محققان امنیتی به تازگی خبر از شناسایی حداقل ۴۰ هزار نشانی IP میدهند که هر روز حملات جستجوی فراگیر را علیه درگاههای Telnet انجام میدهند. بررسیهای بیشتر در این خصوص نشان میدهد که بیشتر این نشانیها مربوط به دستگاههای اینترنت اشیاء و تجهیزات توکار است.
اطلاعات انجمن CZ.NIC در این خصوص که از کارگزارهای هانیپات جمعآوری شده است، نشان میدهد که میزان حملات انجامشده علیه درگاههای Telnet دو برابر حملات انجامشده علیه SSH است. هانیپات، یک منبع سامانه اطلاعاتی با اطلاعات کاذب است که برای مقابله با نفوذگرها و کشف و جمعآوری فعالیتهای غیرمجاز در شبکههای رایانهای بر روی شبکه قرار میگیرد. این اطلاعات همچنین نشان میدهند که در اواخر ماه می ۲۰۱۶، افزایش قابلتوجهی در حملات انجامشده علیه درگاههای Telnet مشاهده میشود.
طبق بررسیها، این حملات از بیش از ۴۰ هزار نشانی IP به صورت روزانه انجام میپذیرد. آمارها در این خصوص نشان میدهد که در ماه ژوئن، این میزان به ۱۲۰ هزار نشانی IP افزایش یافته است و در آگوست بار دیگر به میزان ابتدایی بازگشته است.
محققان پس از بررسی و تحلیل نشانیهای IP، دریافتند که بیشتر این حملات از کشورهایی مانند چین، برزیل، ویتنام، ترکیه، تایوان، روسیه، هند، کره جنوبی، آمریکا و فیلیپین انجام میشوند.
محققان در ادامه تحقیقات خود با استفاده از موتور جستجوی Shodan به منظور تحلیل دستهای از نشانیهای IP، کشف کردند که بیشتر این نشانیها از دستگاههای نصبشده مانند مسیریابها، دوربینهای مداربسته، دستگاههای ضبط فیلم و دستگاههایی که مجهز به کارگزارهای وب هستند، انجام شده است. نکته دیگر در مورد دستگاهها این است که آسیبپذیریهای جدی در برخی از آنها مشاهده میشود. اشکال Misfortunate Cookie یکی از این آسیبپذیریهاست که در بیش از ۱۲ میلیون مسیریاب مدل SOHO مشاهده میشود.
نکتهای که در این خصوص برای محققان واضح و بدون ابهام به نظر میرسد، این است که این حملات هرگز از طریق کارگزارهای کنترل و فرماندهی هدایت نمیشدهاند، بلکه خود دستگاهها (باتنت) این حملات را ترتیب میدادهاند. نفوذگران نیز طی فرآیند حمله خود همواره امید داشتهاند که بتوانند کارگزار هانیپات را به این دستگاهها اضافه کنند.
نکته دیگری که در تحقیقات محققان مشخص شده، این است که یک بدافزار که با آلوده کردن دستگاههای اینترنت اشیاء، آنها را به عنوان ابزار حمله مورد استفاده قرار میدهد، در چندین ماه گذشته بسیار پرکار بوده و دستگاههای بسیاری را آلوده کرده است. برای مثال، تروجان منع سرویس Mirai که به تازگی کشف شده و از گروه تروجانی Gafgyt است، با انجام حملات جستجوی فراگیر بر روی Telnet، دستگاهها را آلوده میکند.
کِرم PhotoMiner که توسط کلاهبرداران برای استخراج ارز رمزنگاریشده مورد استفاده قرار میگیرد نیز مثال مناسب دیگری است که با استفاده از حملات Telnet امکان انجام حمله اصلی خود را فراهم میکند. ابزار منع سرویس LizardStresser نیز نمونه دیگری از این بدافزارهاست که توسط گروه نفوذ Lizard Squad پخش شده است.
در کنار این گزارشها، یک گزارش دیگر در مورد این مسائل منتشر شد که در آن بیان شده است که نفوذگران به بیش از یک میلیون دستگاه اینترنت اشیا و دستگاههای توکار در چند ماه گذشته حمله کردهاند. برخی دستگاههای مورد حمله در این فرآیند طبق بررسیها مشخص شدهاند که از میان آنها میتوان به دستگاه ضبط فیلم Dahua اشاره کرد که طبق یافتههای محققان انجمن CZ.NIC، یکی از ابزار مقدماتی و لازم برای انجام حملات Telnet است.
نمودار زیر نشان میدهد که ۲۹.۹ درصد از دستگاههای ضبط فیلم Dahua که امروزه به صورت اینترنتی در دسترس هستند، توسط نفوذگران مورد حمله قرار گرفتهاند و با استفاده از آنها حملات جستجوی فراگیر بر روی Telnet ترتیب داده شده است. همچنین این نمودار نشان میدهد که ۶۶.۶ درصد از دستگاههایی که از کارگزار وب H۲۶۴DVR استفاده میکنند، مورد حمله نفوذگران واقع شدهاند.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.