قربانیان آلودگی مسیریاب‌ها افزایش یافت

۱۳۹۷/۰۸/۰۲ - ۰۰:۰۰:۰۰
کد خبر: ۱۳۲۳۷۲

ماهر| مرکز مدیریت امداد و هماهنگی عملیات رخداد‌های رایانه‌ای کشور اعلام کرد: بی‌توجهی مالکان تجهیزات مسیریاب‌های میکروتیک به هشدارها و توصیه‌های مرکز ماهر برای مقابله با آسیب‌پذیری آنها، سبب سرعت گرفتن آلودگی دستگاه‌ها و افزایش قربانیان شده است.

تجهیزات ارتباطی شرکت ‫میکروتیک به ویژه روترهای تولیدی این شرکت در کشور در شبکه‌های کوچک و متوسط بسیار مورد استفاده قرار دارند و از ابتدای امسال چندین ‫آسیب‌‌پذیری حیاتی در این تجهیزات شناسایی و منتشر شده است. گزارش مرکز ماهر در ادامه آورده است: اهمیت این آسیب‌پذیری‌ها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور و دسترسی به محتوای ترافیک عبوری از مسیریاب (روتر) را فراهم می‌کند مرکز ماهر تعدادی از مخاطرات دسترسی به ترافیک عبوری را امکان شنود و بررسی ترافیک شبکه قربانی روی پروتکل‌های SMB,HTTP,SMTP,FTP برشمرد که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان به دست آوردن همه رمز‌های عبور را که به صورت متن آشکار در حال تبادل در شبکه قربانی است، فراهم می‌کند. مرکز ماهر اعلام کرد: با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیب‌پذیری آنها، این مرکز از ابتدای سال حداقل 6 مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب‌ سایت و شبکه تعاملی منتشر کرده است.

گزارش مرکز ماهر تاکید دارد: تعداد دستگاه‌های فعال میکروتیک با رصد انجام شده در تاریخ 10 مرداد ماه 1397 در کشور برابر با 69 هزار و 805 عدد بوده و تعداد دستگاه‌های آسیب پذیر شناسایی شده توسط این مرکز در تاریخ 14 مرداد 16 هزار و 114 عدد بوده است که همه آنها در معرض نفوذ قرار داشتند.

مرکز ماهر اعلام کرد: چندین بار اطلاع‌رسانی درباره ضرورت بروزرسانی و انجام اقدام‌های لازم برای جلوگیری و گسترش این تهدید صورت گرفته است و علاوه بر این اقدام‌هایی مانند قطع ارتباط از خارج کشور به دستگاه­های داخل کشور شامل پورت 8291 (winbox) توانست تا حدی مانع افزایش تعداد قربانیان شود. مرکز ماهر در ادامه گزارش خود آورده است: با وجود همه اقدام‌های صورت گرفته متاسفانه مشاهده شد به دلیل همکاری نکردن مالکان این تجهیزات به ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره‌بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیب‌پذیر بوده و بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمان مختلف قرار گرفته است.

مرکز ماهر اعلام کرد: در موج اخیر حمله و سوءاستفاده از تجهیزات آسیب‌پذیر میکروتیک، مهاجمان با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور‌کننده از این روترها در هنگام مرور وب بهره‌برداری می‌کنند، این حمله‌ها در اصطلاح سرقت رمزپول (CryptoJacking) نام دارد.

گزارش مرکزماهر اضافه کرده است که با رسانه‌ای شدن خبر آلودگی بیش از 70 هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب‌پذیری‌های دستگاه­‌های میکروتیک این‌بار با هدف بهره‌برداری ارزکاوی آغاز شد، همزمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور کرد که در نخستین مشاهده‌ها تعداد 157 دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد. مرکز ماهر اعلام کرد: بیش از 17 هزار و 452 دستگاه آلوده تا لحظه نگارش این گزارش در کشور به ارزکاو مشاهده شده و اکنون از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ‌ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست.

گزارش مرکز ماهر تاکید دارد: بررسی‌های کارشناسان مرکز ماهر حاکی از این نکته است که منشأ حمله‌های این 17 هزار و 452 دستگاه حداکثر 24 مهاجم هستند و نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمان و سرقت رمز عبور و اخذ دسترسی، حتی بعد از بروزرسانی (firmware) نیز همچنان در کنترل مهاجمان قرار دارند. مرکز ماهر اعلام کرد: شرکت‌های بزرگ و کوچک ارایه خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

گزارش مرکز ماهر اقدام‌هایی را برای اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب‌پذیری مجدد انتشار داده است که می‌توان به قطع ارتباط روتر از شبکه، بازگردانی به تنظیمات کارخانه‌ای (Factory reset)، بروزرسانی (firmware) به آخرین نسخه منتشر شده توسط شرکت میکروتیک، تنظیم مجدد روترو غیرفعال کردن دسترسی به پورت‌های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی فقط از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام شود) اشاره کرد.

مرکز ماهر از دارندگان این تجهیزات خواسته است با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستم‌های تحت کنترل خود تغییر دهند.