حملات گسترده هکری از داخل کشور

قربانی‌گرفتن اپلیکیشن‌ها و فیلترشکن‌ها آغاز شد

یک مثل قدیمی در دنیا معروف است که می‌گوید: «پنیر رایگان فقط در تله‌موش پیدا می‌شود». این روزها نسخه و مثل دیگری برای استفاده از محصولات رایگان در دنیای سایبری وجود دارد که می‌گوید: «اگر کاربر یک سرویس آنلاین رایگان هستید، در واقع خودتان محصول آن سرویس هستید!»

این مثال‌ها درباره استفاده از فیلترشکن‌ها و اپلیکیشن‌های نامعتبر، اما آثار و تبعات به مراتب وخیم‌تر، پنهان‌تر و پیچیده‌تري دارد؛ به این مفهوم که گاه یک اپلیکیشن یا سرویس به ظاهر خدماتی رایگان، صرفا اطلاعات و عادات رفتاری یک کاربر را جمع‌آوری و به شرکت‌های تبلیغاتی می‌فروشد. در نمونه‌هایی دیگر حتی اپ‌های تقلبی در کشور مشاهده شده‌اند که با دسترسی به سرویس ارسال پیامک کاربران، پس از نصب روی گوشی ایشان، اقدام به ارسال پیامک و فعال‌سازی خدمات ارزش‌ افزوده (پیامک‌های پولی) کرده و هزینه‌های زیادی روی دست میلیون‌ها قربانی بی‌اطلاع می‌گذارند.

اما وقتی صحبت از اپلیکیشن‌های نامعتبر و فیلترشکن‌های رایگان و گاه پولی می‌شود، اوضاع کاملا تفاوت می‌کند؛ زيرا کاربران این قبیل اپلیکیشن‌ها، طعمه‌های با ارزشی محسوب می‌شوند که سوءاستفاده‌های تجاری و تبلیغاتی کمترین و بی‌خطرترین کارکرد آنها به شمار می‌رود.

**اكنون این موضوعی مشهور و مشهود است که پشت بسیاری از فیلترشکن‌های موجود در دنیا، هکرها و نهادهای اطلاعاتی کشورهای مختلف قرار دارند که از کاربران خود برای اهداف به مراتب گسترده‌تری بهره مي‌برند؛ از جاسوسی و باج‌گیری گرفته تا تبدیل دستگاه قربانی به یک زامبی بی‌اراده و بی‌خبر که امکان انجام حملات هکری به اهداف درون و بیرون کشورها را فراهم می‌کند و می‌تواند تبعات بسیار جدی و گاه در سطح ملی ایجاد کند.**

آمار می‌گویند بالغ بر 80 درصد کاربران تلگرام در ایران، بعد از فیلترینگ این پیام‌رسان در کشور، همچنان ارتباط خود را با این ابزار حفظ کرده‌اند و این یعنی چیزی بالغ بر 30 میلیون نفر در ایران از فیلترشکن استفاده می‌کنند؛ موضوعی که محمود صادقی، نماینده تهران در مجلس شورای اسلامی نیز آن را تایید کرده است.

اگر عبارت «خطرات استفاده از فیلترشکن‌ها» را در اینترنت جست‌وجو کنید، با حجم بالایی از مطالب مواجه می‌شوید، از جمله این تیتر جالب: «خطر فیلترشکن‌ها بیشتر از تلگرام است».

همان‌طور که ذکر شد، خطرات فیلترشکن‌ها از اطلاعات خصوصی و بانکی کاربران نصب‌کننده آنها گرفته تا مسايل پیچیده‌تري همچون استفاده از دستگاه قربانی برای انجام حملات هکری به نهادهای مهم درون و برون‌کشوری را شامل می‌شوند که طبعا و طبق قانون، مسوولیت این حملات که در زمره جرایم سنگین محسوب می‌شود به عهده قربانی است و اثبات بی‌تقصیر بودن کاری سخت و پیچیده است.

از این رو و از آنجا که پیش از این نیز بارها به تهدیدها و خطرات پیرامون استفاده بی‌رویه از اپلیکیشن‌های بی‌فایده و نامعتبر و فیلترشکن‌هایی که گاه توسط هکرها و نهادهای اطلاعاتی تهیه می‌شوند پرداخته‌ایم، به موضوع اصلی این گزارش یعنی پیدایش آثار اولیه تهدیدهاي ناشی از استفاده میلیون‌ها ایرانی از اپ‌های تقلبی و فیلترشکن‌ها می‌پردازیم که ظاهرا موجب جهش در میزان آلودگی موبایل‌ها و کامپیوترهای ایرانی‌ها شده است.

عامل آلودگی تنها فیلترشکن‌ها نیستند

اما همان‌طور که ذکر شد، در ایران این تنها فیلترشکن‌ها نیستند که میزان آلودگی کاربران ایرانی را افزایش داده‌اند. چند ماهی است که در گروه‌های تلگرامی پیام‌هایی به شکل انبوه از دستگاه‌های قربانی و آلوده به نسخه‌های موسوم به تلگرام ضد فیلترینگ در حال پخش است که عمدتا این وعده را به کاربران می‌دهند: «سرانجام نسخه ضد فیلتر تلگرام عرضه شد» و در ادامه لینک یا فایلی برای دانلود مشاهده می‌شود.

یا پیام‌هایی از این دست:

«فوری...لحظاتی پیش نسخه جدید تلگرام X منتشر شد... فیلترینگ ایران توسط تلگرام شکست خورد... تلگرام با استفاده از بلاک‌چین و پروکسی‌های ضد فیلتر، غیر قابل فیلتر شد و نیازی به استفاده از فیلترشکن نیست... در این نسخه تمامی امکانات تلگرام‌های غیر رسمی از جمله حالت روح اضافه شده است».

‌این نسخه‌های موسوم به تلگرام ضد فیلترینگ در واقع تمام بدافزارهایی هستند که صرفا با هدف آلودگی کاربران در حال پخش است.

یا نمونه‌هایی این گونه:

«فوری! موبوگرام فیلترینگ را دور زد. موبوگرام با حمایت مدیران تلگرام، فیلترینگ را از ساعتی پیش به‌صورت کامل دور زد و به صورت هوشمند به سرورهای بلاک‌چین متصل می‌شود و نیازی به فیلترشکن نیز ندارد.سریعا نسخه جدید را نصب و برای دوستانتان ارسال کنید».

مورد دیگری که ایرانیان زیادی را آلوده کرد، این پیام و بدافزار متصل به آن در تلگرام بود:

«#فوری/‌ #رسمی! تقویم فارسی 1398 منتشر شد... رکورد #تعطیلات در سال 98 شکسته شد... مدارس تا 16 #فروردین تعطیل هستند... تعطیلی چهار روزه در #خرداد و کلی جزئیات جالب در تقویم 98... برای اطلاع از تمامی تعطیلات نسخه رسمی تقویم 98 را نصب کنید».

البته این بدافزار واکنش پلیس فتا را به دنبال داشت و این پلیس اعلام کرد: تقویم سال ۹۸ را از سایت‌های معتبر دانلود کنید.

رییس پلیس فتا استان کرمانشاه در خصوص بد‌افزارهایی که با عناوینی چون تقویم سال ۱۳۹۸ برای گوشی تلفن همراه منتشر می‌شود، گفت: مجرمان بیشتر بدافزارهای خود را از طریق شبکه‌های اجتماعی با تبلیغات فریبنده‌ای چون «تعداد روزهای تعطیل زیاد است و ...» منتشر می‌کنند.

سرهنگ علی ‌کریمی، رییس پلیس فتا استان کرمانشاه در تشریح این خبر گفت: سودجویان سایبری با سوءاستفاده از علاقه کاربران برای نصب تقویم سال جدید، اقدام به طراحی بدافزارهایی براي سوء‌استفاده از طعمه‌های خود کرده و آن را ارسال می‌کنند.

البته پلیس فتا در مورد بدافزارهایی که با نام تلگرام ضد فیلترینگ نیز منتشر می‌شود، بارها هشدار و تذکراتی داده است:

11 ارديبهشت‌ماه امسال ريیس مرکز تشخیص و پیشگیری از جرايم سایبری پلیس فتا در خصوص انتشار گسترده بدافزارها در قالب دورزدن فیلترینگ تلگرام هشدار داد.

سرهنگ علی نیک‌نفس با اشاره به انتشار گسترده بدافزارها در آن مقطع، اظهار کرد: متاسفانه به دنبال انتشار خبر فیلترینگ تلگرام، شاهد انتشار گسترده و حجم قابل توجهی از بدافزارها در فضای مجازی تحت عناوین مختلف «دور زدن فیلتر تلگرام» یا «نسخه‌های جدید تلگرام» هستیم.

ريیس مرکز تشخیص و پیشگیری از جرايم سایبری پلیس فتا ادامه داد: بخشی از این موضوع ناشی از آمادگی مجرمانی بوده که برای سرقت از کاربران در کمین نشسته بودند و با توجه به شرایط به وجود آمده اقدام به انتشار گسترده این بدافزارها کرده‌اند.

به گفته ريیس مرکز تشخیص و پیشگیری از جرايم سایبری پلیس فتا، سرقت اطلاعات شخصی و اطلاعات حساب‌های بانکی کاربران از اهداف اصلی این بدافزارها بوده که مشکلات جدی برای کاربران ایجاد خواهد کرد.

اما اینها هم تنها عاملان آلودگی میلیونی گوشی‌ها و کامپیوترهای ایرانیان به انواع بدافزار و باج‌افزارها و تبدیل آنها به زامبی نیست.

این روزها بسیاری از مردم با تبلیغات گسترده انبوهی از اپلیکیشن‌ها نیز مواجه هستند که نه کارکرد، نه گردش مالی و نه گردانندگان و اهداف آنها روشن و مشخص است. این اپلیکیشن‌ها وعده‌های رنگارنگی از جایزه را به مشترکان می‌دهند؛ اطلاعاتی از اینکه آلوده به بدافزار هستند یا نه وجود ندارد و با اتهامات گسترده‌ای؛ از فعال‌سازی پیامک‌های ارزش‌افزوده (پولی) گرفته تا تبدیل کامپیوتر و عمدتا موبایل کاربران به زامبی را دربر می‌گیرد و کار تقریبا از هشدار گذشته و حالا روی گوشی میلیون‌ها ایرانی نصب شده‌اند و خدا می‌داند در حال چه سوءاستفاده‌هایی هستند.

ولی افتاد مشکل‌ها

به هر حال ظاهرا و آن‌طور که پیش‌بینی می‌شد، فیلترینگ تلگرام چندان بی‌هزینه نبوده و اینکه مقصر یا مقصران چه کسانی هستند چندان تفاوتی نمی‌کند؛ چون کسی کاری با ایشان ندارد، اما حالا شاهد پیدایش آثار اولیه خطرات ناشی از فیلترینگ تلگرام و البته موضوع مهم‌تر، آزاد گذاشتن عرضه و کار فیلترشکن‌ها هستیم.

هفته قبل روزنامه فناوران اطلاعات در دو گزارش به پدیده مهمی پرداخت که ظاهرا مسوولان ترجیح داده بودند که فعلا موضوع را رسانه‌ای نکنند تا اشراف و کنترل کافی بر آن پیدا کنند.

گزارش اول

براساس آنچه در اين گزارش آمده بود، حملات DDoS یا ‌Distributed Denial of Service، یکی از رایج‌ترین و قدیمی‌ترین نوع از حملات هکری در دنیا محسوب می‌شود. در این نوع حمله، حجم زیادی تقاضای کاذب به سمت سرور هدف یا قربانی صادر می‌شود که در نهایت باعث کندی و حتی از کار افتادن سرور می‌شود.

این حملات عموما از سمت خارج از کشور انجام می‌شود؛ زيرا در صورت حمله از داخل، امکان شناسایی فرد مهاجم وجود دارد. در چند هفته اخیر اما برخی کسب‌و‌کارهای ایرانی زیر شدیدترین حملات DDoS بوده‌اند، با این تفاوت که بخش مهمی از حملات برخلاف روال مرسوم نه از خارج بلکه از داخل کشور و از سمت دستگاه‌های صدها هزار و حتی میلیون‌ها ایرانی انجام شده است.

بررسی کارشناسان و کسب‌و‌کارها نشان می‌دهد حجم بزرگ آلودگی، ناشی از نصب گسترده ابزارهای موسوم به دور زدن فیلتر تلگرام، از قبیل پوسته‌های فارسی یا فیلترشکن‌ها بوده است. به این ترتیب میلیون‌ها کاربر آلوده ایرانی، به مانند زامبی‌هایی بی‌خبر از همه‌جا، حالا در اختیار گروه‌های هکری هستند تا به اهداف داخلی و در آینده حتی به اهداف خارجی حمله کنند؛ موضوعی که می‌تواند عوارض و بحران‌های بزرگی را برای کشور به همراه داشته باشد.

مدیر یکی از کسب‌و‌کارهایی که در هفته‌های گذشته متحمل حملات شدیدی بوده، در این باره توضیح می‌دهد: حملات DDoS از چهار هفته پیش آغاز شد و حجم حملات رفته‌رفته افزایش یافت. البته فرد مهاجم نیز به‌طور مرتب با ما از طریق تلگرام در تماس است و جملات تهدید‌آمیز می‌گوید و درخواست باج می‌کند.

از سوي ديگر، مدیر یک سایت فروش اینترنتی بلیت حمل‌و‌نقل نیز با بیان اینکه در 40 روز گذشته زیر بار حمله بوده‌اند، گفت: حملات DDoS برای ما اتفاق جدیدی نیست، ولی این حجم و نوع حملات کاملا متمایز از تمامی حملات پیشین است.

وی با بیان اینکه فرد مهاجم در ایمیل با ما در ارتباط است، گفت: او دانش بسیار خوبی دارد و در روز اول خواستار 6/0 بیت‌کوین باج بود که امروز این میزان به 10 بیت‌کوین رسیده است.

جعفر محمدی، عضو هیات‌مدیره سازمان نظام صنفی رایانه‌ای استان تهران نیز با تایید اینکه در هفته‌های گذشته شاهد حملات گسترده DDoS به برخی کسب‌و‌کارهای داخلی بوده‌ایم، گفت: این حملات معمولا از خارج از کشور اتفاق می‌افتد که با استفاده از سرویس DDoS Protection بیش از 60 تا 90 درصد این حملات شناسایی می‌شود. با این حال اگر حجم حملات از سمت خارج بسیار بزرگ باشد، همان درصد باقی‌مانده هم می‌تواند دردسرساز شود.

تایید گزارش از سوی مسوولان

پس از انتشار اين گزارش، امیر ناظمی، معاون وزیر ارتباطات و رییس سازمان فناوری اطلاعات ضمن تاييد حملات صورت‌گرفته، به روزنامه فناوران گفت: نوع و حجم حملات DDoS نسبت به گذشته در حملات اخیر تغییر کرده است. وی در خصوص شكل پايه‌ريزي اين حمله گفت: فرضیه نخست در ابتدا این بود که حملات DDoS  مثل سایر حملاتی که معمول است، به صورت هدفمند به یک کسب‌و‌کار صورت می‌گیرد. این حملات معمولا از یک رنج IP و از خارج انجام می‌گیرد.

وی ادامه داد: اما از آنجا که تعدادIPهای استفاده‌شده برای حملات DDoS بسیار زیاد است، فرضیه دوم و ظن قوی‌تر ما این است که بر اثر آلودگی ایجاد‌شده توسط یک اپلیکیشن، موبایل‌ها و کامپیوترهایی تبدیل به زامبی شده و به کسب‌وکارها حمله می‌کنند.

ناظمی در پاسخ به این پرسش که ممکن است این بدافزار به عنوان فیلترشکن یا پوسته‌های فارسی تلگرام به‌صورت گسترده در موبایل‌ها و کامپیوترها توزیع شده باشند، گفت: بله این موضوع یکی از احتمالات است ولی در حال بررسی‌های بیشتر و آماده کردن گزارش‌هاي تکمیلی هستیم.

وی در پاسخ به این پرسش که چقدر اقدامات پیشگیرانه این سازمان می‌تواند موثر باشد، گفت: به هر حال این موضوعات به شبکه فشار می‌آورد و فعلا کنترل شده است. در هفته‌های گذشته نیز ما برای این که تشنجی در جامعه به وجود نیاید از رسانه‌ای کردن موضوع خودداری کردیم و خوشبختانه اکنون با شرایط بهتری به مقابله با این حملات پرداخته‌ایم.

ناظمی در پاسخ به این پرسش که به نظر می‌رسد چه تعداد دستگاه کاربران ایرانی تبدیل به زامبی شده‌اند، گفت: تعداد رنج IPها بسیار بالا است و از آنجا که بیشترین IPها متعلق به اپراتورهای موبایل است، به نظر می‌رسد این آلودگی از طریق یک اپلیکیشن روی موبایل صورت گرفته است.

نبود سرویس ‌محافظتی روی شبکه ملی اطلاعات!

اما سجاد بنابی، عضو هیات‌مدیره شرکت زیرساخت از موضوع مهم دیگری پرده برداشته و در پاسخ به فناوران درباره اینکه آیا سرویس‌ DDoS Protection روی اینترنت ایران فعال است، توضیح داد: بله، براساس قانون روی Gateway اینترنت بین‌الملل این سرویس وجود دارد. علاوه بر این لینک‌هایی وجود دارد که از حفاظت بهتری برخوردارند و در هنگام حمله اخیر نیز با جابه‌جایی لینک‌ها، جلو حملات DDoS از خارج از کشور را گرفتیم.

وی با بیان اینکه در حملات اخیر تنها 24 ساعت حمله از خارج از کشور صورت گرفته و بقيه منشا داخلی دارد، گفت: زیرساخت آمادگی این را دارد که روی شبکه ملی اطلاعات نیز سرویس DDoS Protection را راه‌اندازی کند. در داخل کشور عملا یک کسب‌و‌کار است و برخی‌FCPها هم همین الان اینترنت Protected با تعرفه گران‌تر از اینترنت معمولی ارایه می‌دهند. زیرساخت برای اینکه با بخش خصوصی رقابت نکند وارد حوزه  Protection داخلی نشده است.

بنابی ادامه داد: **اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد، شرکت زیرساخت آماده سرمایه‌گذاری در این حوزه را دارد، ولی تا امروز حاکمیت چنین نظری نداشته و ما هم تا امروز ابا داشتیم این پیشنهاد را بدهیم؛ زيرا DDoS Protection تجارت سودآوری است.**

حمله کفتار سایبری به روزنامه فناوران

در پی انتشار گزارش‌هایی درباره حملات گسترده DDoS به کسب‌وکارها در داخل کشور، سایت ITmen.ir (‌سايت روزنامه فناوران) با حملات شدید DDoS مواجه شد.

فرد مهاجمی که پیش از این در تماس تلگرامی و ایمیلی با برخی کسب‌وکارها خود را نماینده گروه هکری معرفی کرده بود، هفته گذشته در پیامی به خبرنگار فناوران تهدید کرد در صورت ادامه انتشار گزارش در خصوص این حملات، به سایت ITmen.ir حمله خواهد کرد! فرد مهاجم که با اکانت Master فعال است، مدعی شد با انتشار این گزارش‌ها، بقیه افراد نیز متوجه این نوع کسب‌وکار شده و حملات مشابهی انجام خواهند داد!

در ادامه این فرد با ادمین کانال و سردبیر روزنامه از طریق تلگرام تماس گرفت و تهدیدهاي مشابهی را مطرح کرد.

سرانجام فرد مهاجم از حدود ساعت 17:45 دقیقه روز یکشنبه، تهدیدهاي خود را عملی کرده و سایت itmen.ir به دلیل حملات DDoS از دسترس خارج شد.

این فرد مهاجم پیشتر نیز به کسب‌و‌کارهای مختلفی پیام داده و خواستار دریافت باج به شکل بیت‌کوین شده است. او همچنین به صاحبان کسب‌و‌کارها گفته است در صورتی که باج مورد نظر را پرداخت کنند حاضر است به کسب‌و‌کارهای رقیب‌شان حمله کند. این بار اما جریان اطلاع‌رسانی از سوی مهاجم هدف قرار گرفت و به نظر می‌رسد وی از اینکه رقبای دیگری وارد این کار شده یا با حساسیت بیشتر در جامعه، مقابله جدی‌تری با این حملات صورت گیرد، هراس دارد.

جمع‌بندی و نتیجه‌گیری

اما تمام این موضوعات با وجود تلخی، گستردگی و نگران‌کننده بودن آن، همچنان یک اتفاق کوچک است و اگر شاهد حملات به مواضع حساس کشورهای دیگر با اتکا به دستگاه‌های زامبی‌شده ایرانی باشیم، تبعات سختی برای ما به همراه خواهد داشت.

**از سوي ديگر نكته‌اي كه نبايد از نظر دور داشت، برخوردهاي گزينشي با فيلترشكن‌ها است؛ به اين معني كه اگرچه در شرايط خاص شاهد بوده‌ايم كه فيلترشكن‌ها مسدود و جلوي فعاليت آنها گرفته شده است، اما در برخي مقاطع نيز آنها رها شده‌اند.** در بسياري از مقاطع كاسبان اين تجارت سياه و البته پرسود به‌راحتي و آزادانه در حال ارايه فيلترشكن‌هاي رايگان و پولي هستند كه بعضا همين ابزار حاوي بدافزار بوده و موبايل يا لپ‌تاپ كاربر را به يك زامبي در اختيار هكر تبديل مي‌كنند.

بروز حملات گسترده از طريق آي‌پي‌هاي داخلي كه عموما نيز به موبايل مربوط مي‌شوند، گوياي اين امر است كه كاربران ايراني از طريق اپليكيشن‌هايي كه نصب كرده‌اند آلوده شده‌اند. اگر فيلترشكن‌ها را به‌عنوان پرخطرترين ابزار به لحاظ احتمال آلودگي به ويروس كنار بگذاريم، بايد اذعان داشت كه عرضه بی‌رویه انواع اپلیکیشن‌های نامعتبر و تقلبی نیز حالا از مرحله معضل گذشته و با نصب روی گوشی میلیون‌ها ایرانی به مثابه یک بمب سایبری ساعتی عمل می‌کند که هر لحظه می‌تواند یک بحران ایجاد کند.