دولت پاکستان سیاست امنیت سایبری تصویب کرد

 
دولت پاکستان برای مقابله با تهدیدهای سایبری سیاست ملی امنیت سایبری و کمیته سیاست حکمرانی سایبری را تشکیل داده است.
 
به نقل از داون، کابینه فدرال دولت پاکستان هفته گذشته سیاست ملی امنیت سایبری ۲۰۲۱ را تصویب کرد. با کمک این سیاست یک چهارچوب ملی واکنش امنیت سایبری ایجاد می‌شود. همچنین دولت کمیته «سیاست حکمرانی سایبری» را برای اجرای این سیاست تشکیل داده است.
 
طبق این سیاست هرگونه حمله سایبری به هر یک از سازمان‌های پاکستانی یک اقدام تهاجمی علیه دولت به حساب می‌آید و تمام گام‌های لازم برای مقابله با آن اتخاذ می‌شود.
 
کمیته «سیاست‌های حکمرانی سایبری» موظف است سیاست مذکور را در سطح ملی اجرا و استراتژی مناسب را تعیین کند و همچنین اقدام لازم را در زمان مناسب انجام دهد. کمیته مذکور شامل وزرا و مقامات ارشد ۱۳ وزارتخانه- سازمان است.
 
در حال حاضر دفاع سایبری پاکستان در مقابل هرگونه تهدید دیجیتال بسیار ضعیف است.
 
«سیاست ملی امنیت سایبری» با هدف مقابله با سوءاستفاده از اطلاعات و فناوری‌های مخابراتی در فضای سایبری ایجاد شده که خطر مهمی برای امنیت و اقتصاد این کشور به حساب می آیند.
 
طبق این سیاست از ایجاد یک چارچوب داخلی در تمام سازمان‌های خصوصی و عمومی برای حفاظت از اکوسیستم سایبری، امنیت سیستم اطلاعات ملی و زیرساخت و همچنین حفاظت از تمام زیرساخت ICT ملی پشتیبانی می‌شود.
 
نشریه بیزینس رکوردر در این باره می‌نویسد: به گفته سید امین الحق وزیر فناوری اطلاعات و مخابرات این کشور، نخستین هدف این سیاست تضمین حریم خصوصی داده‌های آنلاین، اطلاعات مهم شهروندان و دولت است.
 
او در این باره گفت: گروهی از کارشناسان همراه ابزارهای نوین برای تضمین امنیت سایبری این کشور به کار گرفته می‌شوند. همچنین بودجه ۱.۹۲ میلیارد روپیه‌ای برای این امر اختصاص داده شده است.
 
الحق در این باره افزود: تقویت موضع امنیت سایبری پاکستان اعتماد شهروندان به راه حل های دیجیتال را ارتقا می‌دهد و به رشد اقتصادی منجر خواهد شد.

شرکت گیگابایت هدف حمله باج‌افزاری گروه هکری RansomExx قرار گرفت

 
شرکت تایوانی گیگابایت چند روزی است که با یک حمله باج‌افزاری روبرو شده و هکرها تهدید کرده‌اند که اگر مبلغ مدنظر آن‌ها پرداخت نشود، حدود ۱۱۲ گیگابایت از اطلاعات این شرکت را فاش می‌کنند. در حال حاضر فرآیند تولید این کمپانی دچار مشکل نشده، اما گیگابایت ششمین شرکت تایوانی است که در چند سال اخیر هدف حملات باج‌افزاری قرار می‌گیرد.
 
به گزارش خبرگزاری تایوانی United Daily News، گیگابایت سازنده سرورها، لپ‌تاپ‌ها، مانیتورها، مادربردها و کارت‌های گرافیک بازار از سه‌شنبه هفته پیش تحت حملات باج‌افزاری قرار گرفته ولی این اتفاق روی سیستم‌های خط تولید آن‌ها اثری نگذاشته است.
 
حمله ظاهرا به تعداد محدودی از سرورهای داخلی گیگابایت انجام گرفته و این شرکت مدعی است که اطلاعات خود را از بکاپ‌ها برگردانده و سرورها را دوباره راه‌اندازی کرده است. با این حال، مشکل هنوز برطرف نشده و حادثه همچنان ادامه دارد.
 
هکرهایی که ظاهرا پشت این حمله بوده‌اند، گروه معروف RansomExx هستند که می‌گویند به ۱۱۲ گیگابایت داده شامل ارتباطات محرمانه گیگابایت با اینتل، AMD و American Megatrends و اسنادی تحت حفاظت معاهده عدم افشا (NDA) دسترسی دارند. آن‌ها حالا تهدید کرده‌اند که اگر مبلغ موردنظرشان را دریافت نکنند، همه اطلاعات را به‌صورت عمومی به اشتراک می‌گذارند.
 
گیگابایت هم‌اکنون در حال بررسی است تا ببیند این رخنه چگونه اتفاق افتاده، اما احتمال داده می‌شود که همه چیز با یک کمپین فیشینگ ایمیل یا خرید اطلاعات احراز هویت سرقتی از یک منبع آنلاین آغاز شده باشد، چون اکثر حملات باج‌افزاری به همین شکل انجام می‌شوند.
 
گروه RansomExx قبل از سال ۲۰۱۸ تحت عنوان Defray فعالیت می‌کرد و سابقه طولانی در حمله به شرکت‌های تایوانی از جمله گارمین، ایسر، کوانتا، Compal و AdvanTech دارد. این گروه اخیرا به سیستم واکسیناسیون کرونا در منطقه لاتزیو در ایتالیا حمله کرد و موجب اختلال در روند تزریق واکسن شد. آن‌ها همچنین اخیرا به شرکت مخابراتی CNT در اکوادور هم حمله کرده بودند.

ثبت بیش از ۳۰۰ میلیون حمله باج افزاری در شش ماه

 
طبق گزارش جدید شرکت سونیک وال، حملات باج افزاری در نیمه اول سال ۲۰۲۱ سر به فلک کشید و ۳۰۴.۷ میلیون مورد حمله از سوی این شرکت مشاهده شد.
 
به گزارش ایسنا، محققان سونیک وال شاهد حجم کم سابقه حملات در ماههای آوریل و مه بودند اما ژوئن با رکورد ۷۸.۴ میلیون حمله باج افزاری، رکورد این دو ماه را شکست.
 
مجموع آمار حملات باج افزاری ثبت شده توسط سونیک وال در نیمه اول سال ۲۰۲۱ رکورد ۳۰۴.۶ میلیون حمله در سال ۲۰۲۰ را شکست. این حقیقت که آمار شش ماه نخست سال ۲۰۲۱ از کل آمار سال ۲۰۲۰ فراتر رفته است باعث نگرانی محققان سونیک وال شده که خاطرنشان کردند این آمار بر مبنای سال به سال رشد ۱۵۱ درصدی را نشان می دهد.
 
در گزارش تهدید سایبری ۲۰۲۱ سونیک وال آمده است: حتی اگر در نیمه دوم سال یک مورد حمله باج افزاری مشاهده نشود که کاملا بعید است، سال ۲۰۲۱ در حال حاضر بدترین سال از نظر این حملات محسوب می شود.
 
حجم حملات باج افزاری در نیمه اول سال ۲۰۲۱ در آمریکا ۱۸۵ درصد و در انگلیس ۱۴۴ درصد افزایش داشته است. آمریکا، انگلیس، آلمان، آفریقای جنوبی و برزیل در صدر فهرست کشورهایی بودند که بیشترین آسیب را از حملات باج افزاری دیدند. در میان ایالتهای آمریکا فلوریدا با ۱۱۱.۱ میلیون مورد حمله و نیویورک با ۲۶.۴ میلیون مورد، رکورددار حجم حملات باج افزاری بودند و پس از آنها آیداهو با ۲۰.۵ میلیون مورد، رودآیلند و لوییزیانا هر کدام حدود ۹ میلیون حمله باج افزاری قرار گرفتند.
 
بر اساس گزارش زدنت، این گزارش بر مبنای اطلاعات گردآوری شده توسط شبکه شناسایی تهدید سونیک وال که اطلاعات دستگاههای جهانی شامل بیش از ۱.۱ میلیون حسگر امنیتی در ۲۱۵ کشور و سرزمین را گردآوری می کند، تهیه شده است.
 

ادامه حملات هکرهای روسی با وجود تهدیدهای آمریکا

 
محققان امنیتی از ادامه حملات هک توسط جاسوسان روسی با وجود فشار آمریکا به کرملین برای توقف عملیاتهای سایبری خبر دادند.
 
 شرکت امنیت سایبری ریسک آی کیو در گزارشی اعلام کرد که بیش از ۳۰ سرور فرمان و کنترل را شناسایی کرده که از سوی خلافکاران سایبری برای ارسال فرمان به شبکه های آلوده یا دریافت اطلاعات مسروقه استفاده می شوند و مرتبط به گروه هکری تحت حمایت دولت به نام APT۲۹ یا Cozy Bear هستند. این گروه از این سرورها برای بکارگیری نرم افزار مخربی به نام "وِل مِس" استفاده می کنند. حروف اختصاری APT به انگلیسی مخفف عبارت "تهدید مستمر پیشرفته" بوده و واژه ای است که برای توصیف گروههای هک تحت حمایت دولتی استفاده می شود.
 
سازمانهای جاسوسی آمریکا، انگلیس و کانادا ژوییه سال گذشته اعلام کرده بودند که گروه APT۲۹ قطعا بخشی از سرویسهای اطلاعاتی روسیه بوده و این گروه را به هک سازمانهایی که در ساخت واکسن کووید ۱۹ مشارکت داشتند و سرقت اطلاعات متعلق به آنها متهم کردند. همین گروه ظاهرا در هک کمیته ملی دموکراتیک در سال ۲۰۱۶ و رخنه به شرکت سولار ویندز که سال میلادی گذشته برملا شد، دست داشته است.
 
سفارت روسیه در واشنگتن به بیانیه ای که پیشتر منتشر کرده بود و در آن از خبرنگاران خواسته بود اتهام زنی را متوقف کنند، اشاره و اعلام کرد مطمئن است مذاکرات با آمریکا در ارتباط با فضای سایبری، امنیت زیرساخت اطلاعات کشورها را بهبود خواهد بخشید.
 
نماینده کاخ سفید در این باره حاضر نشد اظهارنظر کند. جو بایدن، رییس جمهور آمریکا و ولادیمیر پوتین همتای روسی وی در دیداری که ۱۶ ژوئن داشتند درباره ادامه حملات هک گفت و گو کردند. فشار آمریکا به روسیه عمدتا بر سر متوقف کردن حملات باج افزاری است. سلسله حملات باج افزاری که گفته می شود گروههای هک روسی عامل آنها بودند، زیرساختهای حیاتی آمریکا از جمله شبکه خط لوله سوخت رسانی شرکت کلونیال پایپ لاین را مختل کرد. بایدن پس از این دیدار گفت پوتین درک می کند که اگر روسیه دوباره در انتخابات آمریکا مداخله کند، واشنگتن پاسخ خواهد داد.
 
شرکت "ریسک آی کیو" در گزارش خود اعلام کرد سرورهایی که شناسایی کرده همچنان فعال هستند و بدافزار منتشر می کنند اما محققان امنیتی می گویند اطلاعات کافی ندارند که نشان دهد چه کسانی اهداف این بدافزار هستند یا بدافزار مذکور چطور بکار گرفته شده است.
 
بر اساس گزارش بلومبرگ، رییس جمهور آمریکا در دیدار با پوتین فهرستی از زیرساختهای حساس در آمریکا را ارائه و اعلام کرده بود اگر این تاسیسات هدف حمله سایبری قرار گیرند، به منزله تهدید جدی برای امنیت ملی کشورش خواهد بود. بایدن پس از این دیدار اظهار کرده بود: بعضی از زیرساختهای حیاتی باید خط قرمز برای حمله سایبری یا هر گونه حمله دیگری شمرده شوند. من به روسها فهرستی از ۱۶ نهاد خاص را دادم که تحت سیاست آمریکا زیرساخت حیاتی به شمار می روند و از بخش انرژی تا سیستمهای آب را شامل می شوند.
 

کشف یک سوءاستفاده جدید از ویندوز

 
فعال ‌بودن تأیید اصالت‌سنجی NTLM و غیر فعال بودن برخی محافظت‌ها، ویندوز را در برابر مهاجمان سایبری آسیب‌پذیر کرده است. 
 
 مهاجمان سایبری با اجرای حملاتی معروف به NTLM Relay ، کنترل Domain Controller (کنترل‌کننده دامنه) و کل دامنه شبکه را در اختیار می‌گیرند. مهاجمان پس از کنترل Domain Controller و در اختیار گرفتن کل دامنه شبکه، هر فرمان دلخواه خود را در سطح دامنه به اجرا در می‌آورند.
 
محققی که این تکنیک مهاجمان سایبری را کشف کرده و نام آن را PetitPotam  گذاشته، معتقد است این مسئله را نمی‌توان به‌عنوان یک آسیب‌پذیری در نظر گرفت بلکه به‌نوعی، سوءاستفاده از یک تابع معتبر است. این تابع معتبر که بصورت مخفف MS-EFSRPC نامیده می‌شود، برای انجام عملیات نگهداری و مدیریت داده‌های رمزگذاری‌شده‌ای استفاده می‌شود که به‌صورت از راه دور، در بستر شبکه ذخیره و فراخوانی می‌شوند. این محقق امنیتی اهل فرانسه، اظهار داشته که این تکنیک ممکن است در حملات دیگر سایبری نیز استفاده شود.
 
محقق کاشف PetitPotam که معتقد است تنها راه مقابله با این حملات، غیرفعال‌کردن تأیید اصالت‌سنجی NTLM یا فعال‌کردن محافظت‌هایی همچون امضاهای SMB و LDAP و  همچنین Channel Binding در ویندوز است، در عین حال تاکید می‌کند متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک مهاجمان سایبری نمی‌شود. جزئیات بیشتر در خصوص تکنیک PetitPotam، شیوه کار مهاجمان با استفاده از آن، اطلاعات فنی و نمونه کدهای بهره‌جوی (PoC)، در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.
 

تقویت امنیت سایبری خطوط لوله نفت و گاز آمریکا الزامی شد

 
وزارت امنیت داخلی آمریکا دستورالعمل امنیتی جدیدی را صادر کرد که مالکان و گردانندگان خطوط لوله نفت و گاز حساس این کشور را ملزم می کند حفاظتهای بیشتری در برابر حملات سایبری به عمل آورند.
 
این دومین دستورالعمل امنیتی است که سازمان امنیت حمل و نقل وزارت امنیت داخلی آمریکا از زمان وقوع حمله باج افزاری به سیستم خط لوله سوخت رسانی کلونیال پایپ لاین در دو ماه پیش، صادر کرده است.
 
حمله باج افزاری که اوایل ماه مه به شبکه رایانه شرکت کلونیال پایپ لاین صورت گرفت، این شرکت را مجبور کرد شبکه خط لوله اش که سوخت مورد نیاز ایالتهای شرقی آمریکا را منتقل می کرد را به مدت پنج روز تعطیل کند. این حمله سایبری و متعاقب آن تعطیلی شاه لوله اصلی انتقال سوخت به کرانه شرقی آمریکا، باعث کمبود سوخت و افزایش شدید قیمت بنزین شد. میانگین قیمت هر گالن بنزین در آمریکا تا ۱۳ ماه مه به سه دلار و دو سنت رسید که از سال ۲۰۱۴ کم سابقه بود.
 
جدیدترین دستورالعمل امنیتی دولت آمریکا مالکان و گردانندگان خطوط لوله نفت و گاز که به عنوان زیرساختهای حساس شناخته شده اند را ملزم می کند تدابیر ویژه ای برای حفاظت در برابر حملات باج افزاری و سایر تهدیدات متوجه سیستمهای فناوری اطلاعات و فناوری عملیاتی خود پیاده کند و طرحهای احتیاطی و ریکاوری امنیت سایبری را طراحی و اجرا کنند و به بازبینی طراحی معماری امنیت سایبری خود بپردازند.
 
دستورالعمل امنیتی اولیه از ماه مه سال ۲۰۲۱ مالکان و گردانندگان خطوط لوله نفت و گاز را ملزم کرد وقایع امنیت سایبری احتمالی یا تایید شده را به سازمان امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی گزارش کنند. همچنین یک هماهنگ کننده امنیت سایبری را به صورت ۲۴ ساعته در هفت روز هفته تعیین کنند و به بازبینی شیوه های فعلی و شناسایی هر گونه شکاف و تدابیر لازم برای پرداختن به ریسکهای مربوط به فضای سایبری بپردازند و نتیجه را در مدت ۳۰ روز به سازمان امنیت حمل و نقل و سازمان امنیت سایبری و امنیت زیرساخت گزارش کنند.
 
الخاندرو مایورکاس، وزیر امنیت داخلی آمریکا در بیانیه ای اظهار کرد: این وزارتخانه از طریق دستورالعمل امنیتی فوق می تواند بهتر اطمینان حاصل کند که بخش خط لوله گامهای ضروری را برای حفاظت از فعالیتهایشان در برابر تهدیدات سایبری فزاینده برمی دارد و از امنیت اقتصادی و ملی آمریکا بهتر حمایت می کند.
 
بر اساس گزارش اویل پرایس، جنیفر گرانهولم، وزیر انرژی آمریکا ماه گذشته اظهار کرده بود عوامل سایبری خرابکار قادر به تعطیل کردن شبکه برق آمریکا یا بخشی از آن هستند و خواستار همکاری فزاینده دولتی-خصوص در دفع حملات سایبری شده بود.
 

هکرها اطلاعات آرامکو را به فروش گذاشتند

 
شرکت آرامکوی سعودی هدف یک رخنه اطلاعاتی قرار گرفته که در جریان آن یک ترابایت اطلاعات این غول نفتی به سرقت رفته و در دارک وب به فروش گذاشته شده است.
 
 این غول نفتی سعودی به پایگاه خبری "بلیپینگ کامپیوتر" وقوع رخنه اطلاعاتی را تایید کرد. هکرها اعلام کرده اند این رخنه سال گذشته به وقوع پیوسته و هیچ تاثیری روی فعالیتهای آرامکو نداشته است.
 
این شرکت نفتی دولتی اعلام کرد که رخنه اطلاعاتی مربوط به یک پیمانکار شخص ثالث بوده و ارتباطی با سیستمهای آرامکو نداشته است.
 
آرامکو به "بلیپینگ کامپیوتر" اعلام کرد این شرکت اخیرا از انتشار غیرمستقیم میزان محدودی اطلاعات این شرکت مطلع شده که در اختیار پیمانکاران شخص ثالث بوده است. ما تایید می کنیم که انتشار این اطلاعات هیچ تاثیری روی فعالیتهای ما ندارد و این شرکت همچنین از وضعیت امنیت سایبری قوی برخوردار است.
 
گروهی از هکرها که خود را "زیرو ایکس" معرفی کرده اند، اطلاعاتی را که مدعی هستند از هک شبکه و سرورهای آرامکو در سال گذشته به دست آورده اند، در دارک وب برای فروش گذاشته اند.
 
"زیرو ایکس" و آرامکو هر دو به "بلیپینگ کامپیوتر" اعلام کرده اند که این رخنه اطلاعاتی جاسوس افزار یا انواع دیگر حمله باج گیری نبوده است.
 
قیمت فروش این اطلاعات از پنج میلیون دلار شروع می شود و شامل اسنادی متعلق به پالایشگاههای آرامکو، اطلاعات شخصی بیش از ۱۴ هزار کارمند، اطلاعات پروژه برای سیستمها، اسناد مربوط به قیمت گذاری و تحلیلهای داخلی و همچنین اطلاعات امنیتی شامل آدرسهای آی پی، نقاط دسترسی وای فای و دستگاههای اینترنت اشیا است. این گروه مدعی شده که درباره فروش این اطلاعات با پنج خریدار مذاکره کرده است.
 
بر اساس گزارش اویل پرایس، آرامکوی سعودی در گذشته قربانی حملات سایبری قرار گرفته که قابل توجه ترین آنها بدافزار شامون در سال ۲۰۱۲ بود که در حمله فلج کننده ای مورد استفاده قرار گرفت که همه رایانه ها در این شرکت نفتی سعودی را پاک کرد. کارشناسان امنیتی در سال ۲۰۱۸ هشدار دادند که نوع دیگری از بدافزار شامون مشاهده شده است.
 

کشور‌های غربی چین را متهم به حمله سایبری کردند

 
 
چین متهم به حمله سایبری شد که سرورهای مبادله مایکروسافت را هدف قرار داده بود و بیش از ۳۰ هزار سازمان در جهان تحت تاثیر آن قرار گرفتند. خدمات امنیتی غرب باور دارند که این حمله نشان‌دهنده تغییر رویکرد چین از جاسوسی به حملات عملی و اکتسابی است و درنتیجه نگرانی در مورد رفتار سایبری چین بیشتر شده است.
 
به نقل از ورج، این اولین باری است که آمریکا و متحدانش دولت چین را به استخدام گروه‌های هکری برای هک سیستم‌های غربی متهم می‌کنند. در این حمله، مهاجمان فقط در آمریکا به سرور ایمیل‌های ۳۰ هزار سازمان دسترسی پیدا کردند.
 
غرب ابتدا گروه هکری هافنیوم (Hafnium)، که یک گروه تحت حمایت دولت چین است را به این حمله متهم کرد. یکی از مسئولان ارشد کاخ سفید در نشست مطبوعاتی آخر هفته گفت دولت آمریکا «بسیار مصمم است» که دولت چین هزینه هکر‌های این سرور‌ها را تامین می‌کند.
 
این مسئول می‌گوید: «وزارت امنیت کشور(MSS) چین از مجرمان هکری برای فعالیت‌های سایبری بدون نظارت در سطح جهان استفاده می‌کند، از جمله فعالیت‌هایی که برای سود شخصی انجام می‌گیرد. این فعالیت‌ها عبارت‌اند از فعالیت‌های مجرمانه‌ای مثل اخاذی، دزدی کریپتو و دزدی از قربانیان جهان با اهداف اقتصادی.»
 
چین پیشتر اتهامات مربوط به هک را رد کرده و می‌گوید که با هرنوع جرم سایبری مخالف است. پیام متحد کشور‌های غربی برای پکن حاکی از اهمیت بالای این حمله هکری است. مسئولان اطلاعات غربی می‌گویند که این حمله با توجه به جوانب مختلفی که دارد از تمام حملات قبلی جدی‌تر است.
 
مجله وال‌استریت گزارش داده که دولت آمریکا اطمینان دارد که هکر‌های سرور مایکروسافت با وزارت امنیت کشور چین در ارتباط هستند. به‌علاوه، چهار هکر با ملیت چینی در حملات هکری متعدد که تا یک دهه پیش انجام گرفته‌اند نیز نقش داشتند؛ در این حملات راز‌های شرکتی و تحقیقاتی از شرکت‌ها و دانشگاه‌های جهان سرقت شدند. آمریکا سه نفر از این گروه را مامور MSS خوانده و نفر چهارم نیز در استخدام یکی از شرکت‌های چینی است.
 
انتونی بلیکن، وزیر امورخارجه آمریکا، روز دوشنبه (۲۸ مرداد) اعلام کرد: «ایالات متحده و کشور‌های جهان جمهوری خلق چین (PRC) را در قبال الگوی غیرمسئولان، مخل و رفتار بی‌ثبات کننده در فضای سایبری که تهدید جدی برای امنیت اقتصادی و ملی ما محسوب می‌شود مسئول می‌دانند.»
 
انگلستان و اتحادیه اروپا از جمله بازیگران مهمی هستند که هک سرور مایکروسافت را به چین نسبت داده‌اند. کشور‌های دیگری از جمله کانادا، استرالیا، نیوزلند، ژاپن و سازمان معاهده آتلانتیک شمالی یا NATO که اتحادی متشکل از ۳۰ کشور است، نیز در یک پیام واحد پکن را مسئول حملات سایبری دانستند.
 
دولت بایدن این محکومیت جمعی را بزرگترین تلاش بین‌المللی برای انتقاد از فعالیت‌های هکری پکن دانست. با وجود اینکه این بیانیه‌ها با یکدیگر تفاوت داشتند اما به طور کلی مفهوم آنها اعتراض به چین برای فعالیت‌های مخل سایبری و دزدی اموال ذهنی بود.
 
اتحادیه اروپا در یک بیانیه خبری اعلام کرد که این هک و موارد دیگری با گروه‌های هکری Advanced Persistent Threat 40 و Advanced Persistent Threat 31 ارتباط دارند. مرکز امنیت سایبری دولت انگلستان (NCSC) گفت که گروه ATP40 «صنایع دریایی و پیمانکار‌های نیروی دریایی در آمریکا و اروپا را هدف گرفته و APT31 به نهاد‌های دولتی از جمله پارلمان فنلاند در ۲۰۲۰ حمله کرده است.»
 
پاول کیکستر، رئیس عملیاتی NCSC، می‌گوید: «حمله به سرور‌های مبادله مایکروسافت مثال جدی دیگری از فعالیت مجرمانه هکر‌هایی است که با پشتیبانی دولت چین در فضای سایبری فعالیت می‌کنند.»
 
با وجود اینکه کشورهای غربی چین را مسئول این حملات می‌دانند اما اقدامی برای مجازات، تحریم یا حتی خلع دیپلماتیک از طرف آمریکا صورت نگرفته است. این رویکرد با جبهه گیری اخیر دولت بایدن در مقابل روسیه تناقض دارد و متخصصان امنیت سایبری این مسئله را نگران کننده می‌دانند. دمیتری الپرویچ، رئیس هیات مدیره اتاق فکر سیلورادو پالسی اکسلریتور (Silverado Policy Accelerator)، می‌گوید: «با توجه به اقداماتی که در قبال فعالان روسی انجام گرفت شاهد یک استاندارد دوگانه هستیم. ما در مقابل چین دستکش‌های مهربرانی به دست می‌کنیم.»
 
یکی از مسئولان ارشد دولت آمریکا می‌گوید که دولت مطلع است که هیچ اقدامی نمی‌تواند رفتار دولت چین را تغییر دهد و موضوع اصلی متحد کردن کشور‌های جهان علیه پکن بود. او می‌گوید که هکر‌های مرتبط با MSS برای انجام فعالیت‌های سایبری در جهان از پیمانکاران مجرمانه استفاده می‌کردند.
 
بایدن در پاسخ به سوال خبرنگاران که تفاوت هک‌های روسی و چینی چیست گفت: «تا جایی که من می‌دانم دولت چین برخلاف دولت روسیه خودش این کارها انجام نمی‌دهد بلکه از کسانی که این کار را انجام می‌دهند محافظت و شاید حتی با آنها سازش می‌کند.»
 
وزارت دادگستری آمریکا در یک اعلام جرم عمومی روز دوشنبه (۲۸ مرداد) مدعی شد که دولت چین تلاش چندانی برای اجرای توافق سال ۲۰۱۵ با دولت اوباما انجام نداده است؛ براساس این توافق دولت‌ چین نباید حملات سایبری که مستندات شرکتی را با اهداف اقتصادی به سرقت می‌برند را به طور مستقیم انجام داده یا از آنها حمایت کند. دولت ترامپ نیز چندین مرتبه اعلام کرده بود که چین به این توافق متعهد نیست. این اعلام جرم که مربوط به ماه می است و در حال حاضر به اطلاع عمومی رسیده وزارت امنیت کشور چین را به استفاده از یک شرکت برای حملات سایبری متهم کرده است. براساس این اعلام جرم چهار فرد به برگزاری یک کارزار هکری از سال ۲۰۱۱ تا ۲۰۱۸ متهم شده‌اند که با دزدی اموال معنوی و اطلاعات تجاری به شرکت‌های چینی و بخش‌های تجاری این کشور کمک کرده‌اند.
 
چین همواره این اتهامات را رد کرده است. لیو پنگیو، سخنگوی سفارت چین در واشنگتن، روز دوشنبه (۲۸ مرداد) گفت: «آمریکا دائما حملات بی پایه و اساسی انجام داده و چین را در زمینه امنیت سایبری ننگین دانسته است. این هم حقه دیگری است و هیچ چیز تازه‌ای در آن نیست.»
 
متهمان چینی که در این بیانیه جدید متهم شناخته شده‌اند در بازداشت آمریکا نیستند. متخصصان امنیت سایبری معتقدند که اعلام جرم برای هکر‌هایی که از سوی دولت‌های خارجی پشتیبانی می‌شوند معمولا تاثیر چندانی ندارد؛ آنها معتقدند که آمریکا باید در پاسخ به این حملات از اسلحه تحریم استفاده کند.
 
مسئولان آمریکایی اما از اعلام جرم و عدم تحریم دفاع کرده و می‌گویند که این اقدام باعث شده تا کشور‌های متحد، بخش خصوصی و دیگران از گستره این مساله با خبر شوند و اقدام آنها بی‌تاثیر نیست.
 
طبق ادعای دستگاه‌های اطلاعاتی، این هکر‌ها با استفاده از ایمیل‌های فیشینگ اقدام به دزدی کرده و در حملات خود از اساتیدی در یک دانشگاه چین کمک گرفته‌اند؛ این اساتید با معرفی هکر‌ به این کمپین کمک کرده‌ و کتابخانه این دانشگاه به عنوان آدرسی برای این شرکت هکری استفاده شده است.

مرکز مدیریریت راهبردی افتا حملات سایبری به وزارت راه و شهرسازی و راه‌آهن را تایید کرد

 
مرکز مدیریت راهبردی افتای ریاست جمهوری حملات سایبری به وزارت راه‌ و شهرسازی و شرکت راه‌آهن کشور را در هفته‌های گذشته تایید کرد. این اتفاق در حالی رخ می‌دهد که در زمان این حمله حداقل شرکت راه‌ آهن در اطلاعیه‌ای اعلام کرده بود که مورد هیچ حمله سایبری قرار نگرفته است. حالا مرکز مدیریت راهبردی افتا اعلام کرده که کم‌توجهی و ساده انگاری به هشدار‌های این مرکز باعث بروز حملات به این دو نهاد شده است.
 
 اوایل هفته گذشته (۱۹ تیرماه) وزیر ارتباطات و فناوری اطلاعات از مشاهده تحرکات جدید توسط مهاجمان سایبری برای طراحی حملات باج‌افزاری خبر داد. در همان زمان محمدجواد آذری جهرمی اعلام کرد که این تحرکات جدید شباهت زیادی به حملات باج‌افزاری اردیبهشت سال ۱۳۹۷ دارد. مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) در اردیبهشت ۹۷ در اطلاعیه‌ای که روی سایت خود منتشر کرده اعلام کرده بود که « رصد فضای مجازی نشان دهنده حملاتی مبتنی بر آسیب‌پذیری‌های موجود در سرویس iLo سرورهای HP بوده است.»
 
حال امروز (۲۷ تیر) مرکز مدیریت راهبردی افتا جزئیات بیشتری از این حملات را منتشر کرده است. این مرکز ساده انگاری و کم‌توجهی به هشدارهای افتا را عامل اصلی این حملات سایبری، کم دفاع شدن یا سست شدن سیستم امنیت سایبری وزارت راه‌ و شهرسازی و شرکت راه‌آهن اعلام کرده است.
 
کارشناسان امنیت سایبری افتا در مورد نتایج بررسی‌های کارشناسی و جزئیات این حملات گفته‌‌اند که مهاجمان توانسته‌اند به برخی از مدیریت سیستم‌ها دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند. به گفته این کارشناسان نفوذ به سامانه های وزارت راه و شهرسازی و شرکت راه‌آهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان ازهفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکرها آن را، حدود ۷ روز قبل از حادثه سایبری آماده کرده‌اند.
 
بر اساس نظر کارشناسان افتا، مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستم‌ها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستم‌ها را غیرفعال کرده بودند. آنطور که  کارشناسان امنیت سایبری افتا ادعا کرده‌اند بدلیل زمان بر بودن تخریب دیتاها، مهاجمان تنها به تخریب برخی از ساختارهای دیتا بسنده کرده‌اند.
 
در اطلاعیه مرکز راهبردی افتای ریاست جمهوری آمده که مهاجم یا مهاجمان سایبری در صورتی که در حمله سایبری خود، کنترل سیستم را به دست بگیرند، همه زیرساخت‌های IP را تخریب می کنند و بیشترین ضربه را وارد می‌کنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.
 
رعایت نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است. تغییر امتیازات و دسترسی های موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستم‌‌های وزارت راه و شهرسازی و شرکت راه‌آهن بوده است. مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمان‌های زیرساختی خواسته تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورت‌های مدیریتی سرورها و تجهیزات ILO  و IPMI سیستم‌های خود اعمال کنند.

جایزه ۱۰ میلیون دلاری آمریکا برای افشای هکرهای خارجی

 
دولت آمریکا حداکثر ۱۰ میلیون دلار جایزه برای اطلاعاتی تعیین کرد که به شناسایی هویت و مکان عوامل سایبری خرابکاری کمک می کند که از طرف یک دولت خارجی، زیرساخت حیاتی آمریکا را هدف می گیرند.
 
 وزارت خارجه آمریکا در بیانیه ای اعلام کرد بعضی از فعالیتهای سایبری مخربی که زیرساخت حساس آمریکا را هدف می گیرند، ناقض قانون سوءاستفاده و کلاهبرداری رایانه ای هستند و این نهاد یک کانال گزارش دهی دارک وب را به منظور حمایت از ایمنی و امنیت منابع احتمالی ایجاد کرده است.
 
دولت آمریکا همچنین یک هاب آنلاین برای قربانیان حملات باج افزاری رونمایی کرد که در صورت وقوع حملات سایبری به شرکتها و نهادها کمک می کند به منابع و مساعدت لازم راحت تر دسترسی پیدا کند.
 
وب سایت جدید به نشانی www.StopRansomware.gov ابتکاری است که توسط وزارتخانه های دادگستری و امنیت داخلی آمریکا راه اندازی شده است.
 
وزارت دادگستری آمریکا در بیانیه ای اعلام کرد بسیاری از منابع و اطلاعاتی که سازمانها برای رویارویی با حملات باج افزاری نیاز دارند، معمولا در وب سایتهای متعدد پراکنده بوده است که احتمال غافل ماندن از اطلاعات مهم را افزایش می داد. این وب سایت نخستین هاب مرکزی است که منابع مربوط به باج افزار را از همه سازمانهای دولت فدرال یکجا جمع کرده است.
 
راه اندازی وب سایت جدید و جایزه ۱۰ میلیون دلاری به دنبال سلسله حملات سایبری در سال میلادی جاری صورت گرفته که شاخصترین آنها حمله به شرکت کلونیال پایپ لاین و فلج شدن سیستم سوخت رسانی این شرکت و در نتیجه کمبود گسترده سوخت در ایالتهای کرانه شرقی آمریکا بود. وزارت دادگستری آمریکا اندکی بعد از این رویداد به کلونیال پایپ لاین کمک کرد حدود ۲.۳ میلیون دلار از باجی که به هکرها پرداخت کرده بود را پس بگیرد.
 
بر اساس گزارش رویترز، طبق اعلام وزارت دادگستری آمریکا، حدود ۳۵۰ میلیون دلار باج به هکرها در سال ۲۰۲۰ پرداخت شد که بیش از ۳۰۰ درصد افزایش نسبت به سال پیش از آن داشت.