رسیدن مرز سایبری کشور به گیت وی سازمان‌ها

 
یک پژوهشگر حوزه امنیت فضای مجازی با بیان اینکه متاسفانه مرز سایبری کشور به پشت گیت وی سازمان‌ها و شرکت‌ها رسیده است، گفت: دستگاه واحدی باید مسئول جریان داده‌ای و امنیت سایبری کشور شود.
 
احسان کیانخواه پژوهشگر حوزه امنیت و حکمرانی فضای مجازی به تشریح چالش‌های حوزه امنیت سایبری پرداخت و به این سوال پاسخ داد که آیا قوانین فعلی در حوزه امنیت داده در کشور کفایت می‌کند و یا اینکه نیازمند تدوین قوانین و مقررات در حوزه حکمرانی داده هستیم.
 
وی با بیان اینکه در حوزه امنیت داده در فضای مجازی، مسئولیت‌ها نه برای ناظر و نه برای دارنده داده، مشخص نیست، اظهار داشت: اصولاً محور امنیت حراست از دارایی نامشهود یا داده است. یعنی قرار است داده مورد نیاز برای هدفی خاص توسط ذی‌نفعان مشخص، تحت سیاست‌های دقیق و رفتارهای اصولی، به اشتراک و توسعه گذاشته شود و نظامات کنترلی متقن برای آن برقرار شود.
 
کیانخواه با اشاره به اینکه هر سازمان دارای یک ساختار تقسیم وظایف است که هر بخش و جایگاهی کار خود را انجام می‌دهد و این وجه سخت سازمان است، ادامه داد: سازمان دارای یک وجه نرم است که فرآیندها و کارها را به پیش می‌برد. این همان مفهوم حکمرانی است.
 
وی با بیان اینکه اشکال وضعیت جاری در حوزه سازمان‌های ما، وظیفه‌گرا شدن است ادامه داد: یعنی مفهوم حکمرانی ناظر به نتیجه یا پیامد کار انجام نمی‌شود. همانند مثل معروف کندن چاله! یعنی دغدغه مدیران، مجریان زیرساخت و شبکه، متصدیان امنیت سایبری و ناظران حوزه امنیت توجه به جریان و برآیند این فعالیت‌ها نیست. بلکه مساله انجام صرفاً وظیفه مشخص شده، بدون توجه به گام قبل و بعد آن و نتیجه و پیامد مورد انتظار است.
 
نظام جامع امنیت سایبری برای توسعه اقتصاد دیجیتال ایجاد شود
 
این پژوهشگر حوزه امینت و حکمرانی فضای مجازی تاکید کرد: نیازمند برقراری نظام جامع هستیم تا شاکله جریان امنیت را در راستای توسعه دولت الکترونیکی و اقتصاد دیجیتال مشخص کند. عموماً دو نوع نظارت وجود دارد، نظارت مبتنی بر نتیجه که گذشته‌نگر است و با رخداد، خسارت آن شاید اصلاً قابل جبران نباشد و نظارت آینده‌نگرانه که به رصد لحظه‌ای و پیش‌بینی‌ها استوار است.
 
وی با بیان اینکه در این راستا مراکز نظارتی باید یکپارچه شوند و مراکز داده با حفظ محرمانگی باید شناسنامه‌دار باشند، خاطرنشان کرد: شبکه اینترنت داخل کشور از لحاظ شکل جریان داده‌ای نیازمند نظارت مستمر است. جریان‌های ناهنجار باید رصد و کشف و متوقف شود. اینکه مرز سایبری کشور به پشت دروازه ( GateWay) سازمان‌ها و شرکت‌ها رسیده جای تأسف و بازنگری را دارد.
 
کیانخواه با اشاره به اینکه هم اکنون مراکز داده که نیاز به ارائه خدمات برخط دارند، بدون کمک و پناه مطمئن رها شده‌اند و در حد پیامک و اطلاع رسانی‌های سایت محور به آن‌ها توجه می‌شود ادامه داد: نیازمند سازماندهی متمرکز برای استفاده از توان بخش عمومی، دولتی و خصوصی برای ارتقا مستمر امنیت سایبری کشور هستیم. از طرفی دستگاه واحدی باید در حوزه امنیت سایبری مسئولیت‌پذیر باشد که در عین سازماندهی متمرکز و رصد مستمر شبکه و جریان داده‌ای کشور، هم‌گام و هم‌یار دستگاه‌ها در حفظ امنیت سایبری کشور که هم‌ردیف امنیت سرزمینی قرارگرفته، باشد. باید برای دهه‌های آینده از همین امروز آماده شد.
 
چالش جدی دو مرکز ماهر و افتا
 
وی در پاسخ به این سوال که نهادهایی مانند مرکز افتا، مرکز ماهر، سازمان پدافند غیرعامل و پلیس فتا طبق مصوبه شورای عالی فضای مجازی دارای مسئولیت‌هایی در این زمینه هستند اما با این وجود چرا شاهد تعدد اتفاقات در حوزه درز اطلاعات و افشای داده و تهدیدات در فضای مجازی هستیم که هیچیک از این نهادها مسئولیت آن را بر عهده نمی‌گیرند، گفت: اصل وجود قانون اقدام مثبتی است. دستگاه‌های مختلفی در حوزه امنیت فعال هستند و این تقسیم‌کاری برای ایجاد هم‌افزایی خوب است. اما مسئله این است که آیا امنیت و مقابله با حوادث سایبری در این قانون به‌درستی دیده‌شده است؟
 
این پژوهشگر حوزه امنیت و حکمرانی فضای مجازی با اشاره به اینکه شبکه اینترنت کشور از لحاظ دسترسی Flat است، توضیح داد: یعنی درخواست (Request) به یک سرور در مرکز داده داخلی از نقطه‌ای خارج از کشور با مسیریابی‌های بدون مانع وارد می‌شود. البته ذات دسترسی در اینترنت و مسیریابی در شبکه نیز همین است. یعنی با کمترین هزینه دسترسی و حرکت روی گره‌های شبکه، پاسخ (Response) به درخواست ارسال می‌شود.
 
وی ادامه داد: این سهولت مسیر دسترسی به محتوای درون سرورها، برای خرابکاری اینترنتی نیز سهولت برقرار می‌کند. یعنی با کمترین مانع و شاید بدون مانعی، هکرهای اینترنتی به سرور ارائه‌دهنده محتوا دسترسی پیدا می‌کنند. حال بر اساس معماری شبکه ارائه‌دهنده سرویس و توان هکر یا گروه‌های هکری، میزان تاب‌آوری مرکز داده مشخص می‌شود.
 
کیانخواه با اشاره به اینکه امنیت دستگاه‌ها بر اساس سطح اهمیت بین دو مرکز ماهر و افتا تقسیم‌شده است، خاطرنشان کرد: وظیفه این دو مرکز ارتقا، توانمندسازی و مقاوم‌سازی دستگاه‌ها است. ابزار انجام این وظایف، اطلاع‌رسانی، آموزش و نظارت‌های دوره‌ای است.
 
وی با بیان اینکه ابتدا باید بپذیریم هرگونه حادثه سایبری غیرقابل‌جبران بوده یا سخت قابل جبران است، افزود: به‌طور مثال نشت داده هویتی، مالی یا رفتاری کاربران یا از دسترس خارج شدن سرویس‌های حیاتی روزمره مردم قابل جبران است؟ پاسخ خیر است.
 
این پژوهشگر با اشاره به اینکه اشکالات و باگ های نرم‌افزاری و سخت‌افزاری سامانه‌ها عموماً پس از آسیب‌پذیری آشکار می‌شود، ادامه داد: یعنی اول تهدید بالقوه یا بالفعل عملی شده پس از آن فکر چاره می‌شود. حال چقدر هشدارها دقیق است؟ این هشدارها چگونه تشخیص داده می‌شود؟ آیا صرفاً با رصد سامانه‌های امنیتی خارجی هشدارها صادر می‌شود؟ سوالاتی است که باید پاسخ داده شود. بعضاً هم مشاهده‌شده با چند روز تأخیر از اعلام جهانی، هشداری صادر می‌شود. این چالش جدی دو مرکز افتا و ماهر است.
 
دلایل ناکارآمدی مراکز افتا و ماهر
 
به گفته کیانخواه، مراکز داده کمتر همراهی مستمر و سایه به سایه این مراکز را مشاهده می‌کنند و علی‌رغم تلاش‌های زیاد کارکنان مراکز مرتبط با قانون «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» حداقل در یک سال گذشته ضربات جبران‌ناپذیری به فضای سایبر کشور با نشت داده و اطلاعات رخ‌داده است.
 
وی یکی از دلایل اصلی ناکارآمدی این مراکز را شفاف نبودن مسئولیت‌ها در مقابل احتمال حادثه عنوان کرد و گفت: اول اینکه این مراکز خود را پشتیبان می‌بینند و برای خود نقش لجستیکی قائل هستند (حداقل در عمل) و دوم اینکه به علت حجم بالای نفوذ حملات سایبری حساسیت‌ها در کنترل کاهش پیداکرده درصورتی‌که نشت حتی یک بیت داده جبران‌ناپذیر است. نگاه را باید فراتر از حال و قدرت سایبری را در آینده جستجو کرد. یعنی همین یک بیت اطلاعات نیز ممکن است منجر به استثمار سده‌های آینده شود.
 
ارزیابی ریسک امنیت سایبری به‌درستی انجام نمی‌شود
 
وی در پاسخ به این سوال که چرا سامانه‌های نظارتی سازمان‌های دولتی و حاکمیتی که مسئولیت حفاظت از اطلاعات را دارند امن نیستند؟ گفت: در مورد اینکه چرا سامانه‌های نظارتی یا غیر نظارتی، امنیت لازم را ندارند، چند نکته مدنظر است. البته عموماً سامانه‌های نظارتی به شبکه اینترنت متصل نیستند و از امنیت نسبی برخوردار هستند اما با این حال حوادث نشان می‌دهد ارزیابی ریسک امنیت سایبری به‌درستی انجام نمی‌شود، یعنی مخاطره به‌دقت کشف نمی‌شود و احتمال وقوع و دارایی در معرض خطر آن مشخص نمی‌شود.
 
کیانخواه گفت: وقتی مدل‌های ارزیابی ریسک دستگاه‌های ناظر بررسی می‌شود، این بی‌توجهی و بی‌دقتی قابل‌مشاهده است. انواع و اقسام ریسک‌ها برای سازمان‌ها از تجربیات و استانداردهای مرتبط استخراج می‌شود. این موضوع فقط حساسیت دستگاه‌ها نسبت به کشف ریسک‌های حقیقی و حیاتی را کاهش می‌دهد.
 
هزینه تجهیزات امنیتی بالاست
 
وی با اشاره به اینکه هزینه تجهیزات امنیتی بالا است و فرایند خرید و آموزش و عملیاتی سازی تجهیزات سازمان‌ها حتی اگر در بودجه مصوبشان باشد، ماه‌ها طول می‌کشد، گفت: مدیریت سازمان‌ها عموماً علاقه‌ای به هزینه در حوزه امنیت ندارند. هزینه برای امنیت در سازمان قابل‌مشاهده نیست. چون در زمان صحت کارکرد، هزینه کرد برای امنیت هدر رفت منابع توصیف می‌شود. وقتی هم که حادثه‌ای رخ می‌دهد عملاً رخ داده است و مدیریت‌ها نیز مسئولیت قبول نمی‌کنند. البته به‌روزرسانی نرم‌افزاری تجهیزات امنیتی و هزینه برای آن هم مغفول است.
 
این پژوهشگر امنیت فضای مجازی گفت: آموزش مستمر و اثربخش هم در حوزه امنیت صورت نمی‌پذیرد و با همان سهل‌انگاری ذکرشده به این حوزه توجه نمی‌شود.
 
چالش اتکا به تکنولوژی‌های حوزه شبکه و امنیت
 
کیانخواه گفت: اتکا به‌صرف تکنولوژی‌های حوزه شبکه و امنیت هم چالش جدی است. به‌طوری که مدیران شبکه و زیرساخت عموماً Vlanبندی، فایروالینگ و اتکا به دستورالعمل‌های صاحبان تکنولوژی را اصل می‌دانند. به نظر می‌آید علاوه بر توجه به این دستورالعمل‌ها، ارزیابی ریسک دقیق دارایی‌های سازمانی و توجه به امنیت بالا همراه با سهولت در ارائه سرویس و معماری دقیق و نظارت‌پذیری شبکه هم لازم است. اتکا بیش از اندازه به تکنولوژی‌ها منجر به کاهش توجه به آسیب‌پذیرهای واقعی شبکه و زیرساخت می‌شود.
 
این پژوهشگر حوزه امینت و حکمرانی فضای مجازی معتقد است که سلامت و صلابت سایبری کشور به متخصصان بخش شبکه و امنیت شبکه گره‌خورده است و بی‌توجهی به مسئله جبران هزینه مبتنی بر عملکرد آنها و کاهش تمرکز تیم‌های توسعه و نگهداری شبکه و زیرساخت منجر به افزایش ریسک‌های امنیتی می‌شود.
 
وی گفت: ذات فعالیت در حوزه سرویس‌های زیرساختی همراه با استرس بالا است. وقتی جبران خدمت نیز به‌درستی انجام نشود مسئولیت‌پذیری کاهش‌یافته و شاکله شبکه یک سازمان که همانند موجودی زنده و ارگانیک نیازمند پایش سلامتی و برطرف کردن مشکلات و چالش‌ها است، به نابودی می‌رود. مسائل سایبر نوبه نو می‌شود و نیاز به تمرکز و نگهداشت مستمر دارد و جبران خدمت متخصصان این حوزه متناسب با بازار کار و شرایط جهانی، ضرورتی برای ارائه خدمات اثربخش به جامعه است.
 
کیانخواه با اشاره به اینکه سازمان‌ها و کسب‌وکارهای خصوصی و دولتی به‌راحتی خدمات مختلفی را با یک خط اینترنت، یک سرور و یک فایروال ارزان برای ذی‌نفعان خود برقرار می‌کنند، تاکید کرد: در صورتی‌که بدون داشتن معماری دقیق شبکه مبتنی بر وضعیت جاری و توسعه پیش رو، تجهیزات مربوطه و نیروی انسانی موردنیاز، نمی‌توان سرویس و خدمتی را دایر کرد. به‌راحتی نباید سرویس‌های داده محور را بدون رعایت دستورالعمل‌های مناسب برقرار کرد. روح دستورالعمل‌ها باید گویای خبرگی و ناظر بر شرایط اجرا باشد و نباید حس بیگانگی با شرایط اجرا و اقتضائات حرفه‌ای را داشته باشد. همیاری لازم است و نه نظارت خشک.

رسیدن مرز سایبری کشور به گیت وی سازمان‌ها

 
یک پژوهشگر حوزه امنیت فضای مجازی با بیان اینکه متاسفانه مرز سایبری کشور به پشت گیت وی سازمان‌ها و شرکت‌ها رسیده است، گفت: دستگاه واحدی باید مسئول جریان داده‌ای و امنیت سایبری کشور شود.
 
احسان کیانخواه پژوهشگر حوزه امنیت و حکمرانی فضای مجازی به تشریح چالش‌های حوزه امنیت سایبری پرداخت و به این سوال پاسخ داد که آیا قوانین فعلی در حوزه امنیت داده در کشور کفایت می‌کند و یا اینکه نیازمند تدوین قوانین و مقررات در حوزه حکمرانی داده هستیم.
 
وی با بیان اینکه در حوزه امنیت داده در فضای مجازی، مسئولیت‌ها نه برای ناظر و نه برای دارنده داده، مشخص نیست، اظهار داشت: اصولاً محور امنیت حراست از دارایی نامشهود یا داده است. یعنی قرار است داده مورد نیاز برای هدفی خاص توسط ذی‌نفعان مشخص، تحت سیاست‌های دقیق و رفتارهای اصولی، به اشتراک و توسعه گذاشته شود و نظامات کنترلی متقن برای آن برقرار شود.
 
کیانخواه با اشاره به اینکه هر سازمان دارای یک ساختار تقسیم وظایف است که هر بخش و جایگاهی کار خود را انجام می‌دهد و این وجه سخت سازمان است، ادامه داد: سازمان دارای یک وجه نرم است که فرآیندها و کارها را به پیش می‌برد. این همان مفهوم حکمرانی است.
 
وی با بیان اینکه اشکال وضعیت جاری در حوزه سازمان‌های ما، وظیفه‌گرا شدن است ادامه داد: یعنی مفهوم حکمرانی ناظر به نتیجه یا پیامد کار انجام نمی‌شود. همانند مثل معروف کندن چاله! یعنی دغدغه مدیران، مجریان زیرساخت و شبکه، متصدیان امنیت سایبری و ناظران حوزه امنیت توجه به جریان و برآیند این فعالیت‌ها نیست. بلکه مساله انجام صرفاً وظیفه مشخص شده، بدون توجه به گام قبل و بعد آن و نتیجه و پیامد مورد انتظار است.
 
نظام جامع امنیت سایبری برای توسعه اقتصاد دیجیتال ایجاد شود
 
این پژوهشگر حوزه امینت و حکمرانی فضای مجازی تاکید کرد: نیازمند برقراری نظام جامع هستیم تا شاکله جریان امنیت را در راستای توسعه دولت الکترونیکی و اقتصاد دیجیتال مشخص کند. عموماً دو نوع نظارت وجود دارد، نظارت مبتنی بر نتیجه که گذشته‌نگر است و با رخداد، خسارت آن شاید اصلاً قابل جبران نباشد و نظارت آینده‌نگرانه که به رصد لحظه‌ای و پیش‌بینی‌ها استوار است.
 
وی با بیان اینکه در این راستا مراکز نظارتی باید یکپارچه شوند و مراکز داده با حفظ محرمانگی باید شناسنامه‌دار باشند، خاطرنشان کرد: شبکه اینترنت داخل کشور از لحاظ شکل جریان داده‌ای نیازمند نظارت مستمر است. جریان‌های ناهنجار باید رصد و کشف و متوقف شود. اینکه مرز سایبری کشور به پشت دروازه ( GateWay) سازمان‌ها و شرکت‌ها رسیده جای تأسف و بازنگری را دارد.
 
کیانخواه با اشاره به اینکه هم اکنون مراکز داده که نیاز به ارائه خدمات برخط دارند، بدون کمک و پناه مطمئن رها شده‌اند و در حد پیامک و اطلاع رسانی‌های سایت محور به آن‌ها توجه می‌شود ادامه داد: نیازمند سازماندهی متمرکز برای استفاده از توان بخش عمومی، دولتی و خصوصی برای ارتقا مستمر امنیت سایبری کشور هستیم. از طرفی دستگاه واحدی باید در حوزه امنیت سایبری مسئولیت‌پذیر باشد که در عین سازماندهی متمرکز و رصد مستمر شبکه و جریان داده‌ای کشور، هم‌گام و هم‌یار دستگاه‌ها در حفظ امنیت سایبری کشور که هم‌ردیف امنیت سرزمینی قرارگرفته، باشد. باید برای دهه‌های آینده از همین امروز آماده شد.
 
چالش جدی دو مرکز ماهر و افتا
 
وی در پاسخ به این سوال که نهادهایی مانند مرکز افتا، مرکز ماهر، سازمان پدافند غیرعامل و پلیس فتا طبق مصوبه شورای عالی فضای مجازی دارای مسئولیت‌هایی در این زمینه هستند اما با این وجود چرا شاهد تعدد اتفاقات در حوزه درز اطلاعات و افشای داده و تهدیدات در فضای مجازی هستیم که هیچیک از این نهادها مسئولیت آن را بر عهده نمی‌گیرند، گفت: اصل وجود قانون اقدام مثبتی است. دستگاه‌های مختلفی در حوزه امنیت فعال هستند و این تقسیم‌کاری برای ایجاد هم‌افزایی خوب است. اما مسئله این است که آیا امنیت و مقابله با حوادث سایبری در این قانون به‌درستی دیده‌شده است؟
 
این پژوهشگر حوزه امنیت و حکمرانی فضای مجازی با اشاره به اینکه شبکه اینترنت کشور از لحاظ دسترسی Flat است، توضیح داد: یعنی درخواست (Request) به یک سرور در مرکز داده داخلی از نقطه‌ای خارج از کشور با مسیریابی‌های بدون مانع وارد می‌شود. البته ذات دسترسی در اینترنت و مسیریابی در شبکه نیز همین است. یعنی با کمترین هزینه دسترسی و حرکت روی گره‌های شبکه، پاسخ (Response) به درخواست ارسال می‌شود.
 
وی ادامه داد: این سهولت مسیر دسترسی به محتوای درون سرورها، برای خرابکاری اینترنتی نیز سهولت برقرار می‌کند. یعنی با کمترین مانع و شاید بدون مانعی، هکرهای اینترنتی به سرور ارائه‌دهنده محتوا دسترسی پیدا می‌کنند. حال بر اساس معماری شبکه ارائه‌دهنده سرویس و توان هکر یا گروه‌های هکری، میزان تاب‌آوری مرکز داده مشخص می‌شود.
 
کیانخواه با اشاره به اینکه امنیت دستگاه‌ها بر اساس سطح اهمیت بین دو مرکز ماهر و افتا تقسیم‌شده است، خاطرنشان کرد: وظیفه این دو مرکز ارتقا، توانمندسازی و مقاوم‌سازی دستگاه‌ها است. ابزار انجام این وظایف، اطلاع‌رسانی، آموزش و نظارت‌های دوره‌ای است.
 
وی با بیان اینکه ابتدا باید بپذیریم هرگونه حادثه سایبری غیرقابل‌جبران بوده یا سخت قابل جبران است، افزود: به‌طور مثال نشت داده هویتی، مالی یا رفتاری کاربران یا از دسترس خارج شدن سرویس‌های حیاتی روزمره مردم قابل جبران است؟ پاسخ خیر است.
 
این پژوهشگر با اشاره به اینکه اشکالات و باگ های نرم‌افزاری و سخت‌افزاری سامانه‌ها عموماً پس از آسیب‌پذیری آشکار می‌شود، ادامه داد: یعنی اول تهدید بالقوه یا بالفعل عملی شده پس از آن فکر چاره می‌شود. حال چقدر هشدارها دقیق است؟ این هشدارها چگونه تشخیص داده می‌شود؟ آیا صرفاً با رصد سامانه‌های امنیتی خارجی هشدارها صادر می‌شود؟ سوالاتی است که باید پاسخ داده شود. بعضاً هم مشاهده‌شده با چند روز تأخیر از اعلام جهانی، هشداری صادر می‌شود. این چالش جدی دو مرکز افتا و ماهر است.
 
دلایل ناکارآمدی مراکز افتا و ماهر
 
به گفته کیانخواه، مراکز داده کمتر همراهی مستمر و سایه به سایه این مراکز را مشاهده می‌کنند و علی‌رغم تلاش‌های زیاد کارکنان مراکز مرتبط با قانون «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» حداقل در یک سال گذشته ضربات جبران‌ناپذیری به فضای سایبر کشور با نشت داده و اطلاعات رخ‌داده است.
 
وی یکی از دلایل اصلی ناکارآمدی این مراکز را شفاف نبودن مسئولیت‌ها در مقابل احتمال حادثه عنوان کرد و گفت: اول اینکه این مراکز خود را پشتیبان می‌بینند و برای خود نقش لجستیکی قائل هستند (حداقل در عمل) و دوم اینکه به علت حجم بالای نفوذ حملات سایبری حساسیت‌ها در کنترل کاهش پیداکرده درصورتی‌که نشت حتی یک بیت داده جبران‌ناپذیر است. نگاه را باید فراتر از حال و قدرت سایبری را در آینده جستجو کرد. یعنی همین یک بیت اطلاعات نیز ممکن است منجر به استثمار سده‌های آینده شود.
 
ارزیابی ریسک امنیت سایبری به‌درستی انجام نمی‌شود
 
وی در پاسخ به این سوال که چرا سامانه‌های نظارتی سازمان‌های دولتی و حاکمیتی که مسئولیت حفاظت از اطلاعات را دارند امن نیستند؟ گفت: در مورد اینکه چرا سامانه‌های نظارتی یا غیر نظارتی، امنیت لازم را ندارند، چند نکته مدنظر است. البته عموماً سامانه‌های نظارتی به شبکه اینترنت متصل نیستند و از امنیت نسبی برخوردار هستند اما با این حال حوادث نشان می‌دهد ارزیابی ریسک امنیت سایبری به‌درستی انجام نمی‌شود، یعنی مخاطره به‌دقت کشف نمی‌شود و احتمال وقوع و دارایی در معرض خطر آن مشخص نمی‌شود.
 
کیانخواه گفت: وقتی مدل‌های ارزیابی ریسک دستگاه‌های ناظر بررسی می‌شود، این بی‌توجهی و بی‌دقتی قابل‌مشاهده است. انواع و اقسام ریسک‌ها برای سازمان‌ها از تجربیات و استانداردهای مرتبط استخراج می‌شود. این موضوع فقط حساسیت دستگاه‌ها نسبت به کشف ریسک‌های حقیقی و حیاتی را کاهش می‌دهد.
 
هزینه تجهیزات امنیتی بالاست
 
وی با اشاره به اینکه هزینه تجهیزات امنیتی بالا است و فرایند خرید و آموزش و عملیاتی سازی تجهیزات سازمان‌ها حتی اگر در بودجه مصوبشان باشد، ماه‌ها طول می‌کشد، گفت: مدیریت سازمان‌ها عموماً علاقه‌ای به هزینه در حوزه امنیت ندارند. هزینه برای امنیت در سازمان قابل‌مشاهده نیست. چون در زمان صحت کارکرد، هزینه کرد برای امنیت هدر رفت منابع توصیف می‌شود. وقتی هم که حادثه‌ای رخ می‌دهد عملاً رخ داده است و مدیریت‌ها نیز مسئولیت قبول نمی‌کنند. البته به‌روزرسانی نرم‌افزاری تجهیزات امنیتی و هزینه برای آن هم مغفول است.
 
این پژوهشگر امنیت فضای مجازی گفت: آموزش مستمر و اثربخش هم در حوزه امنیت صورت نمی‌پذیرد و با همان سهل‌انگاری ذکرشده به این حوزه توجه نمی‌شود.
 
چالش اتکا به تکنولوژی‌های حوزه شبکه و امنیت
 
کیانخواه گفت: اتکا به‌صرف تکنولوژی‌های حوزه شبکه و امنیت هم چالش جدی است. به‌طوری که مدیران شبکه و زیرساخت عموماً Vlanبندی، فایروالینگ و اتکا به دستورالعمل‌های صاحبان تکنولوژی را اصل می‌دانند. به نظر می‌آید علاوه بر توجه به این دستورالعمل‌ها، ارزیابی ریسک دقیق دارایی‌های سازمانی و توجه به امنیت بالا همراه با سهولت در ارائه سرویس و معماری دقیق و نظارت‌پذیری شبکه هم لازم است. اتکا بیش از اندازه به تکنولوژی‌ها منجر به کاهش توجه به آسیب‌پذیرهای واقعی شبکه و زیرساخت می‌شود.
 
این پژوهشگر حوزه امینت و حکمرانی فضای مجازی معتقد است که سلامت و صلابت سایبری کشور به متخصصان بخش شبکه و امنیت شبکه گره‌خورده است و بی‌توجهی به مسئله جبران هزینه مبتنی بر عملکرد آنها و کاهش تمرکز تیم‌های توسعه و نگهداری شبکه و زیرساخت منجر به افزایش ریسک‌های امنیتی می‌شود.
 
وی گفت: ذات فعالیت در حوزه سرویس‌های زیرساختی همراه با استرس بالا است. وقتی جبران خدمت نیز به‌درستی انجام نشود مسئولیت‌پذیری کاهش‌یافته و شاکله شبکه یک سازمان که همانند موجودی زنده و ارگانیک نیازمند پایش سلامتی و برطرف کردن مشکلات و چالش‌ها است، به نابودی می‌رود. مسائل سایبر نوبه نو می‌شود و نیاز به تمرکز و نگهداشت مستمر دارد و جبران خدمت متخصصان این حوزه متناسب با بازار کار و شرایط جهانی، ضرورتی برای ارائه خدمات اثربخش به جامعه است.
 
کیانخواه با اشاره به اینکه سازمان‌ها و کسب‌وکارهای خصوصی و دولتی به‌راحتی خدمات مختلفی را با یک خط اینترنت، یک سرور و یک فایروال ارزان برای ذی‌نفعان خود برقرار می‌کنند، تاکید کرد: در صورتی‌که بدون داشتن معماری دقیق شبکه مبتنی بر وضعیت جاری و توسعه پیش رو، تجهیزات مربوطه و نیروی انسانی موردنیاز، نمی‌توان سرویس و خدمتی را دایر کرد. به‌راحتی نباید سرویس‌های داده محور را بدون رعایت دستورالعمل‌های مناسب برقرار کرد. روح دستورالعمل‌ها باید گویای خبرگی و ناظر بر شرایط اجرا باشد و نباید حس بیگانگی با شرایط اجرا و اقتضائات حرفه‌ای را داشته باشد. همیاری لازم است و نه نظارت خشک.

جاسوس‌افزار «پگاسوس» ۵۰ هزار قربانی دارد

مرکز مدیریت راهبردی افتای ریاست جمهوری اعلام کرد: بر اساس اطلاعات به دست آمده، جاسوس‌افزار پگاسوس (Pegasus) بیش از ۵۰ هزار نفر از مقامات، افراد ذی‌نفوذ، روزنامه‌نگاران و مخالفان حکومت‌ها را قربانی خود کرده است.
 
به گزارش روابط عمومی مرکز مدیریت راهبردی افتا (امنیت فضای تولید و تبادل اطلاعات) تاکنون ۱۸ رئیس جمهور، پادشاه، نخست وزیر و همچنین نخست وزیر سابق در دام جاسوس‌افزار پگاسوس افتاده‌اند و همه اطلاعات آنان در موبایل‌های دارای سیستم iOS در اختیار مهاجمان سایبری قرار گرفته است.
 
بنابر اعلام این مرکز: جاسوس‌افزار پگاسوس، به‌صورت Zero-Click یعنی بدون نیاز به اقدام و تعاملی از سمت مالک گوشی، در دستگاه قربانی مستقر می‌شود و تقریباً به هر اطلاعات و محتوایی که در دستگاه وجود دارد دسترسی خواهد داشت.
 
 SMS و پیغام‌های پیام‌رسان‌هایی چون واتس‌اپ و تلگرام، لیست مخاطبان، تقویم، تصاویر، میکروفون، دوربین و حتی محل یابی از طریق GPS دستگاه، شکار جاسوس افزار پگاسوس است.
 
این جاسوس‌افزار، همه تماس‌های قربانیان را ضبط می‌کند و حتی قادر است میکروفون و دوربین گوشی تلفن همراه را روشن کند. از آنجا که این جاسوس افزار اسرائیلی است، با یک نگاه استدلالی و منطقی می‌توان نتیجه گرفت که قطعاً مقامات و خبرنگارانی از جمهوری اسلامی ایران هدف و قربانی این جاسوس‌افزار بوده و هستند.
 
کارشناسان مرکز مدیریت راهبردی افتا در این باره خواهان هوشیاری کامل دارندگان گوشی تلفن همراه آیفون تولیدی شرکت Apple هستند.
 
در بین نام قربانیان این جاسوس افزار نام رابرت مالی، نماینده ویژه آمریکا در امور ایران و امانوئل مکرون، رئیس‌جمهور فرانسه، نشان داده است که رژیم صهیونیستی برای دست‌یابی به اهدافش، حتی به متحدین طراز اول خود نیز رحم نمی‌کند.
 
بر اساس اطلاعاتی که در حال تکمیل شدن است، این جاسوس‌افزار بیش از ۵۰ هزار نفر از مقامات، افراد ذی‌نفوذ، روزنامه‌نگاران و مخالفان حکومت‌ها را قربانی خود کرده است.
 
جاسوسی از خبرنگاران، فعالان اجتماعی و حتی نخست‌وزیر سابق هند، با استفاده از جاسوس افزار Pegasus تولیدی شرکت اسرائیلی NSO Group از جمله مهم‌ترین خبرهای منتشر شده در چند روز گذشته در حوزه سایبری در دنیا و سومین خبر از جاسوسی گسترده این جاسوس افزار در دنیا بوده است.
 
پیش از این، جاسوسی دولت بحرین با استفاده از این جاسوس افزار از مردم و روزنامه‌نگاران معترض و مخالفان حکومت منامه و عربستان سعودی با استفاده از پگاسوس از جمال خاشقجی، فعال سیاسی اجتماعی مخالف حکومت ریاض، در صدر خبرهای حوزه سایبری دنیا قرار گرفته بود.
 
این جاسوس‌افزار فقط توسط دولت‌ها و نهادهای زیرمجموعه دولت‌ها قابل خریداری است و امکان فروش نیز پس از کسب اجازه از وزارت دفاع رژیم صهیونیستی امکان‌پذیر است.
 
مشتری‌های پگاسوس، به‌صورت ظاهری و رسمی امکان استفاده از جاسوس افزار پگاسوس را فقط علیه افراد مظنون به تروریسم و جنایت دارند، اما واقعیت این است که حداقل در بیش از ۱۵ کشور این جاسوس‌افزار علیه روزنامه‌نگاران، فعالان حقوق بشر، اپوزیسیون حکومت‌ها، وکلا و تُجار استفاده شده است.
 
اگر چه اخبار از جاسوسی پگاسوس فقط از پلتفرم iOS از شرکت Apple حکایت می‌کند که روال آن کمی دشوارتر و زمان‌برتر است اما برخی یافته‌ها حاکی از آن است که جاسوسان با استفاده از پگاسوس در پلتفرم اندروید بسیار ساده‌تر و با سهولت بیشتری جاسوسی می‌کنند.
 
بر اساس اطلاعاتی که تا لحظه فعلی رصد شده است، تقریباً امکان آلوده‌سازی هر دستگاه iPhone وجود دارد اما اینکه قابلیت آلوده‌سازی Zero-Click  یعنی بی‌نیازی به اقدام و تعاملی از سمت قربانی، در کدام نسخه امکان‌پذیر باشد، کاملاً مشخص نیست و به شرایط و پیش‌نیازهای مختلفی وابسته است.
 
مرکزمدیریت راهبردی افتا، برای تشخیص آلوده بودن گوشی‌های تلفن همراه به این جاسوس‌افزار راهنمایی را تهیه کرده است. در این راهنما علاوه بر معرفی هر چه بیشتر جاسوس‌افزار Pegasus و تاریخچه جاسوسی و چگونگی استفاده از آن، راه‌های ورود این جاسوس‌افزار به گوشی‌های تلفن همراه هوشمند، روند تشخیص آلوده‌سازی در iOS، طرح بازیابی حادثه پس از آلوده‌سازی، و شیوه‌های دفاع از خود را در مقابل جاسوس‌افزار Pegasus تشریح کرده‌اند.

کشف یک سوءاستفاده جدید از سیستم عامل ویندوز

 
مرکز افتا با هشدار درباره کشف یک سوءاستفاده جدید از ویندوز، اعلام کرد: فعال بودن تأیید اصالت‌سنجی NTLM و غیر فعال بودن برخی محافظت‌ها، ویندوز را در برابر مهاجمان سایبری آسیب‌پذیر کرده است.
 
به‌ گزارش مرکز مدیریت راهبردی افتا، مهاجمان سایبری با اجرای حملاتی معروف به NTLM Relay ، کنترل Domain Controller (کنترل کننده دامنه) و کل دامنه شبکه را در اختیار می‌گیرند.
 
مهاجمان پس از کنترل Domain Controller و در اختیار گرفتن کل دامنه شبکه، هر فرمان دلخواه خود را در سطح دامنه به اجرا در می‌آورند.
 
محققی که این تکنیک مهاجمان سایبری را کشف کرده و نام آن را PetitPotam گذاشته، معتقد است که این مسئله را نمی‌توان به‌عنوان یک آسیب‌پذیری در نظر گرفت بلکه به‌نوعی، سوءاستفاده از یک تابع معتبر است.
 
این تابع معتبر که به صورت مخفف MS-EFSRPC نامیده می‌شود، برای انجام عملیات نگهداری و مدیریت داده‌های رمزگذاری شده‌ای استفاده می‌شود که به‌صورت از راه دور، در بستر شبکه ذخیره و فراخوانی می‌شوند.
 
این محقق امنیتی اهل فرانسه، اظهار داشته که این تکنیک ممکن است در حملات دیگر سایبری نیز استفاده شود.
 
محقق کاشف PetitPotam که معتقد است تنها راه مقابله با این حملات، غیرفعال‌کردن تأیید اصالت‌سنجی NTLM یا فعال‌کردن محافظت‌هایی همچون امضاهای SMB و LDAP و همچنین Channel Binding در ویندوز است، در عین حال تاکید می‌کند: متوقف کردن سرویس EFS نیز مانع سوءاستفاده از این تکنیک مهاجمان سایبری نمی‌شود.
 
جزئیات بیشتر در خصوص تکنیک PetitPotam، شیوه کار مهاجمان با استفاده از آن، اطلاعات فنی و نمونه کدهای بهره‌جوی (PoC) در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.

سازمان‌های ایرانی هدف نوعی بدافزار با دام‌هایی به زبان فارسی

 
مرکز افتا اعلام کرد که سازمان‌های ایرانی در هفته‌های اخیر هدف بدافزار Agent Tesla قرار گرفته‌اند که در جریان آن ایمیل‌های جعلی با ظاهر و محتوای قابل‌باور به کاربران ارسال شده است.
 
به‌گزارش مرکز مدیریت راهبردی افتا، نکته قابل‌توجه در خصوص ایمیل‌های فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
 
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را روی سایت‌های معتبر قرار می‌دهند تا ارتباط با آن سایت‌ها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
 
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روش‌هایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفته‌اند.
 
اصلی‌ترین روش انتشار Agent Tesla، ایمیل‌های Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
 
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشی‌سازی بدافزار، توزیع و بهره‌برداری از آن به روش خود خواهند بود.
 
در نسخه‌های اخیر Agent Tesla از روش‌های مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکس‌ها و در جریان تحلیل‌های ایستا بهره گرفته شده است.
 
بدافزار Agent Tesla می‌تواند در بستر برخی از پروتکل‌ها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و داده‌های به سرقت رفته کاربران را این سرور ارسال کند.
 
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم می‌کند.
 
پروتکل پرطرفداربرای بدافزار ، SMTP است. چون برای مهاجمان امن‌تر بوده و بهره‌گیری از آن به زیرساخت کمتری نیاز دارد.
 
یکی از اصلی‌ترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامه‌های هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش می‌یابد.
 
از جمله برنامه‌هایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش می‌کند، مرورگرها، نرم افزارهای مدیریت ایمیل و سایر نرم‌افزارها است.
 
طبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیل‌های حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
 
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاه‌ها و سازمان‌های دارای زیرساخت حیاتی تاکید می‌کنند که از ضدویروس قدرتمند و به‌روز استفاده کنند.
 
آموزش و راهنمایی کاربران سازمان به‌صرفنظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن فایل‌های ارسالی بدافزار داشته باشد.
 
مسدود کردن ایمیل‌های دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی روی تمامی دستگاه‌ها و استفاده نکردن از هرگونه سیستم‌عامل از رده‌خارج شده از دیگر توصیه‌های امنیتی مرکز افتا است.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاه‌ها و سازمان‌های دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نشود.
 
اطلاعات فنی و امنیتی درباره بدافزار Agent Tesla، روش‌های نفوذ به سیستم‌های سازمان‌ها، قابلیت‌های نسخه‌های جدید و مشخصات پروتکل‌های مورد سو استفاده این بدافزار در پایگاه اینترنتی مرکز افتا منتشر شده است.

توصیه های افتا برای پیشگیری از حملات هکرهای دولتی

به دنبال بهره برداری هکرهای دولتی از آسیب پذیری تجهیزات Fortinet ، مرکز افتا با اعلام هشدار، توصیه هایی را برای راهبران سیستم در سازمان‌ها و دستگاه‌های زیرساخت حیاتی کشور منتشر کرد.
 
به گزارش مرکز مدیریت راهبردی افتا، مهاجمان سایبری APT معروف به گروه هکرهای دولتی با نفوذ به شبکه‌ها و سیستم‌ها از طریق آسیب‌پذیری‌های Fortinet و پس از دسترسی به وب سرور، سرورها و حساب کاربری جدید ایجاد می‌کنند. این گروه APT با استفاده از سرورهای در معرض خطر، بخش‌های مهم زیرساخت را برای اجرای حملات آینده هدف قرار می‌دهند.
 
طبق گفته FBI ، گردانندگان APT در حال ساختن حساب‌های «WADGUtilityAccount» و «elie» در سیستم‌های هک شده از ارگان‌های دولت‌های محلی هستند، تا از آنها برای جمع‌آوری اطلاعات از شبکه آسیب‌دیده قربانیان استفاده کنند.
 
گروه APT به طور فعال از سه نوع آسیب پذیری استفاده می‌کند که مشخصات آنها در پایگاه اینترنتی مرکز مدیریت راهبردی افتا ذکر شده است.
 
گروه APT از هفت ابزار همچون (سرقت نام‌های کاربری و رمزهای عبور)، (استخراج رمزنگاری)، (افزایش دسترسی)، (ابزار مدیریت Windows)، (رمزگذاری داده)، WinRAR و (انتقال فایل) برای اجرای حملات خود استفاده کرده است.
 
هکرهای دولتی یاAPT ها در نوامبر ۲۰۲۰ با سوءاستفاده از یک نوع آسیب‌پذیری، به بیش از ۵۰ هزار سرور Fortinet VPN زیرساخت‌های حیاتی مانند دولت‌ها و بانک‌ها، نفوذ کردند.
 
شرکت فورتی‌نت در زمینه محصولاتی همچون نرم‌افزار، لوازم و خدمات سایبر مانند فایروال‌ها، ضد ویروس، پیشگیری از نفوذ و امنیت فعالیت دارد و چهارمین شرکت امنیت شبکه به‌شمار می‌رود.
 
سازمان اطلاعات مرکزی و اداره تحقیقات فدرال آمریکا، در ماه آوریل سالجاری میلادی در مورد حملات گردانندگان APT با سوءاستفاده از چندین آسیب‌پذیری در سرورهای Fortinet FortiOS، هشدار داده بودند.
 
این دو سازمان برای کاهش اثرات حملات APT به تمامی راهبران سیستم توصیه کرده اند که بدون درنگ وصله‌های امنیتی سه آسیب پذیری فعلی Fortinet را نصب و همه domain contrellerها، سرورها، ایستگاه‌های کاری و دایرکتوری‌های فعال را بازرسی کنند.
 
بررسی برنامه زمان‌بندی وظایف برای انجام کارهای برنامه‌ریزی نشده و تهیه پشتیبان از داده‌ها، به طور منظم از دیگر اقدامات کاهش اثرات حملات هکرهای دولتی عنوان شده است.
 
کارشناسان امنیتی مرکز مدیریت راهبردی افتا با هدف جلوگیری از چنین حملات و پالایش سیستم‌ها و شبکه‌های به خطر افتاده، به راهبران سیستم‌های زیرساخت‌ها توصیه اکید می‌کنند که اقدامات پیش‌گیرانه را به جدیت دنبال کنند.
 
مرکز مدیریت راهبردی افتا، از همه راهبران سیستم‌ها می‌خواهد تا در اسرع وقت، گزارش‌های آنتی‌ویروس را به طور مرتب بررسی و تقسیم‌بندی شبکه را اجرا کنند و همچنین از احراز هویت چندعاملی استفاده، پورت‌های استفاده نشده از راه دور یا همان پروتکل ریموت دسکتاپ (RDP) را غیر فعال و آخرین به‌روز رسانی‌ها را نصب کنند، تا اثرات حملات هکرهای دولتی را کاهش یابد.
 
کارشناسان امنیتی مرکز مدیریت راهبردی افتا از همه متخصصان، کارشناسان و مدیران IT سازمان‌ها و دستگاه‌های دارای زیرساخت حیاتی خواسته اند تا از استفاده مجدد از رمزهای عبور قدیمی خودداری و سعی کنند به طور مرتب رمزهای عبور خود را تغییر دهند و همچنین ضمن بازرسی حساب‌های کاربری با دسترسی‌های Administrator، ابزارهای آنتی‌ویروس را نصب و به طور مرتب به‌روز کنند.
 
استفاده همیشگی از یک شبکه خصوصی مجازی (VPN) و غیر فعال کردن هایپر لینک‌ها در ایمیل‌های دریافتی از دیگر توصیه‌های امنیتی مرکز مدیریت راهبردی افتا به راهبران سیستم در سازمان‌ها و دستگاه‌های زیرساخت حیاتی در برابر حملات هکرهای دولتی (APT) است.

مهاجمان سایبری سامانه‌های ویندوزی را آلوده کردند

 
مرکز مدیریت راهبردی افتای ریاست جمهوری با اشاره به شناسایی یک حمله سایبری پیشرفته، نسبت به آلوده سازی سامانه های فعال با سیستم عامل ویندوز توسط این گروه مهاجمان سایبری هشدار داد.
 
به گزارش مرکز مدیریت راهبردی افتا، گروهی از مهاجمان سایبری از سال ۲۰۱۹ در کارزاری به نام TunnelSnake با به‌کارگیری حداقل یک روت‌کیت اختصاصی، به آلوده‌سازی سامانه‌های با سیستم‌عامل ویندوز اقدام کرده‌اند که این جاسوسی و سرقت اطلاعات همچنان ادامه دارد.
 
روت‌کیت‌ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم‌عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می‌دارند.
 
این روت‌کیت که منابع تحقیقاتی کسپرسکی آن را Moriya نام‌گذاری کرده‌اند یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه‌ای قربانی و ارسال فرمان‌های مورد نظر آنها قادر می‌سازد.
 
به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه می‌دهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند.
 
سطح هسته یا همان Kernel Space جایی است که هسته سیستم‌عامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
 
کد مخرب Moriya فرمان‌های مهاجمان را از طریق بسته‌های دست‌کاری شده خاصی دریافت می‌کند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد.
 
این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان می‌دهد که آنان تلاش می‌کنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک‌ها) برای مدت‌ها بدون جلب‌توجه در شبکه قربانی ماندگار بمانند.
 
در کارزار TunnelSnake، برای از کار انداختن و متوقف کردن اجرای پروسه‌های ضدویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاه‌های آسیب‌پذیر، از ۴ ابزار دیگر کمک گرفته شده است.
 
تعداد سازمان‌هایی که کسپرسکی Moriya را در شبکه آنها شناسایی کرده، کمتر از ۱۰ مورد هستند و همه آنها سازمان‌های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده‌اند.
 
نشانه‌های آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا در دسترس است.