امنیت

واشنگتن پست چگونه هک شد؟

بعد از یکی دو تا پست گذشته در مورد ارتش الکترونیک سوریه و هک های موفقی که انجام داده و با توجه به اینکه می دونستم روش اصلیشون فیشینگه، کمی در مورد کارهای موفقشون جستجو کردم.

فیشینگ چیست؟
این روش در واقع فریفتن کاربره (با سایت های جعلی و نظیر آن) برای به دست آورد اطلاعات حیاتی مثل پسورد. در ویکیپدیا فارسی می تونید توضیحات بیشتری رو ببینید که من از تکرارشون اجتناب می کنم.

هک شدن واشنگتن پست
بریم سراغ مطلب اصلی. حمله به واشینگتن پست از یه آخر هفته شروع شد. یک صفحه جعلی به شکل لاگین وبمیل سایت اصلی برای برخی از اعضای گروه خبر ایمیل شده بوده احتمالا. اطلاعات دقیقتری پیدا نکردم که چطور فریب دادن نفرات رو برای رفتن به صفحه جعلی ولی معمولا این کار با یک ایمیل جعلی انجام می شه. ارسال ایمیل جعلی با وجود همه روش های جلوگیری از دریافت این ایمیل ها (مثل اسپم فیلترینگ سرویس جیمیل) هنوز امکان پذیره.

صفحه جعلی لاگین به وبمیل

صفحه جعلی لاگین به وبمیل

ابتدا یکی از نویسندگان گروه ورزش فریب می خوره و پسوردش رو وارد می کنه. اگر با دقت عکس بالا رو نگاه کنید می بینید که آدرس سایت با آدرس سایت واشنگتن پست متفاوته ولی به خاطر طولانی بودن آدرس و دقت نکردن کاربر، هکر به هدفش رسیده. حالا دیگه کار هکر راحت تره. با استفاده از یه ایمیل شناخته شده (فرض کنید دوستتون) به بقیه قربانی ها ایمیل می زنه. همونطور که در اییل زیر می بینید، گفته شده که از طرف ایمیل هک شده برای سایرین ایمیل های فریب دهنده ارسال می شه

ایمیل داخلی واشنگتن پست

ایمیل داخلی واشنگتن پست

همونطور که از متن برمیاد روی کامپیوتر قربانی هم یک کیلاگر قرار گرفته به احتمال زیاد چون با وجود تغییر پسورد بازهم هکرها به ایمیل دسترسی دارند.

همونطور که در تصویر اول می بینید صفحه جعلی در دامنه site88.net آپلود شده. بیایم یه نگاه دقیقتر به این دامنه بدازیم.
اطلاعات ثبت کننده سایت که مخفی شده:

اطلاعات ثبت کننده و ادمین

اطلاعات ثبت کننده و ادمین

عکسهای صفحه اول این دامنه در سال های ۲۰۰۸، ۲۰۱۲ و ۲۰۱۳ نشون می ده که در تمام این سالها دامنه روی سرورهای رایگان ۰۰۰webhost.com استفاده شده.

هک شدن اونیون
این سایت هم توسط گروه SEA هک شد. نقطه شروع از ایمیل جعلی بود که مثلا از طرف یکی از اعضای سازمان ملل برای اعضای این سایت ارسال شد که حاوی لینکی بود به خبری از واشنگتن پست در مورد این اونیون

ایمیل جعلی

ایمیل جعلی

این لینک در واقع قربانی رو منتقل می کرد به لینک دومی که این بود:
http://hackedwordpresssite.com/theonion.php
و سپس منتقل می شد به لینک دیگری که این بود:
http://googlecom.comeze.com/a/theonion.com/Service.Login?&passive=1209600&cpbps=1&continue=https://mail.google.com/mail/
لینک سوم که دیگه از کار افتاده و صفحه ای بوده که روی سرورهای رایگان ۰۰۰webhost.com بارگذاری شده بود. این صفحه از قربانی اطلاعات حساب گوگل رو می پرسید و سپس به صفحه گوگل منتقل می شد.

این ایمیل به تعداد محدودی از کاربران فرستاده شده بود که حساسیت ایجاد نکنه. یکی از کاربران فریب می خوره و اطلاعات رو وارد می کنه. حالا هکر با استفاده از اکانت به دست آورده، دوباره ایمیل رو به اعضای سایت می فرسته. اکثر کاربرها لینک رو باز می کنند ولی فقط دو نفر از اونها فریب می خورند و پسوردشون در اختیار هکر قرار می گیره. یکی از اونها به اکانت های شبکه های اجتماعی سایت دسترسی داشته. اینجوری می شه که اکانت های سایت هک می شه.
حالا زمانی می رسه که پشتیبان های امنیت سایت متوجه می شن و ایمیلی به همه اعضا می فرستند که سایت هک شده و پسوردشون رو تغییر بدن. هکرها دوباره از این موقعیت استفاده می کنند و ایمیل مشابهی به کاربران (منهای اعضای آی‌تی) می فرستند و لینک صفحه فیشینگ دیگه ای رو به اسم لینک تغییر پسورد می فرستند. این حمله جدید منجر به فریب دو عضو دیگه می شه که یکی از اونها دسترسی به اکانت توییتر سایت داشته و بنابرای اکانت توییتر هم در اختیار هکرها قرار می گیره.
در این مرحله آِ‌تی به این نتیجه می رسه که تشخیص امن و هک شده بودن اکانت ها غیر ممکنه. بنابراین پسورد همه اکانت ها رو شخصا تغییر می ده.

همونطور که قبلا هم گفتم اون ضرب المثل معروف رو، امنیت یک مجموعه به اندازه امنیت ضعیف ترین بخش اون مجموعه است. اینجاست که باز هم می رسیم به نگرش غلط مدیران آی‌تی ایرانی مبنی بر بیشتر کردن محدودیت کاربرها برای داشتن امنیت بیشتر. برای جلوگیری از حملاتی مثل فیشینگ، قدم اول آموزشه، قدم دوم تقویت سیستمهای فیلتر کردن ایمیل های فیشینگ و قدم سوم طراحی سیستم های دسترسی و توزیع ایمیل ها و اکانت ها بر پایه یک ساختار امن.

منبع و منبع

استاندارد
امنیت

اطلاعات جدیدی در مورد ارتش الکترونیک سوریه

هفته گذشته رو می شه اختصاص داد به ارتش الکترونیک سوریه SEA. هم تونستن توییتر و نیویورک تایمز رو هک کنند (تغییر DNS) و هم خودشون هک شدن (البته تکذیب می کنند).
اطلاعات مختلفی از حداقل دو منبع در مورد این گروه به بیرون درز کرده. که بعد در سایت های مختلف بخشی از آنها تکرار شده. آنچه که در مورد این گروه گفته می شه و شایعاتی که بوده با فاش شدن عکس های سرور هک شده سایتشون و تاریخچه دستورات اجرا شده و نیز لیست اسامی و ایمیل ها و آدرس لینکدین اونها، تقویت شده. اینکه نفر اصلی این گروه شخصی به اسم حاتم دیب، یک سوری الاصل ساکن سنت پترزبورگ روسیه است. همچنین مدیر سایت این گروه فردی به اسم Ali Farha است که همسن حاتم و هم‌دانشگاهی اون در سوریه است. روزنامه دولتی سوریه در مقاله ای که در سال ۲۰۱۱ چاپ کرد، اطلاعاتی در مورد این گروه و حاتم دیب را منتشر کرده است.

ایمیل ادمین سایت که منسوب به حاتم دیب است

ایمیل ادمین سایت که منسوب به حاتم دیب است

هفته گذشته ابتدا یک تصویر که نشان دهنده بخشی از اطلاعات کاربران سایت این گروه بود منتشر شد.

لیست کاربران سایت متعلق به SEA

لیست کاربران سایت متعلق به SEA

پس از مصاحبه یکی از اعضای این گروه با سایت mashable و تکذیب هک شدن سایتشون و یا نگهداری اطلاعات حساس روی سرورها و نیز تکذیب رابطه کاری با حاتم، بخش بزرگی از اطلاعات مرتبط با این گروه در سایتی منتشر شد. این سایت فقط از طریق شبکه tor قابل دسترسیه اما یک سایت فرانسی گزارشی از اطلاعات منتشر شده را کار کرده است (توجه: این سایت حاوی عکس هاییه که ممکنه نخواهید ببینید)

لیست فولدرهای سرور

لیست فولدرهای سرور

و البته کاربرها:

اکانت های توییتر و لینکدین اعضای گروه

اکانت های توییتر و لینکدین اعضای گروه

جالبه که یه سری از عکس های شخصی اعضای گروه در اکانت دراپ باکسشون هم لو رفته که بعضی هاش عکس های خیلی شخصیه 🙂

همچنین تاریخچه دستورات اجرا شده روی سرور نشون می ده که ادمین از مسنجر imo استفاده می کنه

تاریخچه دستورات

تاریخچه دستورات

و البته یک نکته جالب دیگه. دایرکتوری ادمین سایت محدودیت IP داره و با چک کردن لیست IP های مجاز به عکس زیر می رسیم:

لیست IP های مجاز

لیست IP های مجاز

این لیست شامل تعدادی از ناشناس کننده های سرویس tor و تعدادی سایت در اردن است. مهمترین نکته قرار گرفتن IP وزارت آموزش عالی اردن و وابسته فرهنگی عربستان در اردن در این لیسته.

البته بعد از انتشار این اسناد اکانت توییتر منتسب به گروه “ارتش الکترونیک سوریه” اعلام کرد عکس ها تقلبی بوده و یا مربوط به هک اتفاقی بعضی آدم های طرفدار حکومت سوریه است.

اطلاعات این پست برگرفته از اینجا، اینجا و اینجاست.

استاندارد
امنیت

هک شدن توییتر، نیویورک تایمز و هافینگتون پست

ارتش سایبری سوریه دیروز سایت های بزرگی رو هک کرد. لیست بلندبالایی شامل twitter.com,twimg.com,nytimes.com huffingtonpost.co.uk, twitter.co.uk

ولی این اتفاق چطور افتاد؟ طبق اعلام سخنگوی SEA، این گروه تونسته به سرورهای Melbourne IT که دامنه های رده بالا رو پشتیبانی می کنه نفوذ کنه، پسوردها رو بشکنه و DNS سایت های گفته شده رو تغییر بده به اسم خودش.

Melbourne-IT

Melbourne-IT

هنوز مشخص نیست دقیقا با چه روشی هک انجام شده ولی کارشناس ها حدس می زنن که این گروه به جای حمله مستقیم به هدف، از روش فیشینگ و فریب ادمین های سایت استفاده کرده.

مشکل ساعت ۱۲ شب شروع شده و دی ان اس های نیویورک تایمز به سرورهای M.SEA.SY، MOD.SEA.SY و SEA.SY تغییر کرده. این سرورها در کنترل ارتش سایبری سوریه اند.

چک کردن DNS سایت نیویورک تایمز

چک کردن DNS سایت نیویورک تایمز

معمولا تغییر DNS به سرعت خودش رو نشون نمی ده چون این اطلاعات برای کاربر ها ذخیره می شه و به صورت دوره ای به‌روز می شه. چک کردن سرورهای SEA نشون می ده که IP استفاده شده متعلق به یک سرور روسی است.

مشخصات سرویس دهنده سایت های SEA

مشخصات سرویس دهنده سایت های SEA

سایت های دیگه این گروه نیز مانند قطر لیکس روی همین سرور قرار دارند:

سایت های دیگر روی سرور SEA

سایت های دیگر روی سرور SEA

بعد از حمله های ماه های گذشته SEA به سایت های بزرگ، این سایت تلاش هاشون رو بیشتر کردند و با آموزش کارمندها سعی کردند جلوی اتفاق های مشابه رو بگیرند ولی یه نکته در بحث امنیت وجود داره: “امنیت شما به اندازه امنیت ضعیف ترین بخشه”

این “ضعیف ترین بخش” در حمله های روز گذشته ISP بوده. بنابراین آموزش نفرات و چک کردن سایت ها و زیر دامنه ها و غیره و غیره الزامی است و ناکافی. باید ببینید مجموعه شما از چه نقاط دیگه ای ممکنه آسیب ببینه.

در صورتیکه سایت های گفته شده رو باز کردید و به سرورهای SEA منتقل شدید احتمالا DNS های تقلبی توی سیستم شما ذخیره شده. بنابراین سعی کنید فعلا این سایت ها رو باز نکنید و برای توییتر هم از دامنه .com استفاده کنید. برای پاک کردن DNS های ذخیره شده در ویندوز می تونید از این روش استفاده کنید.

منبع و منبع

استاندارد