روز گذشته در گزارش مفصلی و در گفتوگو با کارشناسان و مدیران زرینپال و علیبابا، از حمله گسترده DDoS به کسب و کارهای داخلی نوشتیم. اما تفاوت این حمله با حملات پیشین این بود که نه تنها منشا داخلی داشت که برای این حملات از تعداد بسیار زیادی از IPهای ایرانی استفاده میشد. معنی این حرف این است که بخش مهمی از دستگاههای موبایل و کامپیوتر ایرانیها براثر نصب یک بدافزار، آلوده شده و تبدیل به زامبیهایی شدهاند که با دستور یک گروه هکری، برای حمله به کسب و کارها، یا در آینده هر هدف دیگری، میتوانند استفاده شوند.
در آن گزارش و براساس تحلیل کارشناسان نتیجه گرفتیم که تنها برنامهای که اخیرا و به طور گسترده در موبایلها و کامپیوترهای ایرانی ها نصب شده، ابزارهای دورزدن فیلترینگ تلگرام از قبیل فیلترشکنها و پوستههای فارسی بوده است. در این گزارش امیر ناظمی رییس سازمان فناوری اطلاعات این نتیجهگیری را رد نمیکند اما با این حال میگوید مرکز ماهر در حال بررسیهای بیشتر است. از سوی دیگر سجاد بنابی عضو هیات مدیره شرکت زیرساخت میگوید در حالی که روی Gateway اینترنت بینالملل سرویس DDoS Protection نصب شده اما چنین سرویسی روی شبکه ملی اطلاعات وجود ندارد تا بخش خصوصی بتواند در این حوزه فعال شود.
دستگاههای ایرانی زامبی شدند
امیر ناظمی معاون وزیر ارتباطات و رییس سازمان فناوری اطلاعات میگوید نوع و حجم حملات DDoS نسبت به گذشته در حملات اخیر تغییر کرده است. وی به خبرنگار فناوران گفت: فرضیه نخست در ابتدا این بود که حملات DDoS مثل سایر حملاتی که معمول است، به صورت هدفمند به یک کسب و کار صورت میگیرد. این حملات معمولا از یک رنج IP و از خارج از مشور انجام میگیرد.
وی ادامه داد: اما از آنجا که تعداد IPهای استفاده شده برای حملات DDoS بسیار زیاد است فرضه دوم و ظن قویتر ما این است که بر اثر آلودگی ایجاد شده توسط یک اپلیکیشن، موبایلها و کامپیوترهایی تبدیل به زامبی شده و به کسب و کارها حمله میکنند.
ناظمی در پاسخ به این سوال که ممکن است این بدافزار به عنوان فیلترشکن یا پوستههای فارسی تلگرام به صورت گسترده در موبایلها و کامپیوترها توزیع شده باشند گفت: بله این موضوع یکی از احتمالات است ولی در حال بررسیهای بیشتر و آماده کردن گزارشات تکمیلی هستیم.
رییس سازمان فناوری اطلاعات با بیان این که تاکنون دو کسب و کار به طور جدی مورد حمله قرار گرفتهاند گفت: حدس زدیم که برخی دیگر از کسب و کارها به عنوان مقاصد بعدی مورد حمله قرار بگیرند و در این خصوص پیشگیریهای لازم را انجام دادهایم.
وی در پاسخ به این سوال که چقدر این پیشگیری میتواند موثر باشد گفت: به هر حال این موضوعات به شبکه فشار میآرود و فعلا کنترل شده است. در هفتههای گذشته نیز ما برای این که تشنجی در جامعه به وجود نیاید از رسانهای کردن موضوع خودداری کردیم و خوشبختانه اکنون با شرایط بهتری به مقابله با این حملات پرداختهایم.
معاون وزیر ارتباطات با بیان این که کسب و کارهایی که هدف قراره گرفتند کسب و کارهای بزرگی بوده و خوشبختانه با روال معمول امنیتی آشنا بودند گفت: هرکدام از کسب و کارهایی که مورد هدف قرار گرفتند فورا موضوع را به مرکز ماهر اعلام کنند. خوشبختانه با هماهنگیهایی که تا امروز صورت گرفته، این حملات مدیریت شده و حداقل کاربران چندان متوجه آن نشدهاند.
ناظمی در پاسخ به این سوال که به نظر میرسد چه تعداد دستگاه کاربران ایرانی تبدیل به زامبی شدهاند گفت: تعداد رنج IPها بسیار بالاست و از آنجا که بیشترین IPها متعلق به اپراتورهای موبایل است، به نظر میرسد این آلودگی از طریق یک اپلیکیشن روی موبایل صورت گرفته است.
بخش خصوصی سرویس DDoS Protection بدهد
سجاد بنابی عضو هیات مدیره شرکت زیرساخت در پاسخ به فناوران درباره این که آیا سرویس DDoS Protection روی اینترنت ایران فعال است توضیح داد: بله براساس قانون روی Gateway اینترنت بینالملل این سرویس وجود دارد. علاوه بر این لینکهایی وجود دارد که از حفاظت بهتری برخوردارند و در هنگام حمله اخیر نیز با جابهجایی لینکها، جلو حملات DDoS از خارج از کشور را گرفتیم.
وی با بیان این که در حملات اخیر تنها 24 ساعت حمله از خارج از کشور صورت گرفته و مابقی منشا داخلی دارد گفت: زیرساخت آمادگی این را دارد که روی شبکه ملی اطلاعات نیز سرویس DDoS Protection را راهاندازی کند. در داخل کشور عملا یک کسب و کار است و برخی FCPها هم همین الان اینترنت Protected با تعرفه گرانتر از اینترنت معمولی ارایه میدهند. زیرساخت برای این که با بخش خصوصی رقابت نکند وارد حوزه Protection داخلی نشده است.
بنابی ادامه داد: اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد شرکت زیرساخت آماده سرمایهگذاری در این حوزه را دارد. ولی تا امروز حاکمیت چنین نظری را نداشته و ما هم تا امروز ابا داشتیم این پیشنهاد را بدهیم، چرا که DDoS Protection تجارت سودآوری است.
عضو هیات مدیره شرکت زیرساخت در پاسخ به این سوال که با توجه به این که گفته میشود بیشتر حملات از IPهای اپراتورها بوده آیا میتوان نتیجه گرفت که دستگاههای آلوده شده روی شبکه موبایل هستند گفت: بیشتر پهنای باند کشور با توجه به کیفیت اینترنت موبایل، روی این شبکه است و خیلیها در خانهشان از سیمکارت برای دسترسی به اینترنت استفاده میکنند.