انجام حملات جستجوی فراگیر بر روی درگاه‌های Telnet‌ با استفاده از تجهیزات توکار

محققان امنیتی به تازگی خبر از شناسایی حداقل ۴۰ هزار نشانی IP می‌دهند که هر روز حملات جستجوی فراگیر را علیه درگاه‌های Telnet انجام می‌دهند. بررسی‌های بیشتر در این خصوص نشان می‌دهد که بیشتر این نشانی‌ها مربوط به دستگاه‌های اینترنت اشیاء‌ و تجهیزات توکار است.

اطلاعات انجمن CZ.NIC در این خصوص که از کارگزارهای هانی‌پات جمع‌آوری شده است، نشان می‌دهد که میزان حملات انجام‌شده علیه درگاه‌های Telnet دو برابر حملات انجام‌شده علیه SSH است. هانی‌پات، یک منبع سامانه اطلاعاتی با اطلاعات کاذب است که برای مقابله با نفوذگرها و کشف و جمع‌آوری فعالیت‌های غیرمجاز در شبکه‌های رایانه‌ای بر روی شبکه قرار می‌گیرد. این اطلاعات همچنین نشان می‌دهند که در اواخر ماه می ۲۰۱۶، افزایش قابل‌توجهی در حملات انجام‌شده علیه درگاه‌های Telnet مشاهده می‌شود.

طبق بررسی‌ها، این حملات از بیش از ۴۰ هزار نشانی IP به صورت روزانه انجام می‌پذیرد. آمارها در این خصوص نشان می‌دهد که در ماه ژوئن، این میزان به ۱۲۰ هزار نشانی IP افزایش یافته است و در آگوست بار دیگر به میزان ابتدایی بازگشته است.

محققان پس از بررسی و تحلیل نشانی‌های IP، دریافتند که بیشتر این حملات از کشورهایی مانند چین، برزیل، ویتنام، ترکیه، تایوان، روسیه، هند، کره جنوبی، آمریکا و فیلیپین انجام می‌شوند.

محققان در ادامه تحقیقات خود با استفاده از موتور جستجوی Shodan به منظور تحلیل دسته‌ای از نشانی‌های IP، کشف کردند که بیشتر این نشانی‌ها از دستگاه‌های نصب‌شده مانند مسیریاب‌ها، دوربین‌های مداربسته، دستگاه‌های ضبط فیلم و دستگاه‌هایی که مجهز به کارگزارهای وب هستند، انجام شده است. نکته دیگر در مورد دستگاه‌ها این است که آسیب‌پذیری‌های جدی در برخی از آن‌ها مشاهده می‌شود. اشکال Misfortunate Cookie یکی از این آسیب‌پذیری‌هاست که در بیش از ۱۲ میلیون مسیریاب مدل SOHO مشاهده می‌شود.

نکته‌ای که در این خصوص برای محققان واضح و بدون ابهام به نظر می‌رسد،‌ این است که این حملات هرگز از طریق کارگزارهای کنترل و فرمان‌دهی هدایت نمی‌شده‌اند، بلکه خود دستگاه‌ها (بات‌نت)‌ این حملات را ترتیب می‌داده‌اند. نفوذگران نیز طی فرآیند حمله خود همواره امید داشته‌اند که بتوانند کارگزار هانی‌پات را به این دستگاه‌ها اضافه کنند.

نکته دیگری که در تحقیقات محققان مشخص شده،‌ این است که یک بدافزار که با آلوده کردن دستگاه‌های اینترنت اشیاء، آن‌ها را به عنوان ابزار حمله مورد استفاده قرار می‌دهد، در چندین ماه گذشته بسیار پرکار بوده و دستگاه‌های بسیاری را آلوده کرده است. برای مثال،‌ تروجان منع سرویس Mirai که به تازگی کشف شده و از گروه تروجانی Gafgyt است، با انجام حملات جستجوی فراگیر بر روی Telnet، دستگاه‌ها را آلوده می‌کند.

کِرم PhotoMiner که توسط کلاهبرداران برای استخراج ارز رمزنگاری‌شده مورد استفاده قرار می‌گیرد نیز مثال مناسب دیگری است که با استفاده از حملات Telnet امکان انجام حمله اصلی خود را فراهم می‌کند. ابزار منع سرویس LizardStresser نیز نمونه دیگری از این بدافزارهاست که توسط گروه نفوذ Lizard Squad پخش شده است.

در کنار این گزارش‌ها،‌ یک گزارش دیگر در مورد این مسائل منتشر شد که در آن بیان شده است که نفوذگران به بیش از یک میلیون دستگاه اینترنت اشیا و دستگاه‌های توکار در چند ماه گذشته حمله کرده‌اند. برخی دستگاه‌های مورد حمله در این فرآیند طبق بررسی‌ها مشخص شده‌اند که از میان آن‌ها می‌توان به دستگاه ضبط فیلم Dahua اشاره کرد که طبق یافته‌های محققان انجمن CZ.NIC، یکی از ابزار مقدماتی و لازم برای انجام حملات Telnet است.

نمودار زیر نشان می‌دهد که ۲۹.۹ درصد از دستگاه‌های ضبط فیلم Dahua که امروزه به صورت اینترنتی در دسترس هستند، توسط نفوذگران مورد حمله قرار گرفته‌اند و با استفاده از آن‌ها حملات جستجوی فراگیر بر روی Telnet ترتیب داده شده است. همچنین این نمودار نشان می‌دهد که ۶۶.۶ درصد از دستگاه‌هایی که از کارگزار وب H۲۶۴DVR استفاده می‌کنند، مورد حمله نفوذگران واقع شده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.