چگونه دیشب زیرساخت اینترنت ایران مورد حمله گسترده سایبری قرار گرفت؟

دیشب و در آخرین ساعت‌های روز ۱۷ فروردین، زیرساخت اینترنت در سراسر جهان مورد حمله گسترده سایبری قرار گرفت. در چندین کشور از جمله ایران، این حمله هکری باعث اختلال در مراکزداده ایرانی شد تا مدیران شبکه تصمیم به خاموش کردن آن‌ها یا برگرداندن نسخه‌های پشتیبان بگیرند.

در همان ساعت‌های اولیه اختلال در اینترنت و مراکزداده؛ وزیر ارتباطات با یک توییت این حمله را مورد تایید قرار داد. ظاهرا هکرها توانسته بودندبه درون روترهای برخی مراکزداده ایرانی نفوذ کرده و آن‌ها را به تنظیمات پیش‌فرض یا کارخانه برگردانند و البته پرچم ایالات متحده را نیز در کنسول این روترها حک کنند:

البته، محمدجواد آذری جهرمی خیلی سریع در توییت دیگری اعلام کرد، مشکل روترها و مراکزداده برطرف شده و بسیاری از اختلالات به حالت عادی برگشته است:

صبح امروز هم کارشناسان مرکز ماهر و رئیس مرکز تشخیص سایبری اعلام کرد در حمله گسترده سایبری دیشب هیچ‌گونه نشت اطلاعات یا دسترسی نامتعارف و غیرمجازی رخ نداده است و کاربران ایرانی از این جهت خیال‌شان آسوده باشد.

آسیب‌پذیری روترهای سیسکو

اما سوال اساسی این است که چگونه یک حمله سایبری توانسته به این سرعت زیرساخت اینترنت ایران را مختل و به درون روترهای مراکزداده نفوذ کند؟ برخی از سایت‌های خارجی و همین‌طور گزارش‌های اولیه مرکز ماهر جواب این سوال را داده‌اند:

تقریبا ۲۹ مارس (حدود یک هفته پیش) بود که چندین شرکت امنیتی (از جمله تالوس سکیوریتی) از یک آسیب‌پذیری بزرگ در روترهای سیسکو پرده‌برداری کردند. این آسیب‌پذیری روی ۲۵۰ هزار سوییچ و روتر سیسکو مشاهده شده و به مالکان آن‌ها گزارش داده شده است.

این آسیب‌پذیری امنیتی در پروتکل Smart Install اتفاق افتاده است و به هکرها اجازه می‌دهد از طریق پورت باز ۴۷۸۶ به کنسول سوییچ‌های سیسکو دسترسی پیدا کنند و آن‌ها را خاموش یا به تنظیمات پیش‌فرض برگردانند.

به طور دقیق‌تر، هکرها توانسته‌اند به تنظیمات TFTP سرور دسترسی پیدا کنند و با دستکاری و پیکربندی مجدد این فایل، یک ایمیج IOS جدید را در حساب‌های کاربری نصب سوییچ جایگزین فایل IOS قبلی کنند.

این دستکاری‌ها باعث شده به راحتی دستورات IOS را روی سوییچ‌های سیسکو اجرا کنند.

تاخیر در به‌روزرسانی سوییچ‌ها

همان‌طور که گفتیم، خوش‌بختانه مدیران شبکه به سرعت توانستند نسخه‌های پشتیبان را اجرا کرده و سوییچ‌های مراکزداده را به حالت عادی برگردانند. حمله دیشب در چندین کشور انجام شده و هنوز عاملان یا اهداف‌شان به طور کامل مشخص و اعلام نشده است.

واضح است اگر مدیران شبکه در این مدت برملا شدن آسیب‌پذیری پرخطر سوییچ‌های سیسکو؛ آن را جدی گرفته و سریعا بسته‌های به‌روزرسانی و امنیتی را نصب می‌کردند؛ جلوی این حمله به طور عادی گرفته می‌شد.

یکی از کارشناسان فنی مراکزداده‌ای که مورد حمله قرار گرفته‌ است؛ در پاسخ به این سوال که چرا زودتر بسته‌های امنیتی نصب نشده‌اند به خبرنگاران گفته است:

«تعداد آپدیت‌هایی که برای اینگونه تجهیزات دریافت می‌کنیم زیاد است. برای تجهیزاتی که استفاده می‌کنیم، روزانه بین ۳۰۰ الی ۵۰۰ به روز رسانی دریافت می‌کنیم. شرکت‌های بزرگ نمی‌توانند به محض دریافت به‌روز رسانی، آن را نصب کنند، چرا که خود به روز رسانی هم باعث اختلال می‌شود. از طرفی پیش از نصب، حتما باید به روز رسانی‌ها را در فضای آزمایشگاهی نصب کنیم و مطمئن شویم که مشکلی وجود ندارد، سپس می‌توانیم آن را وارد سیستم کنیم. آپدیت سریع با فاصله کوتاه ممکن نیست چرا که گاهی، ریسک بعضی از به روز رسانی‌ها از خود آسیب‌پذیری‌ها بالاتر بوده و این تجربه بارها برای ما تکرار شده است.»

شرکت سیسکو نیز در وبلاگ خود گزارش داده این حمله از ۵ آوریل (۱۶ فروردین) در سراسر جهان آغاز شده و تا کنون حدود ۱۶۸ هزار سیستم تحت تاثیر قرار گرفتند. البته، این آمارها پیش از حملات دیشب به مراکزداده و سوییچ‌های ایرانی است.

وزیر ارتباطات هم گزارش داده در ایران تنها ۳۵۰۰ روتر سیسکو از چند صد هزار دستگاهی که فعال بودند؛ مورد حمله قرار گرفتند. به علاوه، اپراتورهای موبایل به طور کامل از این حمله سایبری در امان بودند.