کد QR مطلبدریافت لینک صفحه با کد QR

حملات DDoS به کسب و کارهای داخلی و باج‌خواهی از آنها

زامبی‌های ایرانی حمله کردند

26 بهمن 1397 ساعت 19:59

مولف : عـلی اصلان شهلا

آی‌تی‌من- حملات DDoS یا Distributed Denial of Service، یکی از رایج‌ترین و قدیمی‌ترین نوع از حملات هکری در دنیا محسوب می‌شود. در این نوع حمله، حجم زیادی تقاضای کاذب به سمت سرور هدف یا قربانی صادر می‌شود که در نهایت باعث کندی و حتی از کار افتادن سرور می‌شود. این حملات عموما از سمت خارج از کشور انجام می‌شود چرا که در صورت حمله از داخل، امکان شناسایی فرد مهاجم وجود دارد.
در چند هفته اخیر اما برخی کسب و کارهای ایرانی زیر شدیدترین حملات DDoS بوده‌اند با این تفاوت که بخش مهمی از حملات، برخلاف روال مرسوم نه از خارج کشور که از داخل کشور و از سمت دستگاه‌های صدها هزار و حتی میلیون‌ها ایرانی انجام شده است.
در این گزارش در گفت‌وگو با مصطفی امیری مدیرعامل زرین‌پال و مسعود طباطبایی مدیر ارشد اجرایی علی بابا، دو سرویسی که تحت حملات شدید بوده‌اند، و همچنین جعفر محمدی عضو هیات مدیره سازمان نصر تهران، به بررسی و تحلیل این نوع حملات پرداخته‌ایم.
بررسی کارشناسان و کسب و کارها نشان می‌دهد حجم بزرگ آلودگی، ناشی از نصب گسترده ابزارهای دورزدن فیلتر تلگرام، از قبیل پوسته‌های فارسی و یا فیلترشکن‌ها بوده است. به این ترتیب میلیون‌ها کاربر آلوده ایرانی، به مانند زامبی‌هایی بی‌خبر از همه‌جا، حالا در اختیار گروه‌های هکری هستند تا به اهداف داخلی و در آینده حتی به اهداف خارجی حمله کنند. موضوعی که می‌تواند عوارض و بحران‌های بزرگی را برای کشور به همراه داشته باشد.
 


 
تنوع و گستردگی زیاد حملات
زرین‌پال یکی از کسب و کارهایی است که در هفته‌های گذشته متحمل حملات شدیدی بوده است. مصطفی امیری هم‌موسس و مدیرعامل زرین‌پال در این باره توضیح می‌دهد: حملات DDoS از 4 هفته پیش آغاز شد و حجم حملات رفته‌رفته افزایش یافت. البته فرد مهاجم نیز به طور مرتب با ما از طریق تلگرام در تماس است و جملات تهدید‌آمیز می‌گوید و درخواست باج می‌کند.

وی ادامه داد: کسی که این حملات را ترتیب داده روز اول درخواست یک بیت‌کوین کرد و تا امروز این درخواست به 5 بیت‌کوین رسیده است. البته از آنجا که حملات DDoS در این حجم و گستردگی و تنوع، هزینه‌بردار است، کار یک شخص نیست و قطعا از جایی تامین مالی می‌شود.

امیری با بیان این که تجهیزات خود را برای مقابله با این تهدیدات ارتقا داده‌ایم گفت: دو هفته پیش حجم حملات DDos به 25 گیگابیت در ثانیه رسید، این در حالی است که پهنای باند یک دیتاسنتر مجهز در ایران 8 گیگابیت است. با این میزان از حجم حمله، به مدلی با مرکز ماهر دست یافتیم که اجازه بدهند پیش از آن که ترافیک خارج از کشور وارد شوند، ما از یک سرویس خارجی DDoS Protection استفاده کنیم که عملا این موضوع حجم بزرگی از حملات را کنترل کرد.

مدیرعامل زرین‌پال ادامه داد: اما رفته‌رفته حجم و نوع حملات تغییر کرد. برای مثال یکی از حملات نزدیک، از 45 هزار IP ایرانی که عموما استفاده‌کننده اینترنت همراه‌اول، ایرانسل و رایتل بودند انجام شد که این بدان معنی است که یک بدافزار موبایل‌های مردم را آلوده کرده و از سمت آنها این حملات را انجام می‌دهد. با توجه به این که این اپراتورها IP اختصاصی در اختیار مشترکان نمی‌گذارند، می‌توان تخمین زد که حجم گوشی‌های آلوده شده، حداقل 10 برابر تعداد آی‌پی‌هاست.

وی با بیان این که احتمالا در ماه‌های آینده بحران‌های بزرگی پیش رو خواهد بود گفت: یک بدافزاری توسعه داده‌شده و روی موبایل‌های ایرانی‌ها به تعداد بسیار زیادی نصب شده است. اکنون حجم حملات خارجی به 40 گیگابیت در ثانیه و حجم حملات داخلی به 4 گیگابیت در ثانیه رسیده که ادامه این موضوع می‌تواند به زیرساخت‌ها صدمات جدی بزند.

امیری با بیان این برای مقابله با حملات با منشا داخلی بخشی از این حملات را به زیرساخت‌های ابرآروان منتقل کردیم گفت: متاسفانه این حجم و نوع از حملات در کار آنها نیز اختلال ایجاد کرده است. در واقع این حملات یک زنگ خطر بزرگ است و باید فکر علاج باشیم. به ویژه آن که ممکن است دستگاه‌های آلوده برای حمله به کشورهای دیگر استفاده شود که تبعات سنگینی برای کشورمان خواهد داشت.

وی با بیان این که چند برابر باجی که فرد مهاجم درخواست کرده برای مقابله هزینه کرده‌ایم گفت: باید برای مقابله با این باج‌افزار فکری فوری و اساسی کرد.


در همین رابطه: تعداد IPهای استفاده شده داخلی برای حملات DDoS بسیار بالاست
​​​​​​​

40 روز زیر بارحمله
مسعود طباطبایی مدیر ارشد اجرایی علی بابا نیز با بیان این که در 40 روز گذشته زیربار حمله بوده‌اند گفت: حملات DDoS برای علی بابا اتفاق جدیدی نیست ولی این حجم و نوع حملات کاملا متمایز از تمامی حملات پیشین است.

وی با بیان این که فرد مهاجم در ایمیل با ما در ارتباط است گفت: او دانش بسیار خوبی دارد و در روز اول خواستار 6/0 بیت‌کوین باج بود که امروز این میزان به 10 بیت‌کوین رسیده است.

طباطبایی با بیان این که حملات در لایه‌های مختلف شبکه انجام شده و تنوع زیادی دارد گفت: یکی از حدس‌های ما این بود که این حملات کار رقباست چرا که حملات نوع اول و دوم هزینه‌بردار است. به علاوه این که فرد مهاجم به ما گفت اگر باج را پرداخت کنیم حاضر است به دو تا سرویس دیگر به درخواست ما حمله کند. ما به او گفتیم حاضریم برای مشاوره جهت تقویت سیستم‌های امنیتی پول بدهیم ولی حاضر به پرداخت باج نیستیم که خیلی عصبانی شد و فشار زیادی روی دیتاسنتر ما آورد که خوشبختانه با همکاری دوستان  در دیتاسنتر میزبان این مساله حل شد.

مدیر ارشد علی‌بابا با بیان این که مدتی از حجم حملات کاسته شد گفت: یک روز از 4 صبح حملات دوباره افزایش یافت و او ساعت 5 صبح ایمیل زد که یک هفته‌ای یک سفارش دیگر داشته و درگیر بوده و حالا دوباره برگشته و با لحنی عصبی از ما خواست «گدابازی» در نیاوریم و باج را پرداخت کنیم!

وی با بیان این که پیگیری‌ها با مرکز ماهر انجام شده ولی هنوز اتفاق خارق‌العاده‌ای در مقابله با این حملات نشده است گفت: شاید اگر با کسب‌وکارهایی که دچار این حملات شده‌اند متحد شویم بتوان کاری برای مقابله با این حملات انجام داد.
 
لشگر زامبی‌ها در راهند
جعفر محمدی کارشناس فناوری اطلاعات و عضو هیات مدیره سازمان نظام صنفی رایانه‌ای استان تهران نیز با تایید این که در هفته‌های گذشته شاهد حملات گسترده DDoS به برخی کسب و کارهای داخلی بوده‌ایم گفت: این حملات معمولا از خارج از کشور اتفاق می‌افتد که با استفاده از سرویس DDoS Protection بییش از 60 تا 90 درصد این حملات شناسایی می‌شود، با این حال اگر حجم حملات از سمت خارج بسیار بزرگ باشد، همان درصد باقی‌مانده هم می‌تواند دردسرساز شود.

وی ادامه داد: این حملات عمدتا از خارج از کشور انجام می‌شد چرا که اگر در داخل کشور انجام شود،  به راحتی قابل شناسایی است و با فرد مهاجم سریعا برخورد می‌شود. اما اتفاقی که اخیرا افتاده این است که حملات نه از سمت یک رنج IP مشخص که از سمت صدها هزار و شاید حتی میلیون‌ها کاربر داخلی صورت می‌گیرد و این درحالی است که خود کاربر روحش خبردار نیست که از دستگاه موبایل یا کامپیوترش برای حملات استفاده شده و خود شخص هم به نوعی قربانی است.

عضو هیات مدیره سازمان نصر با بیان این که این حجم از آلودگی موبایل‌ها اخیرا اتفاق افتاده است گفت: بات‌نت‌ها برای حمله باید در قالب نرم‌افزارهایی روی سیستم نصب شوند که کنترل دسترسی به اینترنت را داشته باشند. شواهد نشان می‌دهد با توجه به فیلتر تلگرام، تنها برنامه‌هایی که به صورت گسترده روی سیستم میلیون‌ها ایرانی نصب شده‌اند، نرم‌افزارهای دورزدن فیلترینگ و فیلترشکن‌ها هستند. به ویژه آنکه این حملات از یک دیتاسنتر مشخص و یا یک مرجع نیست و از این‌رو شناسایی حمله‌کنندگان بسیار پیچیده و تعدادشان بسیار زیاد است.

وی با بیان این که این حملات می‌تواند به شدت گسترش یابد گفت: ممکن است دستگاه‌های زیادی الوده شده باشند ولی گروه‌های هکری هنوز دستور حمله را صادر نکرده‌اند و فعلا به صورت خاموش در دستگاه‌های کاربران حضور دارند. درواقع این دستگاه‌ها به زامبی‌هایی تبدیل شده‌اند که هر لحظه ممکن است برای حمله به یک هدف از آنها به طور گسترده استفاده شود.

محمدی با بیان این که ممکن است حمله‌کنندگان از دستگاه‌های کاربران ایرانی برای حمله به یک هدف خارجی استفاده کنند گفت: در این صورت تبعات سنگین بین‌المللی در انتظار کشور خواهد بود.

وی با بیان این که یک زمانی کارشناسان به خاطر همین تهدیدات، علیه فیلتر تلگرام موضع می‌گرفتند اما به حمایت از پیام‌رسان خارجی متهم می‌شدند گفت: با کمی آینده‌نگری قابل پیش‌بینی بود که فیلتر تلگرام چه عواقبی می‌تواند داشته باشد، اما دوستان به این تصمیم اصرار داشته و آن را عملی کردند.  اتفاقی که عمدا یا سهوا، تبعات و بحران‌های جدی می‌تواند برای فضای مجازی کشور و کسب و کارهای اینترنتی دربر داشته باشد.


کد مطلب: 271305

آدرس مطلب :
https://www.itmen.ir/report/271305/زامبی-های-ایرانی-حمله-کردند

ITMen
  https://www.itmen.ir