۹
۴
حملات DDoS به کسب و کارهای داخلی و باج‌خواهی از آنها

زامبی‌های ایرانی حمله کردند

عـلی اصلان شهلا / مولف
تاریخ انتشار
جمعه ۲۶ بهمن ۱۳۹۷ ساعت ۱۹:۵۹
زامبی‌های ایرانی حمله کردند
 
تنوع و گستردگی زیاد حملات
زرین‌پال یکی از کسب و کارهایی است که در هفته‌های گذشته متحمل حملات شدیدی بوده است. مصطفی امیری هم‌موسس و مدیرعامل زرین‌پال در این باره توضیح می‌دهد: حملات DDoS از 4 هفته پیش آغاز شد و حجم حملات رفته‌رفته افزایش یافت. البته فرد مهاجم نیز به طور مرتب با ما از طریق تلگرام در تماس است و جملات تهدید‌آمیز می‌گوید و درخواست باج می‌کند.

وی ادامه داد: کسی که این حملات را ترتیب داده روز اول درخواست یک بیت‌کوین کرد و تا امروز این درخواست به 5 بیت‌کوین رسیده است. البته از آنجا که حملات DDoS در این حجم و گستردگی و تنوع، هزینه‌بردار است، کار یک شخص نیست و قطعا از جایی تامین مالی می‌شود.

امیری با بیان این که تجهیزات خود را برای مقابله با این تهدیدات ارتقا داده‌ایم گفت: دو هفته پیش حجم حملات DDos به 25 گیگابیت در ثانیه رسید، این در حالی است که پهنای باند یک دیتاسنتر مجهز در ایران 8 گیگابیت است. با این میزان از حجم حمله، به مدلی با مرکز ماهر دست یافتیم که اجازه بدهند پیش از آن که ترافیک خارج از کشور وارد شوند، ما از یک سرویس خارجی DDoS Protection استفاده کنیم که عملا این موضوع حجم بزرگی از حملات را کنترل کرد.

مدیرعامل زرین‌پال ادامه داد: اما رفته‌رفته حجم و نوع حملات تغییر کرد. برای مثال یکی از حملات نزدیک، از 45 هزار IP ایرانی که عموما استفاده‌کننده اینترنت همراه‌اول، ایرانسل و رایتل بودند انجام شد که این بدان معنی است که یک بدافزار موبایل‌های مردم را آلوده کرده و از سمت آنها این حملات را انجام می‌دهد. با توجه به این که این اپراتورها IP اختصاصی در اختیار مشترکان نمی‌گذارند، می‌توان تخمین زد که حجم گوشی‌های آلوده شده، حداقل 10 برابر تعداد آی‌پی‌هاست.

وی با بیان این که احتمالا در ماه‌های آینده بحران‌های
بزرگی پیش رو خواهد بود گفت: یک بدافزاری توسعه داده‌شده و روی موبایل‌های ایرانی‌ها به تعداد بسیار زیادی نصب شده است. اکنون حجم حملات خارجی به 40 گیگابیت در ثانیه و حجم حملات داخلی به 4 گیگابیت در ثانیه رسیده که ادامه این موضوع می‌تواند به زیرساخت‌ها صدمات جدی بزند.

امیری با بیان این برای مقابله با حملات با منشا داخلی بخشی از این حملات را به زیرساخت‌های ابرآروان منتقل کردیم گفت: متاسفانه این حجم و نوع از حملات در کار آنها نیز اختلال ایجاد کرده است. در واقع این حملات یک زنگ خطر بزرگ است و باید فکر علاج باشیم. به ویژه آن که ممکن است دستگاه‌های آلوده برای حمله به کشورهای دیگر استفاده شود که تبعات سنگینی برای کشورمان خواهد داشت.

وی با بیان این که چند برابر باجی که فرد مهاجم درخواست کرده برای مقابله هزینه کرده‌ایم گفت: باید برای مقابله با این باج‌افزار فکری فوری و اساسی کرد.


در همین رابطه: تعداد IPهای استفاده شده داخلی برای حملات DDoS بسیار بالاست
​​​​​​​

40 روز زیر بارحمله
مسعود طباطبایی مدیر ارشد اجرایی علی بابا نیز با بیان این که در 40 روز گذشته زیربار حمله بوده‌اند گفت: حملات DDoS برای علی بابا اتفاق جدیدی نیست ولی این حجم و نوع حملات کاملا متمایز از تمامی حملات پیشین است.

وی با بیان این که فرد مهاجم در ایمیل با ما در ارتباط است گفت: او دانش بسیار خوبی دارد و در روز اول خواستار 6/0 بیت‌کوین باج بود که امروز این میزان به 10 بیت‌کوین رسیده است.

طباطبایی با بیان این که حملات در لایه‌های مختلف شبکه انجام شده و تنوع زیادی دارد گفت: یکی از حدس‌های ما این بود که این حملات کار رقباست چرا که حملات نوع اول و دوم هزینه‌بردار است. به علاوه این که فرد مهاجم به ما گفت اگر باج را پرداخت کنیم حاضر است به دو تا سرویس دیگر به درخواست ما حمله
کند. ما به او گفتیم حاضریم برای مشاوره جهت تقویت سیستم‌های امنیتی پول بدهیم ولی حاضر به پرداخت باج نیستیم که خیلی عصبانی شد و فشار زیادی روی دیتاسنتر ما آورد که خوشبختانه با همکاری دوستان  در دیتاسنتر میزبان این مساله حل شد.

مدیر ارشد علی‌بابا با بیان این که مدتی از حجم حملات کاسته شد گفت: یک روز از 4 صبح حملات دوباره افزایش یافت و او ساعت 5 صبح ایمیل زد که یک هفته‌ای یک سفارش دیگر داشته و درگیر بوده و حالا دوباره برگشته و با لحنی عصبی از ما خواست «گدابازی» در نیاوریم و باج را پرداخت کنیم!

وی با بیان این که پیگیری‌ها با مرکز ماهر انجام شده ولی هنوز اتفاق خارق‌العاده‌ای در مقابله با این حملات نشده است گفت: شاید اگر با کسب‌وکارهایی که دچار این حملات شده‌اند متحد شویم بتوان کاری برای مقابله با این حملات انجام داد.
 
لشگر زامبی‌ها در راهند
جعفر محمدی کارشناس فناوری اطلاعات و عضو هیات مدیره سازمان نظام صنفی رایانه‌ای استان تهران نیز با تایید این که در هفته‌های گذشته شاهد حملات گسترده DDoS به برخی کسب و کارهای داخلی بوده‌ایم گفت: این حملات معمولا از خارج از کشور اتفاق می‌افتد که با استفاده از سرویس DDoS Protection بییش از 60 تا 90 درصد این حملات شناسایی می‌شود، با این حال اگر حجم حملات از سمت خارج بسیار بزرگ باشد، همان درصد باقی‌مانده هم می‌تواند دردسرساز شود.

وی ادامه داد: این حملات عمدتا از خارج از کشور انجام می‌شد چرا که اگر در داخل کشور انجام شود،  به راحتی قابل شناسایی است و با فرد مهاجم سریعا برخورد می‌شود. اما اتفاقی که اخیرا افتاده این است که حملات نه از سمت یک رنج IP مشخص که از سمت صدها هزار و شاید حتی میلیون‌ها کاربر داخلی صورت می‌گیرد و این درحالی است که خود کاربر روحش خبردار نیست که از دستگاه موبایل
یا کامپیوترش برای حملات استفاده شده و خود شخص هم به نوعی قربانی است.

عضو هیات مدیره سازمان نصر با بیان این که این حجم از آلودگی موبایل‌ها اخیرا اتفاق افتاده است گفت: بات‌نت‌ها برای حمله باید در قالب نرم‌افزارهایی روی سیستم نصب شوند که کنترل دسترسی به اینترنت را داشته باشند. شواهد نشان می‌دهد با توجه به فیلتر تلگرام، تنها برنامه‌هایی که به صورت گسترده روی سیستم میلیون‌ها ایرانی نصب شده‌اند، نرم‌افزارهای دورزدن فیلترینگ و فیلترشکن‌ها هستند. به ویژه آنکه این حملات از یک دیتاسنتر مشخص و یا یک مرجع نیست و از این‌رو شناسایی حمله‌کنندگان بسیار پیچیده و تعدادشان بسیار زیاد است.

وی با بیان این که این حملات می‌تواند به شدت گسترش یابد گفت: ممکن است دستگاه‌های زیادی الوده شده باشند ولی گروه‌های هکری هنوز دستور حمله را صادر نکرده‌اند و فعلا به صورت خاموش در دستگاه‌های کاربران حضور دارند. درواقع این دستگاه‌ها به زامبی‌هایی تبدیل شده‌اند که هر لحظه ممکن است برای حمله به یک هدف از آنها به طور گسترده استفاده شود.

محمدی با بیان این که ممکن است حمله‌کنندگان از دستگاه‌های کاربران ایرانی برای حمله به یک هدف خارجی استفاده کنند گفت: در این صورت تبعات سنگین بین‌المللی در انتظار کشور خواهد بود.

وی با بیان این که یک زمانی کارشناسان به خاطر همین تهدیدات، علیه فیلتر تلگرام موضع می‌گرفتند اما به حمایت از پیام‌رسان خارجی متهم می‌شدند گفت: با کمی آینده‌نگری قابل پیش‌بینی بود که فیلتر تلگرام چه عواقبی می‌تواند داشته باشد، اما دوستان به این تصمیم اصرار داشته و آن را عملی کردند.  اتفاقی که عمدا یا سهوا، تبعات و بحران‌های جدی می‌تواند برای فضای مجازی کشور و کسب و کارهای اینترنتی دربر داشته باشد.
مولف : عـلی اصلان شهلا
کد مطلب : ۲۷۱۳۰۵
نظرات شما
پرویز
Iran, Islamic Republic of
باید منتظر اتفاقات بدتر و گسترده‌تر بود. فیلتر تلگرام تاثیرات منفی و مخرب زیادی داشته که جبران تلفاتش بسیار بسیار زمان‌بر و هزینه‌بردار هستش.
دستورات غیر کارشناسانه مسئولین سبب این اتفاقات هستش.
متاسفانه تاثیرات منفی فیلتر تلگرام اونقدر گسترده‌اس که حتی روی فرهنگ ما و حتی قیمت اجناس تاثیر گذاشته.
مسئولینی که اینکار رو کردن باید پاسخگوی آینده مملکت باشن.
محمود اسکندری
United States
مهاجمین دارن از طریق یک سایت یا آی پی به سیستمهای آلوده فرمان میدن
در نتیجه اگر یه داده کاوی درست بر رفتار آی پی های آلوده شکل بگیره
میشه سرنخهایی از مرکز فرمان این بد افزار پیدا کرد.

فقط امیدوارم زودتر به این فکر بیفتند
محمود اسکندری
United States
مهاجمین دارن از طریق یک سایت یا آی پی به سیستمهای آلوده فرمان میدن
در نتیجه اگر یه داده کاوی درست بر رفتار آی پی های آلوده شکل بگیره
میشه سرنخهایی از مرکز فرمان این بد افزار پیدا کرد.

فقط امیدوارم زودتر به این فکر بیفتند
علی
United States
سلام دوست عزیز
اینطور که شما فکر میکنید نیست، اینها دارن از سیستم cloud messaging یا نوتیفیکیشن استفاده میکنن و دیتا میفرستن، کسی که این برنامه ها رو نوشته، به فکر پرایوسی خودش هم بوده، این مورد رو فقط باید با شناسایی اپلیکیشن های vpn و شکایت بین المللی پیگیری کرد، چون اکثر این دستگاه ها باید اندروید باشند و وی پی ان های اونها باید مشترک باشند، چند تا از افرادو بگیرن و گوشیهاشونو تفتیش کنن تا وی پی ان های یکسان مشخص بشن و دیکد بشن یا به دولوپر اونها توی گوگل دسترسی پیدا کرد و پیگیری بین المللی کرد. هر دولوپر برای قراردادن اپ توی گوگل باید اکانت رو شارژ کنه و میشه پیگیرش شد.

البته توصیه من به مدیر سرور ها اینه که از Cloud hosting استفاده کنن تا 80درصد درخواست ها بن بشه + اینکه از لود بالانسر برای سرورها تا بتونن بصورت توزیع شده درخواست ها رو سرو کنن.
قاتل بروسلی
Germany
عزیز وقتی سیستم ایمنی بدن ضعیفه شما هر میکروبی رو از بین ببیری بالاخره یه گونه دیگه بدن رو بیمار میکنه.شما الان جلوی این هکر رو گرفتی و لی تضمینی هست هکر دیگه ایی با روش دیگه ایی نیاد؟؟
دارک کستر
تا ساعت 12 امشب به وقت تهران وقت دارید این مقاله رو حذف کنید وگرنه اتک روی سایت شما شروع خواهد شد.
راستی اون امیری در مورد فیلتر کردن همه درگاه های پرداخت و فیلتر نشدن خودش باهاتون مصاحبه نکرده؟
قاتل بروسلی
Germany
بله وقتی بقول خودشون دست به دکمه فیلترینگ نمیزنن (ولی جفت پا میرن روش) ملت هم مجبورن فیلترشکن استفاده کنن.حالا ملت شدن زامبی؟؟!! متاسفانه همیشه ضعفا قربانی میشن.خدا تمام خیانتکاران به ملت و کشور ایران رو لعنت کنه
عليرضا قهرود
Germany
سلام
متاسفانه عملكرد نامناسب دستگاه مربوطه
عدم ترويج و آگاهي رساني مردم از طريق صدا رسيما
پيرامون امنيت حريم شخصي و رايانه و موبايل هاي هوشمندشان و همچنين عدم جايگاه درست متخصصين با سطح دانش و تجربه در بدنه خصوص و دولتي و مضاعف بر آن سياست هاي تندرو و غلط كه عوابق خطرناك تري را در آتي به همراه خواهد داشت ، همه و همه از المان هاي بروز اين حملات ميباشد.
یک فضول
Germany
راستی چرا همه درگاه‌های واسطه فیلتر شدن اما زرین‌پول نشد ؟؟؟
من چندسال با اینا کار کردم ولی هیچوقت به جواب نرسیدم.
البته یک راهنمایی اپلیکیشن سایفون که اکثر اوقات وصل نمیشه و بیشتر بحالت اضطراری روی ۹۹٪ گوشی ایرانی‌ها نصفه هم بهتره مورد بررسی برقرار بگیره !!!
خوش باشید با وقت و پول مردم بدبخت ایران
ارسال نظر
نام شما

آدرس ايميل شما