روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هر هفته کامپیوتر خود را چک می‌کنید که نکند ویروس گرفته باشد؛ سیستم‌ها و برنامه‌ها را سریع آپدیت می‌کنید؛ از پسوردهای قوی استفاده می‌کنید و در کل در فضای آنلاین بسیار محتاطانه فعالیت دارید اما همچنان به دلایلی اینترنت‌تان کُند است و برخی وبسایت‌ها دسترسی خود را قطع می‌کنند؟ شاید مسئله بدافزار روی کامپیوتر نبوده و باید ایراد را در روتر خود پیدا کنید! با ما همراه بمانید.

چرا روترها؟

مجرمان سایبری تا حد زیادی به دو دلیل به روترها حمله می‌کنند: نخست به دلیل اینکه همه ترافیک شبکه از این دستگاه‌ها عبور می‌کند و دوم اینکه نمی‌توانید با آنتی‌ویروسی معمولی روتر را اسکن کنید. پس بدافزارهای داخل روتر شاید بیشتر فرصت حمله برایشان باشد و شانس شناسایی‌شدنشان هم کمتر باشد. بگذارید در ادامه از کارهایی بگوییم که مجرمان سایبری می‌توانند با روتری آلوده انجام دهند.  

ساختن بات‌نت

یکی از شایع‌ترین موارد زمانی است که روتر آلوده به بات‌نتی ملحق می‌شود؛ یعنی شبکه‌ای از دستگاه‌ها که کلی درخواست به یک وبسایت مشخص یا سرویس آنلاین بعنوان بخشی از حمله DDoS ارسال می‌کند. هدف مهاجمین اورلود کردن سرویس هدف‌دار تا درجه‌ای است که کُند شود و از کار بیافتد. کاربران معمولی که روترهایشان سرقت شده و از سرعت پایین نت رنج می‌برند شاید به این خاطر باشد که روترهایشان مشغول ارسال درخواست‌های مخربند و فقط وقتی برای تنفس لحظه‌ای توقف می‌کنند سایر ترافیک‌ها را مدیریت می‌نمایند. طبق داده‌های ما، روترهای 2021 توسط دو خانواده بدافزار بیشتر مورد حمله قرار گرفتند: میرای و مریس. اولی با اختلاف زیادی تقریباً نیمی از حملات به روتر را تشکیل می‌دهد.

میرای[1]

این خانواده بدنام بدافزاری (گول نام شیرین آن را نخورید. به ژاپنی: آینده) از سال 2016 سرپاست. جدا از مبحث روتر معروف است به آلوده کردن دوربین‌های IP، تلویزیون‌های هوشمند و سایر دستگاه‌های اینترنت اشیاء از جمله دستگاه‌های سازمانی مانند کنترلرهای وایرلس و نمایشگرهای دیجیتال تبلیغاتی. اوایل برای حملات DDoS در مقیاس‌های بالا طراحی شده بود (روی سرورهای ماینکرفت) اما بعداً فعالیتش به سمت سایر سرویس‌ها رفت. کد منبع این بدافزار مدت زیادی است در فضای آنلاین نشت شده و مبنایی قرار گرفته برای سویه‌های حتی جدیدتر.

مریس[2]

بی‌دلیل نیست مریس در زبان لتونی به معنای «طاعون» است. تا الان هزاران دستگاه با کارکرد بالا را که بیشتر روترهای MIKROTIK بوده‌اند آلوده کرده و آن‌ها را به شبکه‌ای از حملات DDoS لینک داده است. برای مثال در طول حمله به شرکت مالی آمریکایی در سال 2021 تعداد درخواست‌ها از شبکه‌ای که دستگاه‌هایش آلوده به مریس بودند به 17.2 میلیون در هر ثانیه رسید بود. چند ماه بعد، بات‌نت مذکور به چندین شرکت مالی و آی‌تی روسی نیز حمله کرد (رکورد آن 21.8 میلیون درخواست در هر ثانیه بود).

سرقت داده

برخی بدافزارهای آلوده‌کننده‌ی روتر می‌توانند حتی خسارات جدی‌تری هم بزنند. مانند سرقت داده. شما در فضای آنلاین اطلاعات مهمی را ارسال و دریافت می‌کنید: داده‌های پرداختی در فروشگاه‌های آنلاین، اطلاعات محرمانه روی شبکه‌های اجتماعی و داکیومنت‌های کاری در ایمیل. همه این اطلاعات در راستای سایر ترافیک شبکه ناگزیر از روتر اید عبور کنند. در طول حمله داده می‌تواند توسط بدافزار رهگیری شده و دودستی به مجرمان سایبری داده شوند. یکی از همین بدافزارهای سارق داده VPNFilter است که با آلوده کردن روتر و سرورهای NAS می‌تواند اطلاعات را جمع‌آوری کرده و روتر را یا کنترل نموده و یا غیرفعالش کند.

جعل وبسایت

بدافزار روتر می‌تواند به طور مخفیانه شما را به پیج‌های تبلیغاتی یا سایت‌های آلوده هدایت کند (به جای آن‌هایی که واقعاً قصد بازدید ازشان را دارید). شما (و حتی مرورگرتان) فکر می‌کنید دارید به وبسایتی قانونی دسترسی پیدا می‌کنید اما غافل از اینکه اکنون کنترل شما به دست مجرمین درآمده. ساز و کار چنین است: وقتی یوآرال سایتی را در نوار آدرس (فرضاً google.com) وارد می‌کنید کامپیوتر یا اسمارت‌فون شما درخواستی را به سرور خاص DNS می‌فرستد؛ جایی که همه آدرس‌های رجیسترشده و یوآرال‌های مربوط به آن‌ها ذخیره می‌شوند. اگر روتر آلوده باشد به جای سرور DNS قانونی درخواست را به سرور جعلی می‌فرستند که جواب جستجوی google.com را با آدرس آی‌پی سایتی کاملاً متفاوت می‌دهد –این سایت ممکن است فیشینگ باشد! تروجان Switcher دقیقاً کارش همین بود: رخنه به تنظیمات روتر و مشخص کردن سرور آلوده DNS بعنوان پیش‌فرض. به طور کلی همه داده‌های واردشده روی صفحات جعلی به دست مجرمان سایبری افتادند.

بدافزار چطور به روتر رخنه می‌کند؟

دو راه اصلی برای رخنه کردن بدافزار به روتر وجود دارد: با حدس زدن پسورد ادمین یا اکسپلویت آسیب‌پذیری در دستگاه.

حدس زدن پسورد ادمین

همه روترها یک مدل پسورد ادمینشان هم در تنظیمات کارخانه یکی است. پسورد ادمین که نباید با کلید امنیتی شبکه (کاراکترهای رشته‌ای که برای وصل شدن به وای‌فای وارد می‌کنید) اشتباهش بگیرید برای وارد شدن به منوی تنظیمات روتر استفاده می‌شود. اگر کاربر یادش برود پسورد کارخانه را تغییر دهد، مهاجم می‌تواند براحتی آن را حدس بزند؛ مخصوصاً اگر برند روتر را بشناسد. بدین‌ترتیب روتر آلوده می‌شود. با این حال این اواخر تولیدکنندگان این بخش امنیتی را جدی‌تر از قبل گرفته‌اند و برای هر دستگاه پسورد مجزا تدارک می‌بینند. پس می‌شود گفت این متود دیگر آنقدرها هم مؤثر نیست. اما حدس زدن ترکیب درستی از مدل‌های قدیمی‌تر هنوز هم برای مجرمان ساده است.

اکسپلویت آسیب‌پذیری در دستگاه

آسیب‌پذیری‌های روتر حفره‌های امنیتی هستند که انواع و اقسام تهدیدها در فضای اینترنت می‌توانند از طریق آن‌ها به شبکه سازمانی شما ورود پیدا کنند- یا شاید روی خود روتر بنشینند که احتمال شناسایی‌شان حتی کمتر نیز هست. بات‌نت مریس که پیشتر از آن گفتیم همین کار را انجام می‌دهد: اکسپلویت آسیب‌پذیری‌های پچ‌نشده در روترهای MikroTik. طبق تحقیقات ما، فقط در همین دو سال اخیر چند صد آسیب‌پذیری جدید در روترها پیدا شده است. به منظور امنیت‌بخشی به این نقاط ضعف فروشندگان روتر پچ‌هایی را منتشر کردند و سویه‌های سفت‌افزاری جدیدی را نیز معرفی (مخصوصاً آپدیت‌های سیستم عامل روتر). متأسفانه بسیاری از کاربران متوجه نمی‌شوند که روتر نیاز به آپدیت دارد (درست مانند سایر برنامه‌ها).

راهکارهای امنیتی

• دست‌کم یک بار در ماه وبسایت تولیدکننده را چک کنید ببینید آپدیت روتر گذاشته است یا نه. آپدیت‌ها را هر چه سریعتر نصب کنید (هر زمان قابل‌دسترس بودند). برای برخی مدل‌ها پچ‌ها خودکار می‌آیند و برخی دیگر باید آن‌ها را دستی نصب کنید. اطلاعات در مورد آپدیت نرم‌افزارهای دستگاه را همچنین از وبسایت فروشنده هم می‌توانید پیدا کنید.
• برای روتر خود پسورد ادمین قوی و طولانی بسازید و برای اینکه فراموشتان نشود از مدیر کلمه عبور استفاده کنید.
• اگر به اندازه کافی مهارت دارید یا دستورالعمل‌ها را برای مثال از روی وبسایت فروشنده پیدا کردید، دسترسی ریموت را در تنظیمات ادمین روتر غیرفعال کنید.
• وای‌فای درست کانفیگ کنید: پسورد منحصر به فردی در ذهن داشته باشید، از استاندارد قوی رمزگذاری وایرلس استفاده کنید، شبکه مهمان بزنی تا افراد ناآگاه یا همسایگان نتوانند از دستگاه‌های آلوده‌شان به روتر شما بدافزار منتقل کنند.
• از اپ وی‌پی‌انی استفاده کنید که همه اطلاعات خروجی را پیش از رسیدن به روتر رمزگذاری خواهد کرد. بدین‌طریق حتی اگر مجرمان سایبری دستگاه را آلوده هم کرده باشند باز روتر جایش امن است.

[1] Mirai

[2] Mēris

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.