شباهت حملات شب گذشته به حملات هکرهای روس به شرکت‌های آمریکایی

انتخاب : شب گذشته ، هکرها از نقص در سوئیچ های سیسکو برای حمله به زیرساخت های مهم سوء استفاده کرده و برای ساعاتی برخی از سایت های مهم که از سوئیچ‌های سیسکو استفاده می کردند از دسترس خارج شدند.

ای ویک گزارش داد ، واحد امنیتی تالوس به سرعت پس از این حادثه هشداری را برای سازمان هایی که تکنولوژی هوشمند سازی سیسکو استفاده می کردند ارسال کرد. بر اساس گزارش ها به نظر می رسید که مهاجمان در حال تلاش برای دستیابی به زیرساخت های بحرانی در کشورهای مختلف با بهره گیری از نقص نرم افزاری در برخی از سوئیچ های سیسکو بودند . نقصی که برای، که بیش از یک سال گذشته روندی نگران کننده داشت.

بر اساس اطلاعاتی که در قالب یک پست وبلاگی در ۵ آوریل توسط واحد امنیت Talos سیسکو منتشر شده است، حملات سایبری از بهره گیری از آنچه مقامات سیسکو از وضعیت سوء استفاده پروتکل در سرویس گیرنده هوشمند سیسکو می نامند، طراحی شده است. به نظر می رسد این حملات، مشابه با حملاتی هستند که مدتی پیش از سوی هکرهای روس تبار بر علیه برخی از سازمان ها و شرکت های آمریکایی تبار انجام شد.

سیسکو در ماه فوریه سال ۲۰۱۷ نیز هشدار داده بود که در جریان بررسی های خود کشف کرده تعداد اسکن اینترنتی برای ورود به سیستم هایی که مشتری Smart Install Client آن را با کنترل های امنیتی بررسی و پیکر بندی نکرده افزایش یافته است. به زبان ساده تر ، بدون کنترل های امنیتی مناسب، هکرها می توانند دستورات جدید را به سوئیچ هایی که سیستم عامل IOS سیسکو یا سیستم عامل IOS XE را اجرا می کنند ارسال کنند.

یک محقق در حوزه حمله سایبری به سیسکو در خصوص این موضوع می گوید : "تغییر تنظیمات سرور TFTP تنظیم فایل های exfiltrate تنظیمات از طریق TFTP، تغییر فایل پیکربندی، جایگزین تصویر IOS، و تنظیم حساب ، اجازه می دهد آسیب پذیری ها بالاتر رود . اگر چه این آسیب پذیری در معنی کلاسیک رخ نمی دهد . اما سوء استفاده از این پروتکل یک بردار حمله است که باید فورا کاهش یابد. "

سیسکو در سال ۲۰۱۶ از ابزار شودان برای پیدا کردن بیش از ۱۶۸ هزار سیستم عامل آسیب دیده در سراسر جهان استفاده کرد. اما برخی از اطلاعات فاش شده اولیه از مطالعات ۱۴ ماه پیش شرکت سیسکو نشان می دهد این شرکت در ماه نوامبر ۲۰۱۷ به بالاترین حد آسیب پذیری خود رسیده است .

بر اساس گزارش های منتشر شده در تاریخ ۲۹ مارس مشخص شد ۲۵۰ هزار آسیب پذیری ، شامل ۸.۵ میلیون دستگاه که پورت آسیب پذیر را باز کرده اند، وجود دارد . احتمالا این اتفاق به این دلیل رخ داده که مشتریان پورت TCP )۴۷۸۶) را به طور پیش فرض باز کرده اند و مدیران شبکه به نحوی آن را متوجه نمی شوند.

با این حال و با وجود این که این نقص های ادامه دار سیسکو شب گذشته برای ساعاتی برخی از سایت های خبری و مهم ایران شامل سایت انتخاب را مسدود کرده بود ، مشکل به سرعت حل شد . بر اساس گزارش های اولیه و بر اساس گفته های وزیر ارتباطات این مشکل فراتر از مرزهای ایران بود و از سوی برخی هکرهای ایالات متحده که اعلام کرده بودند به انتخابات ما کاری نداشته باشید انجام شده بود.