شکست ساختاری امنیتی در اروپا؛ پلیس هلند بات‌نت غول‌پیکر ۱۷ میلیون دستگاهی را متلاشی کرد!

۱. تحلیل زیرساخت موذی: سرویس پروکسی مسکونی (Asocks) چیست؟

هرچند پلیس نام رسمی این بات‌نت را لو نداده است، اما رسانه‌های معتبر هلندی فاش کرده‌اند که این سرورها زیرساخت اصلی یک سرویس تجاری بدنام به نام Asocks  را تشکیل می‌دادند. این سرویس در زمینه فروش «پروکسی‌های مسکونی و موبایل» فعالیت می‌کرد.

• امتیاز طلایی برای هکرها: سیستم‌های امنیتی بانک‌ها و سازمان‌ها معمولاً ترافیک خروجی از دیتاسنترها یا وی‌پی‌ان‌های عمومی (VPN) را مشکوک تلقی کرده و مسدود می‌کنند. اما ترافیک «پروکسی مسکونی» از آدرس‌های آی‌پی (IP) واقعی و معتبر شهروندان عادی و خانگی عبور می‌کند.
• استتار کامل در دل ترافیک قانونی: سیستم‌های دفاعی به این آی‌پی‌ها اعتماد دارند، چون گمان می‌کنند یک کاربر خانگی یا مشتری مطلع در حال گشت‌‌وگذار در سایت است. هکرها با مبالغی ناچیز این آی‌پی‌ها را از سرویس Asocks اجاره می‌کردند تا با هویت مسکونیِ شهروندان هلندی یا کشورهای دیگر، به زیرساخت‌های همان کشورها حمله کنند؛ ترافیکی کاملاً بومی و قانونی که شناسایی هک را غیرممکن می‌ساخت.
  
  

۲. دستگاه‌های خانگی چگونه بدون اجازه کاروان هکری شدند؟

مرکز امنیت سایبری هلند در واکاوی رفتار این شبکه اعلام کرد که ورود کارمندان و شهروندان به این بات‌نت به سه روش رخ داده است:

1. نصب آگاهانه(Proxyware): برخی کاربران در قبال دریافت پول یا اشتراک‌های رایگان، نرم‌افزارهای پروکسی را نصب کرده و عملاً اینترنت خود را اجاره می‌دهند.
2. نصب ناآگاهانه و پنهان(Bundle Software): کاربران یک نرم‌افزار رایگان (مثل دانلودرها یا بازی‌ها) را نصب می‌کنند، غافل از اینکه یک پکیج مخفی پروکسی‌ساز در دل آن جاسازی شده است.
3. آلودگی بدافزاری: دستگاه قربانی توسط هکرها هک شده و یک اسکریپت واسط، دستگاه را بدون اجازه به شبکه پروکسی وصل می‌کند.

تحقیقات عمیق تیم امنیتی HUMAN Security  نشان داد که توسعه‌دهندگان این شبکه، یک کتابخانه کدهای مخرب به نام PROXYLIB  را درون یک پکیج ابزار توسعه (SDK) به نام LumiApps  قرار داده بودند. برنامه‌نویسان برنامه‌های رایگان از این ابزار برای درآمدزایی استفاده می‌کردند؛ غافل از اینکه هر کاربری برنامه آن‌ها را نصب می‌کرد، دستگاهش به طور خودکار عضو بات‌نت Asocks می‌شد. بررسی سایت آرشیو اینترنت نیز ارتباط ساختاری و مالکیت واحد میان این دامنه‌ها را به طور قطعی اثبات کرده است.

تحلیل اختصاصی امنیت سایبری ۲۴ نیوز:

عملیات انهدام بات‌نت Asocks توسط پلیس هلند، ابعاد تاریک و پنهان زنجیره تأمین نرم‌افزارهای رایگان عمومی را برملا می‌کند. بازار پروکسی‌های مسکونی مکرراً به عنوان پناهگاه اصلی حملات خطرناکی مثل غرق‌سازی سرورها (DDoS)، ارسال اسپم‌های میلیاردی، حملات حدس کلمه عبور (Brute-Force) و سرقت هویت استفاده می‌شود.

از منظر امنیت سایبری، خطر اصلی این پدیده، جعل اصالت ترافیک است. وقتی فایروال‌های یک سازمان حیاتی در ایران یا هرجای جهان، ترافیکی را دریافت می‌کنند که آی‌پی آن متعلق به شرکت مخابرات بومی یا یک خط خانگی معتبر است، در لایه رفتاری هشدار کمتری صادر می‌شود. هکرهای دولتی و باج‌افزارها با سوءاستفاده از این نقطه کور، حملات پرسرعت کلاهبرداری کلیکی یا تبادلات مالی مخفی را جلو می‌برند. فروپاشی Asocks در ادامه ضربات سال گذشته به سرویس‌های مشابهی مانند 5socks ،Anyproxy  و SocksEscort  نشان می‌دهد که پناهگاه‌های خاکستری هکرها در بستر اینترنت خانگی، یکی پس از دیگری در حال فروپاشی هستند.

راهکارهای امنیتی ۲۴ نیوز برای پیشگیری از عضویت در بات‌نت‌ها:

برای اینکه دستگاه‌های شخصی و سازمانی کارمندان به یک گره (Node) پروکسی برای هکرها تبدیل نشود، رعایت اصول زیر الزامی است:

1. ممنوعیت مطلق نصب نرم‌افزارهای کرک‌شده و رایگان مجهول: سازمان‌ها باید با ابزارهای مدیریت سیستم مانند Group Policy، اجازه نصب برنامه‌های مجهول که معمولاً کیت‌های درآمدزایی موذی مثل PROXYLIB را در دل خود دارند، به کاربران ندهند.
2. حرکت به سمت تحلیل رفتاری پیشرفته(Behavioral Analytics): تیم‌های امنیت و SOC سازمان‌ها نباید صرفاً به «معتبر بودن آدرس آی‌پی مسکونی» اعتماد کنند؛ سیستم‌های مانیتورینگ باید رفتار و حجم درخواست‌های ارسالی از سمت هر آی‌پی را جداگانه ارزیابی کنند.
3. مانیتور ترافیک خروجی غیرمتعارف سیستم‌ها: هرگونه ارسال درخواست‌های مکرر و بی‌وقفه از رایانه‌های داخلی سازمان به سمت مقاصد خارجی در پس‌زمینه سیستم، نشانه قطعی تبدیل شدن دستگاه به یک گره بات‌نت است.
   

تحلیل و تنظیم فنی: تحریریه تخصصی امنیت زیرساخت ۲۴ نیوز (بهراد یوسفی)