تحقیقات شرکت ترندمیکرو نشان می‌دهد موج جدیدی از حملات در حال وقوع هستند که سعی دارند مسیریاب‌های خانگی را در بات‌نت‌های IoT به خدمت بگیرند. این شرکت کاربران را تشویق می‌کند تا با اقداماتی مانع این حملات شوند.

اهمیت مسیریاب‌های خانگی

مجرمان به مسیریاب‌های (مودم‌های) خانگی نفوذ کرده و آنها را به بات‌نت‌های خود اضافه می‌کنند. بعداً از این بات‌نت‌ها برای اجرای حملاتی استفاده می‌شود که به آنها حملات ثانویه گفته می‌شود. تعداد حملاتی که سعی در بهره‌برداری از مسیریاب‌ها داشته‌اند در سه ماهه چهارم سال 2019 جهش پیدا کرده است. تحقیق ترندمیکرو نشان می‌دهد که مجرمان می‌توانند مسیریاب‌های آلوده را در حملات ثانویه مورد استفاده قرار دهند و از این روش به راحتی درآمد کسب کنند، در نتیجه سوء استفاده از این تجهیزات همچنان افزایش خواهد داشت.

به گفته جان کلی (Jon Clay) از مقامات ترندمیکرو «اکنون که بخش بزرگی از جامعه برای کار و مطالعات خود به شبکه‌های خانگی وابسته‌اند، آنچه برای مسیریاب شما اتفاق می‌افتد امروز مهمتر از هر زمانی است. مجرمان سایبری می‌دانند که اکثر قریب به اتفاق مسیریاب‌های خانگی ناامن و دارای نام کاربری/گذرواژه پیش‌فرض هستند و حملات خود را در مقیاس وسیعی افزایش داده‌اند. برای کاربر خانگی، این به معنی دزدیده شدن پهنای باند و کند شدن شبکه است. برای سازمان‌هایی که هدف حملات ثانویه هستند، این بات‌نت‌ها می‌توانند در نهایت یک وب‌سایت را پایین بیاورند، همان طور که در حملات معروف شاهد بوده‌ایم».

افزایش حملات login به مسیریاب‌های خانگی

این پژوهش نشان می‌دهد از اکتبر 2019 به بعد حملات لاگین با استفاده از آزمون جامع روی مسیریاب‌ها افزایش داشته است. در این نوع حملات، مهاجمین از نرم‌افزارهای اتوماتیک برای آزمایش گذرواژه‌های رایج مختلف استفاده می‌کنند. تعداد تلاش‌های آزمون جامع از حدود 23 میلیون در سپتامبر 2019 به حدود 249 میلیون در دسامبر افزایش یافته است. در مارس 2020، ترندمیکرو 194 میلیون تلاش آزمون جامع را ثبت کرده است.

تعداد تلاش‌های لاگین از طریق آزمون جامع از ژانویه 2019 تا مارس 2020

علامت دیگری که نشان می‌دهد مقیاس این حملات افزایش یافته، تجهیزاتی است که سعی می‌کنند با سایر تجهیزات IoT ارتباط تلنت (telnet) برقرار کنند. از آنجا که ارتباطات تلنت رمزگذاری نمی‌شود، این پروتکل مورد علاقه مجرمان و بات‌نت‌های آنها برای جمع‌آوری گذرواژه کاربران است. در اواسط مارس 2020 که حدود 16000 تجهیز سعی در برقراری ارتباط تلنت داشته‌اند، این حملات به اوج رسیده است.

فعالیت تلنت نشئت گرفته از تجهیزات IoT از جولای 2019 تا آوریل 2020 و تعداد تجهیزاتی که این ارتباطات مشکوک را آغاز کرده‌اند

رقابت مجرمان سایبری

مجرمان با یکدیگر رقابت می‌کنند تا بتوانند به مسیریاب‌های بیشتری نفوذ کنند و آنها را در قالب بات‌نت‌ها به کار گیرند. سپس این بات‌نت‌ها را در وب‌سایت‌های زیرزمینی برای حملات DDoS یا برای مخفی سازی هویت در حملاتی مثل سرقت داده به فروش می‌رسانند. این رقابت به قدری شدید است که مجرمان پس از کسب دسترسی به مسیریاب‌ها، بدافزارهایی که از قبل روی آنها نصب بوده را پاک می‌کنند تا رقبای خود را از میدان به در کنند و تجهیز را به انحصار خود درآورند.

از نظر یک کاربر خانگی، مسیریابی که مورد حمله قرار گرفته احتمال دارد با کاهش کارایی مواجه شود. اگر حملاتی از روی این تجهیزات اجرا شوند، ممکن است آدرس IP آنها وارد لیست‌های سیاه شود و در نتیجه دسترسی آنها به بخش‌هایی کلیدی از اینترنت قطع شود.

آن طور که در این گزارش ذکر شده، بازار سیاه بات‌نت در حال رشد است. هرچند هر تجهیز IoT می‌تواند مورد نفوذ واقع شده و در بات‌نت‌ها به کار گرفته شود، اما علت علاقه بیشتر مجرمین به مسیریاب‌ها این است که این تجهیزات به آسانی قابل دسترسی اند و مستقیماً به اینترنت متصل هستند.

توصیه‌هایی برای کاربران خانگی

• از گذرواژه قوی استفاده کنید و آن را هر چند وقت یک بار تغییر دهید.
• اطمینان حاصل کنید که ثابت‌افزار مسیریاب به‌روز است.
• لاگ تجهیز را بررسی کنید تا فعالیت‌های مشکوک را پیدا کنید.
• تنها از طریق شبکه محلی اجازه لاگین به تجهیز را بدهید.