آیتیمن- حملات DDoS یا Distributed Denial of Service، یکی از رایجترین و قدیمیترین نوع از حملات هکری در دنیا محسوب میشود. در این نوع حمله، حجم زیادی تقاضای کاذب به سمت سرور هدف یا قربانی صادر میشود که در نهایت باعث کندی و حتی از کار افتادن سرور میشود. این حملات عموما از سمت خارج از کشور انجام میشود چرا که در صورت حمله از داخل، امکان شناسایی فرد مهاجم وجود دارد.
در چند هفته اخیر اما برخی کسب و کارهای ایرانی زیر شدیدترین حملات DDoS بودهاند با این تفاوت که بخش مهمی از حملات، برخلاف روال مرسوم نه از خارج کشور که از داخل کشور و از سمت دستگاههای صدها هزار و حتی میلیونها ایرانی انجام شده است.
در این گزارش در گفتوگو با مصطفی امیری مدیرعامل زرینپال و مسعود طباطبایی مدیر ارشد اجرایی علی بابا، دو سرویسی که تحت حملات شدید بودهاند، و همچنین جعفر محمدی عضو هیات مدیره سازمان نصر تهران، به بررسی و تحلیل این نوع حملات پرداختهایم.
بررسی کارشناسان و کسب و کارها نشان میدهد حجم بزرگ آلودگی، ناشی از نصب گسترده ابزارهای دورزدن فیلتر تلگرام، از قبیل پوستههای فارسی و یا فیلترشکنها بوده است. به این ترتیب میلیونها کاربر آلوده ایرانی، به مانند زامبیهایی بیخبر از همهجا، حالا در اختیار گروههای هکری هستند تا به اهداف داخلی و در آینده حتی به اهداف خارجی حمله کنند. موضوعی که میتواند عوارض و بحرانهای بزرگی را برای کشور به همراه داشته باشد.
تنوع و گستردگی زیاد حملات
زرینپال یکی از کسب و کارهایی است که در هفتههای گذشته متحمل حملات شدیدی بوده است. مصطفی امیری همموسس و مدیرعامل زرینپال در این باره توضیح میدهد: حملات DDoS از 4 هفته پیش آغاز شد و حجم حملات رفتهرفته افزایش یافت. البته فرد مهاجم نیز به طور مرتب با ما از طریق تلگرام در تماس است و جملات تهدیدآمیز میگوید و درخواست باج میکند.
وی ادامه داد: کسی که این حملات را ترتیب داده روز اول درخواست یک بیتکوین کرد و تا امروز این درخواست به 5 بیتکوین رسیده است. البته از آنجا که حملات DDoS در این حجم و گستردگی و تنوع، هزینهبردار است، کار یک شخص نیست و قطعا از جایی تامین مالی میشود.
امیری با بیان این که تجهیزات خود را برای مقابله با این تهدیدات ارتقا دادهایم گفت: دو هفته پیش حجم حملات DDos به 25 گیگابیت در ثانیه رسید، این در حالی است که پهنای باند یک دیتاسنتر مجهز در ایران 8 گیگابیت است. با این میزان از حجم حمله، به مدلی با مرکز ماهر دست یافتیم که اجازه بدهند پیش از آن که ترافیک خارج از کشور وارد شوند، ما از یک سرویس خارجی DDoS Protection استفاده کنیم که عملا این موضوع حجم بزرگی از حملات را کنترل کرد.
مدیرعامل زرینپال ادامه داد: اما رفتهرفته حجم و نوع حملات تغییر کرد. برای مثال یکی از حملات نزدیک، از 45 هزار IP ایرانی که عموما استفادهکننده اینترنت همراهاول، ایرانسل و رایتل بودند انجام شد که این بدان معنی است که یک بدافزار موبایلهای مردم را آلوده کرده و از سمت آنها این حملات را انجام میدهد. با توجه به این که این اپراتورها IP اختصاصی در اختیار مشترکان نمیگذارند، میتوان تخمین زد که حجم گوشیهای آلوده شده، حداقل 10 برابر تعداد آیپیهاست.
وی با بیان این که احتمالا در ماههای آینده بحرانهای بزرگی پیش رو خواهد بود گفت: یک بدافزاری توسعه دادهشده و روی موبایلهای ایرانیها به تعداد بسیار زیادی نصب شده است. اکنون حجم حملات خارجی به 40 گیگابیت در ثانیه و حجم حملات داخلی به 4 گیگابیت در ثانیه رسیده که ادامه این موضوع میتواند به زیرساختها صدمات جدی بزند.
امیری با بیان این برای مقابله با حملات با منشا داخلی بخشی از این حملات را به زیرساختهای ابرآروان منتقل کردیم گفت: متاسفانه این حجم و نوع از حملات در کار آنها نیز اختلال ایجاد کرده است. در واقع این حملات یک زنگ خطر بزرگ است و باید فکر علاج باشیم. به ویژه آن که ممکن است دستگاههای آلوده برای حمله به کشورهای دیگر استفاده شود که تبعات سنگینی برای کشورمان خواهد داشت.
وی با بیان این که چند برابر باجی که فرد مهاجم درخواست کرده برای مقابله هزینه کردهایم گفت: باید برای مقابله با این باجافزار فکری فوری و اساسی کرد.
در همین رابطه: تعداد IPهای استفاده شده داخلی برای حملات DDoS بسیار بالاست
40 روز زیر بارحمله
مسعود طباطبایی مدیر ارشد اجرایی علی بابا نیز با بیان این که در 40 روز گذشته زیربار حمله بودهاند گفت: حملات DDoS برای علی بابا اتفاق جدیدی نیست ولی این حجم و نوع حملات کاملا متمایز از تمامی حملات پیشین است.
وی با بیان این که فرد مهاجم در ایمیل با ما در ارتباط است گفت: او دانش بسیار خوبی دارد و در روز اول خواستار 6/0 بیتکوین باج بود که امروز این میزان به 10 بیتکوین رسیده است.
طباطبایی با بیان این که حملات در لایههای مختلف شبکه انجام شده و تنوع زیادی دارد گفت: یکی از حدسهای ما این بود که این حملات کار رقباست چرا که حملات نوع اول و دوم هزینهبردار است. به علاوه این که فرد مهاجم به ما گفت اگر باج را پرداخت کنیم حاضر است به دو تا سرویس دیگر به درخواست ما حمله کند. ما به او گفتیم حاضریم برای مشاوره جهت تقویت سیستمهای امنیتی پول بدهیم ولی حاضر به پرداخت باج نیستیم که خیلی عصبانی شد و فشار زیادی روی دیتاسنتر ما آورد که خوشبختانه با همکاری دوستان در دیتاسنتر میزبان این مساله حل شد.
مدیر ارشد علیبابا با بیان این که مدتی از حجم حملات کاسته شد گفت: یک روز از 4 صبح حملات دوباره افزایش یافت و او ساعت 5 صبح ایمیل زد که یک هفتهای یک سفارش دیگر داشته و درگیر بوده و حالا دوباره برگشته و با لحنی عصبی از ما خواست «گدابازی» در نیاوریم و باج را پرداخت کنیم!
وی با بیان این که پیگیریها با مرکز ماهر انجام شده ولی هنوز اتفاق خارقالعادهای در مقابله با این حملات نشده است گفت: شاید اگر با کسبوکارهایی که دچار این حملات شدهاند متحد شویم بتوان کاری برای مقابله با این حملات انجام داد.
لشگر زامبیها در راهند
جعفر محمدی کارشناس فناوری اطلاعات و عضو هیات مدیره سازمان نظام صنفی رایانهای استان تهران نیز با تایید این که در هفتههای گذشته شاهد حملات گسترده DDoS به برخی کسب و کارهای داخلی بودهایم گفت: این حملات معمولا از خارج از کشور اتفاق میافتد که با استفاده از سرویس DDoS Protection بییش از 60 تا 90 درصد این حملات شناسایی میشود، با این حال اگر حجم حملات از سمت خارج بسیار بزرگ باشد، همان درصد باقیمانده هم میتواند دردسرساز شود.
وی ادامه داد: این حملات عمدتا از خارج از کشور انجام میشد چرا که اگر در داخل کشور انجام شود، به راحتی قابل شناسایی است و با فرد مهاجم سریعا برخورد میشود. اما اتفاقی که اخیرا افتاده این است که حملات نه از سمت یک رنج IP مشخص که از سمت صدها هزار و شاید حتی میلیونها کاربر داخلی صورت میگیرد و این درحالی است که خود کاربر روحش خبردار نیست که از دستگاه موبایل یا کامپیوترش برای حملات استفاده شده و خود شخص هم به نوعی قربانی است.
عضو هیات مدیره سازمان نصر با بیان این که این حجم از آلودگی موبایلها اخیرا اتفاق افتاده است گفت: باتنتها برای حمله باید در قالب نرمافزارهایی روی سیستم نصب شوند که کنترل دسترسی به اینترنت را داشته باشند. شواهد نشان میدهد با توجه به فیلتر تلگرام، تنها برنامههایی که به صورت گسترده روی سیستم میلیونها ایرانی نصب شدهاند، نرمافزارهای دورزدن فیلترینگ و فیلترشکنها هستند. به ویژه آنکه این حملات از یک دیتاسنتر مشخص و یا یک مرجع نیست و از اینرو شناسایی حملهکنندگان بسیار پیچیده و تعدادشان بسیار زیاد است.
وی با بیان این که این حملات میتواند به شدت گسترش یابد گفت: ممکن است دستگاههای زیادی الوده شده باشند ولی گروههای هکری هنوز دستور حمله را صادر نکردهاند و فعلا به صورت خاموش در دستگاههای کاربران حضور دارند. درواقع این دستگاهها به زامبیهایی تبدیل شدهاند که هر لحظه ممکن است برای حمله به یک هدف از آنها به طور گسترده استفاده شود.
محمدی با بیان این که ممکن است حملهکنندگان از دستگاههای کاربران ایرانی برای حمله به یک هدف خارجی استفاده کنند گفت: در این صورت تبعات سنگین بینالمللی در انتظار کشور خواهد بود.
وی با بیان این که یک زمانی کارشناسان به خاطر همین تهدیدات، علیه فیلتر تلگرام موضع میگرفتند اما به حمایت از پیامرسان خارجی متهم میشدند گفت: با کمی آیندهنگری قابل پیشبینی بود که فیلتر تلگرام چه عواقبی میتواند داشته باشد، اما دوستان به این تصمیم اصرار داشته و آن را عملی کردند. اتفاقی که عمدا یا سهوا، تبعات و بحرانهای جدی میتواند برای فضای مجازی کشور و کسب و کارهای اینترنتی دربر داشته باشد.