خب رفیق، یه خبر پر سر و صدا شنیدی؟ ماجرا از این قراره که تو هفتههای گذشته، چند تا دامین (همون اسم سایت) که مربوط به یه باتنت خیلی گنده و تازه به اسم Aisuru بودن، اومدن جزو پربازدیدترین سایتهای لیست Cloudflare قرار گرفتن. اونم نه یکی دو تا، جای سایتهایی مثل Amazon، Apple، Google و Microsoft رو گرفتن! Cloudflare هم زد تو سر خودش و اومد اسم این دامینهای مشکوک رو از لیستش حذف کرد.
حالا بریم ببینیم داستان چیه اصلاً. اول از همه یه توضیح کوچیک: باتنت یعنی شبکهای از کلی دستگاه که هک شدن و هکری از راه دور بهشون فرمان میده. این Aisuru، از کلی دستگاه اینترنتی که درست و حسابی امن نیستن (مثل مودمهای خونگی و دوربین مداربسته)، یه ارتش هکری ساخته! یعنی هزاران دستگاه IoT (حالا IoT یعنی دستگاههایی که به اینترنت وصل میشن، مثل دماسنجی که با گوشی تنظیمش میکنی) دارن فرمان هکر رو اجرا میکنن. از وقتی که اومده، اندازه و قدرتش واقعاً ترسناک زیاد شده – مثلاً تونسته DDoS حملههایی با حجم نزدیک به ۳۰ ترابیت بر ثانیه راه بندازه! DDoS هم یعنی هکر با این دستگاهها کلی ترافیک جعلی میفرسته به یه سایت تا اون سایت از کار بیفته.
داستان جایی جالب میشه که تا چند وقت پیش، باتنت Aisuru به دستگاههای آلودهاش میگفت درخواست DNS رو از سرور گوگل بگیرن (DNS یعنی سیستمی که اسم سایت رو تبدیل به IP واقعی میکنه، مثل دفترچه تلفن اینترنت). اما از مهرماه، اومد و همه رو فرستاد سراغ سرور Cloudflare یعنی 1.1.1.1. این شد که دامینهای مربوط به Aisuru، ناگهان تو لیست سایتهای پر درخواست Cloudflare پریدن بالا.
شبکههای اجتماعی پر شد از عکسهایی که نشون میداد دامینهای این باتنت اومدن تو رتبه ۱ و ۳ لیست! حتی یکی از این دامینها آدرس یه نفر تو ماساچوست بود، با پسوند .com! جالبتر این بود که بعضیاشون شبیه دامینهای کلاود سرویسهای معروف انتخاب شده بودن، واسه گمراه کردن.
Cloudflare که دید اوضاع خیطه، اومد اسم این دامینها رو نصفه نشون داد و بالای لیستش نوشت: “توجه! این لیست ترکیبی از سایتهایی با فعالیت طبیعی و همچنین دامنههایی با رفتار مخرب بالا رو نشون میده.” یه جورایی خودشونم فهمیدن رتبهبندیهاشون glich خورده!
مدیرعامل Cloudflare، آقای Matthew Prince، خودش مستقیم به سایت KrebsOnSecurity گفت: سیستم رتبهبندی ما خیلی سادهس و فقط تعداد درخواستهای DNS به 1.1.1.1 رو میشماره. خلاصه هکرها هی کلی درخواست میفرستن تا هم سرور DNS رو بکوبن، هم این سایتا تو لیست برترینها بیاد بالا و شاید کسی رو گول بزنه. گفتن دارن اسم سایتهای مشکلدار رو حذف میکنن تا اوضاع بهتر شه.
اینجا Renee Burton از شرکت امنیتی DNS به اسم Infoblox اومد وسط و گفت: خیلیها اشتباه فکر میکنن این یعنی دستگاههای آلوده از دستگاههای معمولی بیشتر شدن! در حالی که این فقط به خاطر نوع شمارش عجیب Cloudflare هست. مثلاً TTL و caching و load balancing و prefetching رو توضیح دادن، که همه اینا باعث میشه آمارها دقیقاً واقعیت رو نشون ندن. (TTL یا همون Time To Live میگه هر رکورد DNS تا چه مدت اعتبار داره؛ caching یعنی ذخیرهسازی موقت داده؛ prefetching یعنی سیستم میاد زودتر از زمان باز کردن سایت، اطلاعات DNS رو آماده میکنه؛ load balancing یعنی تقسیم بار روی چند سرور.)
Alex Greenland که مدیر یه شرکت ضد فیشینگ به اسم Epi هست، گفت: ببین، Cloudflare میخواست لیستش نشوندهنده سایتهایی باشه که واقعاً آدمها استفاده میکنن، نه اینکه هرکی بیشتر درخواست زده بیاد بالا. ولی الان معلومه یه جاش درست کار نکرده! پیشنهاد داد که دو نوع لیست درست کنن: یکی بر اساس ترافیک انسانی، یکی برای ترافیک خام (که شامل رباتها هم میشه).
حرفش هم این بود که این لیستها مرجع کلی وبسایتها و سرویسها و مرورگرها و حتی APIهای امنیتی هستن؛ پس نباید دامنه مخرب بیاد جزو برترین لیستا، چون باعث گمراهی مردم و سیستمها میشه. مثلاً Tranco که یه لیست اپن سورس و معتبری از بالاترین سایتهاست، از دادههای Cloudflare هم استفاده میکنه، پس اگه یه سایت مخرب بیاد تو تاپ ۱۰ یا ۱۰۰، خیلیا راحت میتونن فریب بخورن.
Cloudflare هم چند روزی هست کلاً دامین کامل این Aisuru ها رو از لیست عمومی حذف کرده یا فقط پسوندشون رو نشون میده. اما اگر اکسل Top 200 رو دانلود کنی، هنوز یه دامین Aisuru تو صدر لیسته!
طبق گزارش Cloudflare، ۵۲ درصد درخواستهای DNS به دامینهای Aisuru از آمریکا میاد. تو تحقیقهای قبلی هم عنوان شد که بیشتر این قدرت آتش (!) از دستگاههای IoT که تو شرکتهای اینترنتی آمریکا مثل AT&T و Comcast و Verizon هستن برمیاد.
نکته باحال دیگه اینه که باتنت Aisuru بیش از ۱۰۰ تا سرور فرماندهی داره و الان اکثر دامینهاش با پسوند .su ثبت شدن. حالا .su یعنی چی؟ این TLD (کد کشور در دامنهها) برای اتحاد جماهیر شوروی سابق بود! ظاهراً هکرها علاقه دارن از این پسوند استفاده کنن چون راحتتره و حالت بینالمللی داره.
یه پست بلاگ از خود Cloudflare هم نشون میده که .su بهترین عملکرد رو از نظر magnitude DNS داشت، یعنی براساس تعداد سرورهای مختلفی که براش اول DNS میفرستن. البته، خیلی از این دامنهها مربوط به یه بازی آنلاین پرطرفدار ساخت دنیا بودن (باز هم Minecraft، که هدف حملات Aisuru بود!). آماری هم دادن که بیشتر درخواست برای .su از آمریکا، برزیل و آلمان میاد.
یه راه خیلی ساده و دمدستی برای شناسایی فعالیت باتنت Aisuru روی شبکه اینه که هر سیستمی که خواست به دامنه با پسوند .su وصل شه، سریع برات آلارم بده! چون این پسوند کلاً بین هکرها و محافل سایبری پر کاربرده و اگه کل این پسوند رو ببندی احتمالاً هیچ کاربری واقعاً ناراحت نمیشه!
جمعبندی کنم: ماجرا نشون داد حتی سیستمهای بزرگ رتبهبندی اینترنت هم گاهی میتونن به خاطر حملات هکری حسابی به چالش کشیده بشن و اشتباهی سایتهای ناجور رو تو لیستِ معتبرشون بیارن. واسه همین خیلی مهمه که این لیستها هوشمندتر بشن و حسابی مواظب سایتهای مشکوک باشن، مخصوصاً برای امنیت بچههامون تو فضای مجازی!
منبع: +
