وضعیت آلودگی بدافزاری در ایران در ۶ ماه اخیر؛ تهران در صدر، ۲۱ مهر آلوده‌ترین روز

سامانه آمار و اطلاعات مرکز ماهر، گزارشی از وضعیت بدافزارها و میزبان‌های آلوده در ۶ ماهه دوم سال ۱۴۰۴ منتشر کرده است. این گزارش تصویری کلی از روند آلودگی بدافزاری در کشور، روزهای اوج و افت آلودگی، پراکندگی جغرافیایی، توزیع آلودگی میان ASNها و همچنین شایع‌ترین خانواده‌های بدافزاری فعال در ایران ارائه می‌دهد.

۲۱ مهر؛ آلوده‌ترین روز سایبری نیمه دوم ۱۴۰۴

بر اساس داده‌های منتشرشده، در بازه زمانی شهریور تا مهر ۱۴۰۴ سطح آلودگی‌ها عموماً بالاتر از ۷۵ هزار آدرس بوده و در برخی روزها حتی به نزدیکی ۱۱۵ هزار آدرس آلوده نیز رسیده است. در مقابل، در انتهای این بازه یعنی بهمن و اسفند ۱۴۰۴، میزان آلودگی به محدوده ۵۰ تا ۷۵ هزار آدرس کاهش یافته که می‌تواند نشانه‌ای از یک روند نزولی نسبی در بلندمدت باشد.

بیشترین تعداد آدرس‌های آلوده به بدافزار در تاریخ ۲۱ مهر ۱۴۰۴ ثبت شده است؛ در این روز ۱۱۴ هزار و ۷۳۴ آدرس آلوده شناسایی شد. پس از آن، ۱۹ مهر ۱۴۰۴ با ۱۱۲ هزار و ۴۹۹ آدرس آلوده در رتبه دوم قرار دارد. همچنین در ۱۶ شهریور ۱۴۰۴ نیز ۱۰۷ هزار و ۹۰ آدرس آلوده ثبت شده تا این روز سومین روز آلوده سایبری نیمه دوم سال ۱۴۰۴ باشد.

البته در این بازه، روزهایی با ثبت آلودگی بسیار پایین نیز دیده می‌شود. برای مثال، در فاصله ۱۸ دی تا ۱ بهمن ۱۴۰۴ تعداد آدرس‌های آلوده ثبت‌شده تقریباً نزدیک به صفر بوده است. با این حال، این افت شدید لزوماً به معنای کاهش واقعی آلودگی نیست و قطعی سراسری اینترنت در کشور نقش اصلی را در ثبت این ارقام داشته باشد.

در میان روزهای با کمترین آلودگی ثبت‌شده، ۲۱ دی ۱۴۰۴ با تنها ۳۱ آدرس آلوده در جایگاه نخست قرار دارد. همچنین در تاریخ ۳۰ آذر ۱۴۰۴ تعداد ۹ هزار و ۵۹۸ آدرس آلوده و در ۱۲ مهر ۱۴۰۴ تعداد ۱۱ هزار و ۴۲۷ آدرس آلوده ثبت شده که به ترتیب دومین و سومین روزهای کم‌آلودگی این دوره محسوب می‌شوند.

کدامASNها بیشترین آلودگی به بدافزار را داشته‌اند؟

بررسی نمودار مربوط به ASNهای ایرانی نشان می‌دهد بخش عمده‌ای از میزبان‌های آلوده به بدافزار در چند اپراتور اصلی کشور متمرکز شده‌اند. در نگاه نخست، سهم سه ASN اول به‌مراتب بیشتر از دیگر موارد است؛ موضوعی که تا حد زیادی می‌تواند با گستردگی پوشش و تعداد بالای کاربران این اپراتورها مرتبط باشد.

بر این اساس، تعداد میزبان‌های آلوده در ASN مخابرات ایران به بیش از یک‌ونیم میلیون مورد می‌رسد. پس از آن، همراه اول با بیش از یک میلیون و ۴۰۰ هزار میزبان آلوده و ایرانسل با بیش از ۹۳۰ هزار مورد در رتبه‌های بعدی قرار دارند.

پس از این سه  ASN، آمار آلودگی افت محسوسی پیدا می‌کند؛ به‌طوری که تعداد میزبان‌های آلوده از مقیاس میلیونی به حدود صدها هزار یا کمتر می‌رسد. این موضوع نشان می‌دهد تمرکز اصلی آلودگی‌ها در سطح شبکه کشور، بیش از همه در بستر چند اپراتور بزرگ دیده می‌شود.

شایع‌ترین بدافزارهای فعال در کشور

طبق این گزارش، android.badbox2   Andromeda و در میان شایع‌ترین بدافزارهای فعال در کشور قرار دارند.

android.badbox2 نوعی بدافزار اندرویدی است که نام آن در پایگاه‌های داده امنیتی، سامانه‌های آنتی‌ویروس و پلتفرم‌های تحلیل تهدید به‌طور گسترده دیده می‌شود. این بدافزار معمولاً در بستر دستگاه‌های اندرویدی آلوده فعالیت می‌کند و می‌تواند بخشی از یک زنجیره بزرگ‌تر از آلودگی باشد.

Andromeda نیز یک خانواده بدافزاری چندمنظوره است که معمولا به‌عنوان یک بات‌نت شناخته می‌شود. این بدافزار توانایی سرقت اطلاعات، دانلود و اجرای بدافزارهای دیگر و همچنین انجام حملات DDoS را دارد.

در بازه آماری صدها هزار تا میلیون نیز نام‌های Expiro، m.yv و apk.hummer به چشم می‌خورند.

• Expiro به خانواده‌ای از بدافزارها اشاره دارد که فعالیت مخرب خود را به‌صورت پنهان و در پس‌زمینه انجام می‌دهند.
• m.yv نوعی تروجان دانلودر است که وظیفه اصلی آن، دریافت و اجرای مرحله دوم آلودگی روی سیستم قربانی است.
• apk.hummer نیز به فایل‌های APK دستکاری‌شده و آلوده اشاره دارد که با هدف نفوذ به دستگاه‌های اندرویدی مورد استفاده قرار می‌گیرند.

تهران؛ آلوده‌ترین نقطه کشور از نظر آدرس‌های آلوده

نقشه پراکندگی آلودگی در کشور نشان می‌دهد تهران با رقمی نزدیک به سه میلیون مورد، آلوده‌ترین نقطه کشور از نظر آدرس‌های آلوده به بدافزار است.

پس از تهران، خراسان رضوی با ۲۸۰ هزار و ۷۵۳ مورد، اصفهان با ۲۶۱ هزار و ۸۰۵ مورد و فارس با ۲۰۶ هزار و ۲ مورد، در رتبه‌های بعدی قرار دارند.

تمرکز بالای آلودگی در تهران احتمالاً با عواملی مانند تراکم بالای جمعیت، تعداد بیشتر کاربران اینترنت، تمرکز کسب‌وکارها و زیرساخت‌های ارتباطی و همچنین حجم بالاتر ترافیک شبکه در این استان مرتبط است.