افزایش قربانیان آلودگی مسیریاب ها بدلیل بی توجهی مالکان تجهیزات

موبنا – به گزارش موبنا به نقل از پایگاه اطلاع رسانی مرکز ماهر، تجهیزات ارتباطی شرکت ‫میکروتیک به ویژه روترهای تولیدی این شرکت در کشور در شبکه‌های کوچک و متوسط بسیار مورد استفاده قرار دارند و از ابتدای امسال چندین ‫آسیب‌ پذیری حیاتی در این تجهیزات شناسایی و منتشر شده است.
گزارش مرکز ماهر در ادامه آورده است: اهمیت این آسیب ‌پذیری‌ها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور و دسترسی به محتوای ترافیک عبوری از مسیریاب (روتر) را فراهم می‌کند
مرکز ماهر تعدادی از مخاطرات دسترسی به ترافیک عبوری را امکان شنود و بررسی ترافیک شبکه قربانی روی پروتکل های SMB,HTTP,SMTP,FTP برشمرد که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان به دست آوردن همه رمز های عبور را که به صورت متن آشکار در حال تبادل در شبکه قربانی است، فراهم می کند.
مرکز ماهر اعلام کرد: با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیب‌پذیری آنها، این مرکز از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب‌ سایت و شبکه تعاملی منتشر کرده است.
گزارش مرکز ماهر تاکید دارد: تعداد دستگاه های فعال میکروتیک با رصد انجام شده در تاریخ ۱۰ مرداد ماه ۱۳۹۷ در کشور برابر با ۶۹ هزار و ۸۰۵ عدد بوده و تعداد دستگاه های آسیب پذیر شناسایی شده توسط این مرکز در تاریخ ۱۴ مرداد ۱۶ هزار و ۱۱۴ عدد بوده است که همه آنها در معرض نفوذ قرار داشتند.
مرکز ماهر اعلام کرد: چندین بار اطلاع رسانی درباره ضرورت بروزرسانی و انجام اقدام های لازم برای جلوگیری و گسترش این تهدید صورت گرفته است و علاوه بر این اقدام هایی مانند قطع ارتباط از خارج کشور به دستگاه­های داخل کشور شامل پورت ۸۲۹۱ (winbox) توانست تا حدی مانع افزایش تعداد قربانیان شود.
مرکز ماهر در ادامه گزارش خود آورده است: به رغم همه اقدام های صورت گرفته متاسفانه مشاهده شد به دلیل همکاری نکردن مالکان این تجهیزات به ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیب‌پذیر بوده و بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمان مختلف قرار گرفته است.
مرکز ماهر اعلام کرد: در موج اخیر حمله و سوءاستفاده از تجهیزات آسیب‌پذیر میکروتیک، مهاجمان با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهره ‌برداری می‌کنند، این حمله ها در اصطلاح سرقت رمزپول (CryptoJacking) نام دارد.
گزارش مرکزماهر اضافه کرده است که با رسانه ای شدن خبر آلودگی بیش از ۷۰ هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری های دستگاه­های میکروتیک این بار با هدف بهره برداری ارزکاوی آغاز شد، هم ‌زمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور کرد که در نخستین مشاهده ها تعداد ۱۵۷ دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد.
مرکز ماهر اعلام کرد: برای جلوگیری از افزایش خسارت های ناشی از این حمله ها، این مرکز اقدام به انتشار چندین اطلاعیه و ارایه راهکاری های کنترلی کرد اما به دلیل بی توجهی به هشدارها و اطلاعیه های این مرکز و توجه نشان دادن هکرها به این نوع حملات و همچنین آلوده سازی دستگاه ها توسط فرآیند خودکار شاهد افزایش روز افزون تعداد دستگاه­های آلوده شده در کشور هستیم.
مرکز ماهر تاکید دارد: روند صعودی حمله ها در روزهای اخیر تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان است.
مرکز ماهر اعلام کرد: بیش از ۱۷ هزار و ۴۵۲ دستگاه آلوده تا لحظه نگارش این گزارش در کشور به ارزکاو مشاهده شده و اکنون از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ‌ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست.
گزارش مرکز ماهر تاکید دارد: بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حمله های این ۱۷ هزار و ۴۵۲ دستگاه حداکثر ۲۴ مهاجم هستند و نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمان و سرقت رمز عبور و اخذ دسترسی،‌ حتی بعد از بروزرسانی( firmware) نیز همچنان در کنترل مهاجمان قرار دارند.
مرکز ماهر اعلام کرد: شرکت‌های بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

** دستورالعمل پاکسازی دستگاه‌های آلوده
گزارش مرکز ماهر اقدام هایی را برای اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب ‌پذیری مجدد انتشار داده است که می توان به قطع ارتباط روتر از شبکه، بازگردانی به تنظیمات کارخانه‌ای (Factory reset)، بروزرسانی (firmware) به آخرین نسخه منتشر شده توسط شرکت میکروتیک، تنظیم مجدد روترو غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی فقط از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام شود) اشاره کرد.
مرکز ماهر از دارندگان این تجهیزات خواسته است با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستم‌های تحت کنترل خود تغییر دهند.
بنا بر این اطلاعیه، فهرست همه تجهیزات آلوده‌ شناسایی شده به تفکیک شرکت‌ها و سازمان‌های مالک، به سازمان تنظیم مقررات رادیویی ارسال شده است و درصورت اقدام نکردن این شرکت‌ها در راستای پاکسازی و رفع آسیب‌پذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.
روتر یا مسیریاب، دستگاهی است که داده‌های اینترنتی را در شبکه مسیریابی می‌کند. روتر را می توان کلیدی ترین دستگاه ارتباطی در دنیا شبکه نامید که با اتصال شبکه‌‌های محلی کوچک به یکدیگر و مسیریابی بسته‌های اطلاعاتی، شبکه ای از شبکه‌ها که امروزه به آن اینترنت می ‌گوییم را شکل می‌دهد.