روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ هر هفته کامپیوتر خود را چک میکنید که نکند ویروس گرفته باشد؛ سیستمها و برنامهها را سریع آپدیت میکنید؛ از پسوردهای قوی استفاده میکنید و در کل در فضای آنلاین بسیار محتاطانه فعالیت دارید اما همچنان به دلایلی اینترنتتان کُند است و برخی وبسایتها دسترسی خود را قطع میکنند؟ شاید مسئله بدافزار روی کامپیوتر نبوده و باید ایراد را در روتر خود پیدا کنید! با ما همراه بمانید.
چرا روترها؟
مجرمان سایبری تا حد زیادی به دو دلیل به روترها حمله میکنند: نخست به دلیل اینکه همه ترافیک شبکه از این دستگاهها عبور میکند و دوم اینکه نمیتوانید با آنتیویروسی معمولی روتر را اسکن کنید. پس بدافزارهای داخل روتر شاید بیشتر فرصت حمله برایشان باشد و شانس شناساییشدنشان هم کمتر باشد. بگذارید در ادامه از کارهایی بگوییم که مجرمان سایبری میتوانند با روتری آلوده انجام دهند.
ساختن باتنت
یکی از شایعترین موارد زمانی است که روتر آلوده به باتنتی ملحق میشود؛ یعنی شبکهای از دستگاهها که کلی درخواست به یک وبسایت مشخص یا سرویس آنلاین بعنوان بخشی از حمله DDoS ارسال میکند. هدف مهاجمین اورلود کردن سرویس هدفدار تا درجهای است که کُند شود و از کار بیافتد. کاربران معمولی که روترهایشان سرقت شده و از سرعت پایین نت رنج میبرند شاید به این خاطر باشد که روترهایشان مشغول ارسال درخواستهای مخربند و فقط وقتی برای تنفس لحظهای توقف میکنند سایر ترافیکها را مدیریت مینمایند. طبق دادههای ما، روترهای 2021 توسط دو خانواده بدافزار بیشتر مورد حمله قرار گرفتند: میرای و مریس. اولی با اختلاف زیادی تقریباً نیمی از حملات به روتر را تشکیل میدهد.
میرای[1]
این خانواده بدنام بدافزاری (گول نام شیرین آن را نخورید. به ژاپنی: آینده) از سال 2016 سرپاست. جدا از مبحث روتر معروف است به آلوده کردن دوربینهای IP، تلویزیونهای هوشمند و سایر دستگاههای اینترنت اشیاء از جمله دستگاههای سازمانی مانند کنترلرهای وایرلس و نمایشگرهای دیجیتال تبلیغاتی. اوایل برای حملات DDoS در مقیاسهای بالا طراحی شده بود (روی سرورهای ماینکرفت) اما بعداً فعالیتش به سمت سایر سرویسها رفت. کد منبع این بدافزار مدت زیادی است در فضای آنلاین نشت شده و مبنایی قرار گرفته برای سویههای حتی جدیدتر.
مریس[2]
بیدلیل نیست مریس در زبان لتونی به معنای «طاعون» است. تا الان هزاران دستگاه با کارکرد بالا را که بیشتر روترهای MIKROTIK بودهاند آلوده کرده و آنها را به شبکهای از حملات DDoS لینک داده است. برای مثال در طول حمله به شرکت مالی آمریکایی در سال 2021 تعداد درخواستها از شبکهای که دستگاههایش آلوده به مریس بودند به 17.2 میلیون در هر ثانیه رسید بود. چند ماه بعد، باتنت مذکور به چندین شرکت مالی و آیتی روسی نیز حمله کرد (رکورد آن 21.8 میلیون درخواست در هر ثانیه بود).
سرقت داده
برخی بدافزارهای آلودهکنندهی روتر میتوانند حتی خسارات جدیتری هم بزنند. مانند سرقت داده. شما در فضای آنلاین اطلاعات مهمی را ارسال و دریافت میکنید: دادههای پرداختی در فروشگاههای آنلاین، اطلاعات محرمانه روی شبکههای اجتماعی و داکیومنتهای کاری در ایمیل. همه این اطلاعات در راستای سایر ترافیک شبکه ناگزیر از روتر اید عبور کنند. در طول حمله داده میتواند توسط بدافزار رهگیری شده و دودستی به مجرمان سایبری داده شوند. یکی از همین بدافزارهای سارق داده VPNFilter است که با آلوده کردن روتر و سرورهای NAS میتواند اطلاعات را جمعآوری کرده و روتر را یا کنترل نموده و یا غیرفعالش کند.
جعل وبسایت
بدافزار روتر میتواند به طور مخفیانه شما را به پیجهای تبلیغاتی یا سایتهای آلوده هدایت کند (به جای آنهایی که واقعاً قصد بازدید ازشان را دارید). شما (و حتی مرورگرتان) فکر میکنید دارید به وبسایتی قانونی دسترسی پیدا میکنید اما غافل از اینکه اکنون کنترل شما به دست مجرمین درآمده. ساز و کار چنین است: وقتی یوآرال سایتی را در نوار آدرس (فرضاً google.com) وارد میکنید کامپیوتر یا اسمارتفون شما درخواستی را به سرور خاص DNS میفرستد؛ جایی که همه آدرسهای رجیسترشده و یوآرالهای مربوط به آنها ذخیره میشوند. اگر روتر آلوده باشد به جای سرور DNS قانونی درخواست را به سرور جعلی میفرستند که جواب جستجوی google.com را با آدرس آیپی سایتی کاملاً متفاوت میدهد –این سایت ممکن است فیشینگ باشد! تروجان Switcher دقیقاً کارش همین بود: رخنه به تنظیمات روتر و مشخص کردن سرور آلوده DNS بعنوان پیشفرض. به طور کلی همه دادههای واردشده روی صفحات جعلی به دست مجرمان سایبری افتادند.
بدافزار چطور به روتر رخنه میکند؟
دو راه اصلی برای رخنه کردن بدافزار به روتر وجود دارد: با حدس زدن پسورد ادمین یا اکسپلویت آسیبپذیری در دستگاه.
حدس زدن پسورد ادمین
همه روترها یک مدل پسورد ادمینشان هم در تنظیمات کارخانه یکی است. پسورد ادمین که نباید با کلید امنیتی شبکه (کاراکترهای رشتهای که برای وصل شدن به وایفای وارد میکنید) اشتباهش بگیرید برای وارد شدن به منوی تنظیمات روتر استفاده میشود. اگر کاربر یادش برود پسورد کارخانه را تغییر دهد، مهاجم میتواند براحتی آن را حدس بزند؛ مخصوصاً اگر برند روتر را بشناسد. بدینترتیب روتر آلوده میشود. با این حال این اواخر تولیدکنندگان این بخش امنیتی را جدیتر از قبل گرفتهاند و برای هر دستگاه پسورد مجزا تدارک میبینند. پس میشود گفت این متود دیگر آنقدرها هم مؤثر نیست. اما حدس زدن ترکیب درستی از مدلهای قدیمیتر هنوز هم برای مجرمان ساده است.
اکسپلویت آسیبپذیری در دستگاه
آسیبپذیریهای روتر حفرههای امنیتی هستند که انواع و اقسام تهدیدها در فضای اینترنت میتوانند از طریق آنها به شبکه سازمانی شما ورود پیدا کنند- یا شاید روی خود روتر بنشینند که احتمال شناساییشان حتی کمتر نیز هست. باتنت مریس که پیشتر از آن گفتیم همین کار را انجام میدهد: اکسپلویت آسیبپذیریهای پچنشده در روترهای MikroTik. طبق تحقیقات ما، فقط در همین دو سال اخیر چند صد آسیبپذیری جدید در روترها پیدا شده است. به منظور امنیتبخشی به این نقاط ضعف فروشندگان روتر پچهایی را منتشر کردند و سویههای سفتافزاری جدیدی را نیز معرفی (مخصوصاً آپدیتهای سیستم عامل روتر). متأسفانه بسیاری از کاربران متوجه نمیشوند که روتر نیاز به آپدیت دارد (درست مانند سایر برنامهها).
راهکارهای امنیتی
- دستکم یک بار در ماه وبسایت تولیدکننده را چک کنید ببینید آپدیت روتر گذاشته است یا نه. آپدیتها را هر چه سریعتر نصب کنید (هر زمان قابلدسترس بودند). برای برخی مدلها پچها خودکار میآیند و برخی دیگر باید آنها را دستی نصب کنید. اطلاعات در مورد آپدیت نرمافزارهای دستگاه را همچنین از وبسایت فروشنده هم میتوانید پیدا کنید.
- برای روتر خود پسورد ادمین قوی و طولانی بسازید و برای اینکه فراموشتان نشود از مدیر کلمه عبور استفاده کنید.
- اگر به اندازه کافی مهارت دارید یا دستورالعملها را برای مثال از روی وبسایت فروشنده پیدا کردید، دسترسی ریموت را در تنظیمات ادمین روتر غیرفعال کنید.
- وایفای درست کانفیگ کنید: پسورد منحصر به فردی در ذهن داشته باشید، از استاندارد قوی رمزگذاری وایرلس استفاده کنید، شبکه مهمان بزنی تا افراد ناآگاه یا همسایگان نتوانند از دستگاههای آلودهشان به روتر شما بدافزار منتقل کنند.
- از اپ ویپیانی استفاده کنید که همه اطلاعات خروجی را پیش از رسیدن به روتر رمزگذاری خواهد کرد. بدینطریق حتی اگر مجرمان سایبری دستگاه را آلوده هم کرده باشند باز روتر جایش امن است.
[1] Mirai
[2] Mēris
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.