جلوگیری از بروز مشکل، این کد را پس می‌فرستد و تصور می‌کند که در حال تلاش برای خنثی‌کردن حمله است. در این لحظه، همه‌ آنچه را که لازم دارد، برای کنترل حساب قربانی در دست دارد. نفوذگر از مشخصات احراز هویت قربانی و کد دومرحله‌ای استفاده کرده و از طریق فرایند گفته‌شده می‌تواند به ‌حساب کاربر دسترسی پیدا کند. 

بازار سیاهی که متاعش سرورهای هک شده است؛ نگاهی به xDedic

شکل گیری فضای مجازی، آغازی برای ایجاد فرصت های شغلی تازه بود که خوشبختانه این خبر خوبی است. اما آنطور که در برخی گزارشات آمده، این فضا در سال های اخیر، به بستری برای ایجاد بازارهای زیرزمینی بدل گردید که xDedic یکی از آنهاست.
 
شاید در وهله نخست نتوان اطلاعات زیادی را با دیدن اسم کوتاه و البته مرموز xDedic به دست آورد. با این همه، باید به اطلاع تان برسانیم که در این بازار مهجور همه می توانند خریدار یکی یا تمامی هفتاد هزار سروری باشند که در سرتاسر دنیا هک شده اند.
 
 
xDedic در واقع محلی است برای خریداران تا هرآنچه که می خواهند را در آن بیابند و از شبکه های دولتی و شرکتی گرفته تا سرورهای تحت وب و دیتابیس ها را بسته به نیاز خود خریداری نمایند و بهترین نکته در مورد آن شاید قیمت پایینش باشد؛ خرید مجوز دسترسی به یک سرور مستقر در کشورهای عضو اتحادیه اروپا شاید حتی با تنها 6 دلار هم ممکن باشد.
 
این هزینه که تنها یک بار هم پرداخت می گردد دسترسی خریدار را به تمامی داده هایی فراهم می کند که روی سرور قرار دارند و حتی ممکن است امکانی را به فرد یا نهاد خریدار دهد که با استفاده از این داده ها، حملات سایبری دیگری را ترتیب دهد. سهولت دسترسی به قربانیان، ارزان تر نمودن این فرایند و سرعت بخشیدن به آن و ایجاد فرصت های تازه هم برای مجرمان سایبری و عاملات تهدیدات پیشرفته همگی از جمله اقداماتی هستند که هکرها رویایش را در سر می پرورانند.
 
 
حال آزمایشگاه کسپرسکی برای بررسی xDedic با ارائه دهندگان خدمات اینترنتی در اروپا وارد همکاری شده است تا از این طریق داده های لازم را در خصوص قربانیان این بازار سیاه و عملکرد آن به دست آورد.
 
طبق بررسی های صورت گرفته توسط این ائتلاف، در ماه می امسال، حدود 70624 سرور توسط 416 موجودیت مستقل فروشنده از 173 کشور مختلف دنیا در این بازار به فروش گذاشته شد. در ماه مارس این رقم به 55 هزار سرور تنزل یافت که نشان می دهد دیتابیس کاربران و سرورها در این ماه به شکل بهتری نگهداری و به روز شده است.
 
 
جالب اینجاست که توسعه دهندگان xDedic خودشان چیزی نمی فروشند و در مقابل بازاری را ایجاد کرده اند که در آن شبکه ای از وابستگانشان می توانند دسترسی به سرورهای تضعیف شده را به علاقمندان بفروشند.
 
اگر صادق باشیم و جوانب منفی این کار را نادیده بگریم، آنها که مدیریت xDedic را بر عهده دارند خدماتی «با کیفیت» را در اختیار مشتریان خود قرار می دهند (این فوروم حتی پشتیبانی فنی لایو هم در اختیار مشتریانش می گذارد و ابزارهای ویژه ای برای پچ سرورهای هک شده و آپلود اطلاعات مربوط به سرور روی دیتابیس خود دارد).
 
10 فروشنده اصلی سرور در این بازار
 
سوال اینجاست: فروشندگان xDedic چه کسانی هستند؟ کارشناسان کسپرسکی اخیرا موفق شده اند بدافزاری (به نام SCCLIENT) که توسط یکی از آنها مورد استفاده قرار می گیرد را شناسایی نمایند و دیدی مختصر نسبت به عملیات های انجام شده توسط یکی از این موجودیت ها پیدا کنند که براساس شمار قربانیان آن تصور می شود یکی از موجودیت های xLeon، Narko یا sirr باشد.
 
 
تروجان SCCLIENT: اطلاعات به دست آمده از قربانیان با استفاده از Sinkholing (دوازده ساعت نخست)
 
همانطور که در بالا گفته شد xDedic نوعی ابزار ایجاد پروفایل هم در اختیار مشتریان خود قرار می دهد که در واقع اطلاعات لازم را در خصوص نرم افزار نصب شده روی سرور هک شده به دست می آورد و برای نمونه مشخص می کند که به شرط بندی آنلاین مربوط می شود یا تجارت و پرداخت.
 
روشن است که مجرمان سایبری علاقه ویژه ای به نرم افزارهای حسابداری، گزارشگیری مالیاتی و نقطه فروش (point-of -sale) دارند چراکه این نرم افزارها فرصت های زیادی را برای تقلب و جعل در اختیارشان قرار می دهند.
 
 
تیم کسپرسکی در جریان بررسی های خود با 453 مورد سرور مختلف از 67 کشور دنیا برخورد که روی آنها نرم افزارهای PoS نصب شده بود.
 
 
سرورهایی که نرم افزارهای PoS روی آنها نصب شده بود و برای فروش گذاشته شده بودند (ماه می 2016)
 
اما می خواهید بدانید این اطلاعات چه سودی می تواند برای مجرمان داشته باشد؟ برای نمونه ممکن است که یک کاربر خرابکار به فوروم xDedic برود، اکانتی برای خود ثبت نماید و سپس با استفاده از بیت کوین تعدادی سرور را خریداری کند که روی آنها همین نرم افزارها نصب گردیده است. در مرحله بعد مجرم سایبری می تواند بدافزارهای PoS نظیر Backoff را روی سرورهای خریداری شده نصب نموده و اطلاعات مربوط به کارت های اعتباری آنها را سرقت نماید. اما این تنها یکی از موارد استفاده است و قطعا احتمالات بیشتر از این است.
 
خوشبختانه آزمایشگاه کسپرسکی مساله را با نهادهای مجری قانون در میان گذاشته و هم اکنون در پروسه های نظارتی و بازرسی با این سازمان ها همکاری دارد.

حمله سایبری به سایت سازمان صنعت، معدن و تجارت رد شد

بر خلاف ادعاهای مطرح شده مبنی بر هک شدن سایت سازمان صنعت، معدن و تجارت تهران، رییس این سازمان نفوذ به سایت این سازمان را رد کرد.
 
در حالی که سخنگوی مرکز بررسی جرایم سازمان یافته سایبری سپاه پاسدار خبری مبنی بر نفوذ یک هکر به پایگاه‌های اینترنتی سازمان ثبت، راه و شهرسازی، گمرک، سازمان صنایع و معادن و ۳۷۰ پایگاه اینترنتی دانشگاه ها را اعلام کرد، محمدرضا مس‌فروش هرگونه نفوذ را به پایگاه اطلاعاتی سازمان صنعت، معدن و تجارت استان تهران را رد و اعلام کرد که سیستم های امنیتی این سازمان اخیرا تهدیدی را ثبت نکرده و نفوذی اتفاق نیفتاده است.
 
این ادعا در وضعیتی است که اخیرا فضای رسانه ها درگیر فیش‌های حقوقی چند ده میلیونی برخ مسئولان است که توسط افرادی ناشناس در فضای مجازی منتشر  شده است.

هکر تعدادی از سایت های دولتی دستگیر شد

وی که با نام «مافیا هکینگ تیم» فعالیت می کرد، هکر سایت های معروف ایرانی مانند سایت سازمان ثبت اسناد کشور، شرکت پست جمهوری اسلامی ایران و تعدادی از دانشگاه های کشور است.
مرکز بررسی جرایم سازمان یافته سایبری اعلام کرد هکر تعدادی از سایت های دولتی را دستگیر کرده است.
 
چندی پیش هک تعدادی از سایت های دولتی، جنجال رسانه ای زیادی را ایجاد کرد. مرکز بررسی جرایم سازمان یافته سایبری سپاه، براساس وظایف ذاتی و مأموریت های محوله، در راستای پاسداری از امنیت فضای مجازی، با ورود به موضوع و انجام اقدامات فنی، موفق به شناسایی و دستگیری هکر تعدادی از این سایت ها شد.
 
این هکر که با نام «مافیا هکینگ تیم» فعالیت می کرد، تاکنون تعداد زیادی از سایت های داخلی از جمله سایت سازمان ثبت اسناد کشور، شرکت پست جمهوری اسلامی ایران و تعدادی از دانشگاه های کشور را هدف فعالیت های مجرمانه خویش (هک، نفوذ و ...) قرار داده است.
 
نکته مهم آنکه تهاجمات سایبری اخیر، بار دیگر ضعف و خلأ امنیتی سایت های رسمی و حاکمیتی کشور را نشان داد. مرکز بررسی جرایم سازمان یافته سایبری، پیرو مأموریت ذاتی خویش و حفاظت و صیانت از حاکمیت ملی و امنیت عمومی مردم در بستر فضای مجازی، مکرراً این موضوع را به نهادهای متولی امر تذکر داده است.
 
نکته دیگر آنکه در حالیکه برخی مقامات و منابع خبری مدعی شده بودند که این هکر تنها توانسته مدیریت بخش اطلاع رسانی سایت های هک شده را در اختیار بگیرد، اما بررسی کارشناسان فنی این مرکز، نشان دهنده این است که وی به دلیل ضعف امنیتی، به اطلاعات زیادی دسترسی داشته ولی به دلیل انگیزه های خاص، از پیاده سازی و سرقت این اطلاعات خودداری نموده است.
 
لازم به ذکر است، فرد مزبور  ضمن تشکیل پرونده، به مرجع قضایی معرفی گردیده و تحقیقات مقدماتی از وی کماکان در دستور کار کارشناسان فنی مرکز بررسی جرایم سازمان یافته سایبری قرار دارد.

پنتاگون می‌خواهد وبسایت‌هایش را هک کنید

برنامه «پنتاگون را هک کنید» که وزارت دفاع ایالات متحده آن را آغاز کرده بود موفقیت‌آمیز پیش رفته و این سازمان تصمیم گرفته آن را توسعه دهد. شبکه‌های اجتماعی مثل فیسبوک، توییتر و سایتی مثل گوگل هم پیش از این از هکرها می‌خواستند باگ‌های امنیتی این سایت‌ها را پیدا کنند و جایزه بگیرند. در این برنامه هم پنتاگون به هکرهایی که بتوانند بخش‌های آسیب‌پذیر در وبسایت این سازمان را پیدا کنند پول می‌پردازد. در برنامه پیشین این سازمان که حال قرار است گسترش یابد که از ۳۰ فروردین تا ۱۲ اردیبهشت در جریان بود این سازمان در مجموع به هکرها در حدود ۷۰ هزار دلار پاداش پرداخت کرد. ظاهرا وزارت دفاع قصد دارد از این طریق امنیت سایر وبسایت‌های‌اش را هم گسترش دهد.
 
سایت‌های مرتبط با این وزارت خانه سال گذشته چندبار مورد حمله هکرها قرار گرفتند. در یکی از این حمله‌ها سیستم ایمیل هدف قرار گرفت و به صورت موقت از کار افتاد. شاید مجموعه این اتفاقات این سازمان را مصمم‌تر کرد تا با شیوه‌های ابتکاری جدید رخنه‌های امنیتی خود را مسدود کند. سازمان پنتاگون هم در همین راستا مسئول تیم Webspam گوگل را به استخدام خود درآورده تا امنیت شبکه خود را افزایش دهد.

بعد از حملات سنگین سایبری علیه سایت‌های ایرانی، بالاخره مرکز ماهر اطلاعیه داد

مرکز ماهر به عنوان تنها مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای بعد از حملات اخیر سایبری به سایت‌های ایرانی بالاخره با تأخیری چشم‌گیر، اطلاعیه صادر کرد.
 
بعد از حملات سایبری گسترده به پایگاه‌های دولتی و رسمی کشور طی هفته‌های اخیر و سکوت کامل مرکز "ماهر" متعلق وزارت ارتباطات، خبرگزاری تسنیم گزارشی با عنوان "بی‌مهارتی "ماهر" در برابر حملات سایبری به ایران" منتشر کرد.
 
در گزارش دو روز گذشته تسنیم آمد که علی‌رغم تمامی اظهارنظرات کارشناسان و مسئولان ذی‌ربط در این حوزه و با تمامی تأکیدات سازمان فناوری اطلاعات بر ایجاد، بروزرسانی و نگهداری پورتال مرکز امداد و هماهنگی رایانه‌ای در جهت اطلاع‌رسانی و هماهنگی، هیچ خبر و گزارشی پیرامون حملات سایبری اخیر روی پورتال ماهر وجود ندارد.
 
حال با فروکش کرن جریان حملات سایبری و تحلیل‌های ارائه شده از سوی متخصصان ذی‌ربط این حوزه، مرکز ماهر هم بالاخره اطلاعیه‌ای به شرح زیر صادر کرد:
 
"با توجه به حملات چند روز اخیر به بعضی از وب سایت‌های عمومی که بیشتر آنها از نسخه‌های بروز نشده و آسیب‌پذیر سامانه‌های مدیریت محتوا استفاده نموده‌‌اند، اعمال بعضی از رویه‌های اولیه و پایه امنیتی می‌توانست از حوادث رخ داده جلوگیری نماید. 
 
مرکز ماهر به عنوان یک نهاد تخصصی و مرجع در کشور، به دور از اطلاع‌رسانی‌های شتابزده، ضمن تماس با مراکز و سایت‌های موردحمله واقع شده و اعلام آمادگی برای ارائه مشورت‌های فنی، هماهنگی‌های لازم را در سطح ملی و حوزه بین‌المللی بخصوص مراکز CERT کشورهای عربی که محتمل است منابع آنها مورد سوء استفاده هکرها واقع شده باشد، بعمل آورده و کماکان در حال پیگیری موضوع در ابعاد مختلف است.
 
از این رو با توجه به تحلیل‌ها و جمع‌بندی‌های صورت گرفته اعلام می‌دارد:
 
1-    کلیه سازمان‌ها و شرکت‌های متصل به سامانه تعاملی امن مرکز ماهر جهت دریافت بسته اجرایی فوری برای امن‌سازی پایه که براساس تجربیات و تحلیل‌های حملات صورت گرفته تهیه شده است، به سامانه تعاملی مراجعه نمایند.
 
2-    در این زمینه کلیه مراکز و سازمان‌ها که علی‌رغم اطلاع‌رسانی های قبلی، هنوز به سامانه تعاملی متصل نشده‌اند، اعلان می‌گردد هرچه سریعتر نسبت به عضویت اقدام نمایند.
 
3-    به زودی گزارشی از نحوه همکاری دستگاه‌ها با مرکز ماهر درزمینه استفاده از راهنمایی‌ها و هشدارهای ارائه شده و میزان تعامل آنها در هنگام حوادث و رخدادهای امنیتی، به نهادهای مرجع ارائه خواهد شد."

۱۰ هزار سایت مبتنی بر WordPress مورد حمله هکرها قرار گرفت

هکرها طی چند روز گذشته یکی از نقاط آسیب‌پذیر وصله نشده مربوط به افزونه WP Mobile Detector در سیستم WordPress را که روی بیش از ۱۰ هزار سایت اینترنتی نصب شده بود، مورد هدف قرار دادند.
 
شرکت تولیدکننده این افزونه نرم‌افزاری با عرضه نسخه ۳.۶ آن روز گذشته سعی کرد مشکل پیش آمده را برطرف کند. ولی مدیران IT برای آنکه به‌روزرسانی مذکور را به سرعت در اختیار بگیرند باید بررسی کنند که سایت اینترنتی آنها هنوز هک نشده باشد.
 
این آسیب‌پذیری در یک اسکریپت ویژه با نام resize.php قرار گرفته است و به هکرها امکان می‌دهد از راه دور فایل‌های مورد نظر خود را روی سرورهای وب نصب کنند. این فایل‌ها می‌توانند در قالب اسکریپت‌های مربوط به درهای مخفی که با نام پوسته وب شناخته می‌شوند مورد استفاده قرار گیرند و به هکرها امکان دهد تا وارد سرورها شوند و کدهای مورد نظر خود را در صفحه‌های قانونی و درست اینترنتی تزریق کنند.
 
این آسیب‌پذیری در سیستم مدیریت سایت‌های اینترنتی WordPress را مرکز PluginVulnerabilities.com شناسایی کرد. در این بررسی مشخص شد یک هکر بیرونی موفق شده است با استفاده از سیستم اسکن خودکار در سرور فایل‌ها مورد نظر خود را در اختیار بگیرد.
 
کارشناسان مرکز امنیتی Sucuri اعلام کردند که فایروال آنها از تاریخ ۲۷ مه ۲۰۱۶ یعنی چهار روز پیش از آنکه وصله امنیتی عرضه شود، این آسیب‌پذیری را شناسایی کرده است.