چندی پیش هکرها توانستند یکی از روزنامه نگاران مطرح حوزه امنیت را مجبور کنند پایگاه اینترنتی اش را غیرفعال سازد، وب سایتی که بیش از دو روز با ترافیک عظیم و غیر منتظره ای مواجه شده بود. این حمله سایبری از چیزی نشأت می گرفت که تاکنون در دنیای اینترنت سابقه نداشت: لشکری بالغ بر یک میلیون دیوایس مبتنی بر اینترنت اشیاء.
طبق اظهارات شرکت Level 3 Communications که یکی از بزرگ ترین تأمین کنندگان ستون فقرات (بک بون) اینترنت به شمار می رود، هویت هکرها هنوز مشخص نشده، اما می دانیم آنها از دو شبکه (که در فرهنگ هک به آنها بات نت می گویند) متشکل از ۹۸۰ هزار و ۵۰۰ هزار دستگاه هک شده برای اجرای حمله فوق استفاده کرده اند.
ظاهراً بیشتر این دیوایس ها، دوربین های متصل به شبکه اینترنت بوده اند. مهاجمین از دوربین ها و دیگر دیوایس های آنلاین ناامن برای برقراری ارتباط با وب سایت روزنامه نگار فوق استفاده کرده، و با ارائه درخواست های بی شمار، باعث از کار افتادن آن شدند.
این بات نت ها توانستند حمله شدید و فلج کننده ای را از نوع «محروم سازی از سرویس توزیع شده» یا DDoS به وب سایت KrebsOnSecurity انجام دهند. این پایگاه اینترنتی به «برایان کربز» تعلق دارد، فردی که به خاطر سابقه طولانی در افشای مجرمین فضای سایبری معروف است.
طبق آمار موجود، ترافیک این حمله DDoS بالغ بر ۶۶۰ گیگابیت بر ثانیه بوده، که یکی از سنگین ترین موارد در تاریخ هک به شمار می رود. شرکت Level 3 بات نت های مذکور را زیر نظر گرفته، و «دیل درو» رئیس بخش امنیت این کمپانی می گوید هکرها هنوز از این دو شبکه علیه کربز استفاده می کنند.
محققین امنیتی و متخصصین اینترنت هنوز به دنبال ردیابی ریشه حملات هستند، اما همگی به این نکته اشاره می کنند که تهاجم DDoS مورد بحث کاملاً غیرمنتظره و منحصر به فرد است، هم از نظر ابعاد و حجم ترافیک، و هم از این حیث که برای اجرای آن از اینترنت اشیاء یا به عبارتی «بات نت اشیاء» استفاده شده.
«مارتین مک کی» وکیل ارشد Akamai، شرکتی که تضمین امنیت وب سایت کربز را پیش از حمله بر عهده داشت، می گوید:
با این حال، هنوز نمی دانیم که آیا مهاجمین از توان کامل دو بات نت مورد بحث استفاده کرده اند، یا تنها بخشی از آن را به کار گرفته اند. «درو» می گوید هکرها از حدود ۱٫۲ میلیون دستگاه موجود در بات نت ۱٫۵ میلیون عددی برای حمله به کربز بهره جسته اند.
البته «مک کی» که نمی خواست وارد جزئیات شود، معتقد است این اعداد واقعی نیستند، هرچند Akamai که حفاظت رایگان از وب سایت کربز را بر عهده داشت، پس از بالا گرفتن حجم حملات و افزایش هزینه ها، از انجام این مسئولیت سر باز زد.
به نظر می رسد حمله به کربز در کنار دیگر عملیات مشابه در فضای اینترنتی طی هفته های گذشته، می تواند هشداری برای آغاز عصر نوین تبهکاری اینترنتی باشد، که در آن هکرها به راحتی و با در اختیار گرفتن دیوایس های مبتنی بر اینترنت اشیاء، می توانند وب سایت ها را از کار انداخته یا حملات بدافزاری را ترتیب دهند.
در همین رابطه «متیو پرینس» بنیانگذار Cloudflare که خدمات حفاظتی در برابر DDoS را ارائه می دهد، عنوان داشت:
زمانی که حمله به کربز پایان یابد، هر فرد یا سازمان دیگری در اینترنت را می توان هدف بعدی این گروه مهاجم و بات نت های آنها در نظر گرفت.
یکی از دیگر نکات منحصر به فرد در حمله به کربز، به جز اندازه و حجم عملیات، این بود که بیشتر ترافیک مورد استفاده در آن از نوع مستقیم به شمار می رفت. طی سال های اخیر هکرها معمولاً برای اجرای حملات DDoS سرورها را به گونه ای دستکاری می کردند که خودشان ترافیک مربوط به درخواست های نامعتبر و مخرب را تقویت نمایند.
در این نوع حملات، سرورها به ازای هر بسته ارسالی، چند بسته پاسخ تولید می کنند، که معمولاً به آنها «تقویت یا بازتاب» می گویند. در نتیجه این روش، فرد مهاجم به توانی بیشتر از آنچه که واقعاً در اختیار دارد، دست می یابد. اما در مورد کربز، مهاجمین دقیقاً به تمام نیروی مخرب اعمال شده روی وب سایت دسترسی داشتند. «پرینس» می گوید:
لشکر زامبی های اینترنت اشیاء چگونه تشکیل شد
طبق تحقیقات Level 3، بات نت بزرگ تر در حمله به کربز، عمدتاً از دوربین های امنیتی مبتنی بر اینترنت اشیاء تشکیل شده که ساخت شرکت DAHUA Technology هستند. این تولیدکننده در کشور چین فعالیت داشته، ضمن اینکه شعبه ای از آن در کالیفرنیا دایر است و به فروش دوربین ها و DVR ها می پردازد.
گفتنی است وجود این بات نت مدتی پیش از حمله به کربز، یعنی در اواخر آگوست از سوی Level 3 تأیید شده بود.
«درو» می گوید هکرها نوعی آسیب پذیری را در بیشتر دوربین های ساخت این شرکت کشف کرده اند که به هر فردی اجازه می دهد تنها با تایپ کردن یک نام کاربری نامعتبر با تعداد حروف طولانی، به کنترل کامل این دستگاه تحت سیستم عامل لینوکس دست پیدا کند.
هکرها پس از دسترسی، بدافزاری را روی این دستگاه ها بارگذاری کرده اند که آنها را به بات تبدیل نموده، و سپس از مجموعه بات ها (بات نت) برای حملات DDoS یا به منظور اخاذی با استفاده از باج افزار بهره گرفته اند. این بدافزار به طور ویژه برای دیوایس های مبتنی بر لینوکس طراحی شده و عضوی از خانواده معروفی به شمار می رود که پیش تر مواردی همچون Lizkebab یا BASHLITE و همچنین Torlus یا gafgyt را به دنیای هکرها معرفی کرده بود.
طبق اظهارات «مارشال وب» مدیر ارشد تکنولوژی شرکت BackConnect که در زمینه حفاظت از حملات DDoS فعالیت می کند، هکرها از آخرین نسخه خانواده بدافزار فوق تحت عنوان Mirai استفاده کردند.
ظاهراً Mirai با سرعت فوق العاده زیادی پخش می شود. یکی از محققین امنیتی برای بررسی این موضوع، شش ماشین مجازی با ویژگی هایی شبیه به روترهای ADSL مبتنی بر سیستم عامل لینوکس را به عنوان هانیپات (کندوی عسل) طراحی کرده و در دسترس بدافزار مورد بحث قرار داد.
«جک بی.» پژوهشگر امنیتی فوق می گوید تنها ظرف مدت ۱۵ دقیقه، تمامی این شش روتر مجازی از سوی Mirai مورد حمله قرار گرفته و به آن آلوده شدند.
ظاهراً DAHUA پاسخی رسمی به این آسیب پذیری نداده، اما «درو» می گوید شرکت مورد بحث نسبت به نقص امنیتی فوق آگاه بوده و مشغول رفع آن است. اما ماجرا زمانی بغرنج تر می شود که بدانیم DAHUA هیچ راهی برای بستن این رخنه از راه دور ندارد، و مشتریان باید خودشان اقدام به دانلود فرمور جدید و نصب آن روی دوربین ها نمایند.
به همین دلیل «درو» معتقد است سوء استفاده از دوربین های شرکت مورد بحث تا مدت های مدیدی ادامه خواهد یافت.
البته «بات نت های اشیاء» صرفاً از دیوایس های شرکت چینی مذکور تشکیل نشده اند. محققین فهرستی از دیگر دیوایس های نهفته (تعبیه شده) از جمله روترهای خانگی و سرورهای لینوکس را نیز ارائه کرده اند که در بات نت ها حضور دارند.
چه کسی پشت پرده این حملات است؟
ماهیت این نوع تهاجم، یعنی ترافیک ورودی از منابع متعدد، باعث می شود که شناسایی دست های اصلی پشت پرده (یا پشت کیبورد) بسیار دشوار باشد.
طی هفته های گذشته، فرد یا افرادی که در حمله به کربز شرکت داشتند، از همین بات نت ها برای اجرای حملات مشابه به اهدافی دیگر، از جمله وب سایت رسمی المپیک ریو استفاده کرده، و ترافیکی بالغ بر ۵۴۰ گیگابیت بر ثانیه را به این پایگاه اینترنتی وارد نمودند.
ظاهراً در این حمله از نوعی ترافیک شبیه به بسته های داده پروتکل GRE (کپسوله کردن مسیریابی عمومی) استفاده می شود، که انتخاب نامعمولی در حملات DDoS به شمار می رود. گفتنی است در حمله به کربز نیز از همین نوع ترافیک GRE استفاده شده بود.
همچنین چند روز قبل، شرکت هاستینگ فرانسوی OVH خبر داد که مورد چندین حمله DDoS قرار گرفته، و در برخی مواقع ترافیک دریافتی آنها به ۹۰۰ گیگابیت در ثانیه و حتی ۱ ترابیت در ثانیه رسیده است. البته OVH هنوز در این زمینه اطلاعات تکمیلی را ارائه نکرده و بنابراین نمی دانیم آیا حمله به کربز و OVH با یکدیگر مرتبط هستند یا خیر.
برخی شواهد نه چندان قوی، باعث شده انگشت اتهام به سوی گروه هایی همچون لیزارد اسکواد یا PoodleCorp نشانه رود، تیم هایی که با اجرای حملات گسترده DDoS و مختل کردن پلتفرم های گیمینگ و وب سایت ها در گذشته، نامی برای خودشان دست و پا کرده اند.
یکی از شواهد فوق، این است که بدافزار Mirai مورد استفاده در ساخت بات نت پرجمعیت و قدرتمند مورد بحث، بر پایه بدافزار به کار گرفته شده توسط لیزارد اسکواد در گذشته برای آلوده ساختن دیوایس های اینترنت اشیاء طراحی و ساخته شده، اما حقیقت این است که هر فردی می تواند از آن سوء استفاده نماید.
در مدت هجوم به وب سایت کربز، هکری تحت نام مستعار BannedOffline در توئیتر و طی چندین پست، به دست داشتن در این حملات DDoS اشاره کرد، اما مشخصاً او تنها یکی از اعضای گروه مهاجم بوده. او در این رابطه اذعان داشت:
همچنین هکری با نام CripthePoodle که پیش تر از اعضای PoodleCorp به شمار می رفت نیز اعلام کرد که گروه مذکور در این ماجرا نقش دارد، و اضافه کرد:
چندی پیش زمانی که کربز برای اولین بار از بروز مشکلات امنیتی و وقفه موقتی وب سایتش خبر داد، PoodleCorp از طریق حساب کاربری نیمه رسمی خود به تمسخر او پرداخت، هرچند پست مورد بحث پس از مدتی حذف شد.
هر کسی پشت این حمله ها باشد، احتمالاً نه فقط از سوی محققین امنیتی، بلکه از سوی نیروهای دولتی نیز تحت تعقیب قرار دارد. البته FBI هنوز در مورد این موضوع بیانیه ای ارائه نکرده.
به گفته «پرینس» و کمپانی Level 3 حمله به وب سایت کربز آنقدر شدید بوده که باعث آسیب دیدن تعدادی از روترهای اصلی اینترنت شده، و در نتیجه اثرات حمله DDoS به بخش هایی از شبکه کلی اینترنت نیز سرایت کرده. اگرچه این موضوع روی کاربران خانگی تأثیری نداشته، اما شرکت های تأمین کننده اینترنت و مقامات دولتی به خوبی آن را احساس کرده اند.
«پرینس» در این رابطه می گوید:
اما حتی اگر هکرهای عامل این تهاجم DDoS دستگیر شوند، باز هم نگرانی به خاطر آسیب پذیری های گسترده دیوایس های مبتنی بر اینترنت اشیاء ادامه خواهد داشت، و به نظر می رسد این حمله، یکی از اولین نمونه هایی باشد که پتانسیل مخرب سوء استفاده از این پلتفرم را نشان داده است.
«پرینس» معتقد است:
و به گفته «مک کی» از مؤسسه آکامای، ، همه اینها نشانه های نامیمونی برای دنیای اینترنت به شمار می رود.