یک مهاجم می‌خواهد که قبل از دیگر مهاجمان شما را هک کند تا از دستگاه‌هایتان محافظت کند!

این نکته قابل توجه است که هک کردن یک سیستم که متعلق به شما نیست به منظور رسیدن به هدف دسترسی غیرمجاز بر روی آن سیستم، یک عمل غیرقانونی است و به نیت فرد مهاجم که در پشت این حمله قرار دارد، ارتباطی ندارد.

این نکته بدین منظور مورد اشاره قرار گرفت که گزارش شده، شخصی که توسط خبرنگاران به‌عنوان “مهاجم هوشیار^(۱)” از آن یاد می‌شود، دستگاه‌های اینترنت اشیاء را مورد حمله قرار داده است بدین منظور که آن‌ها را ایمن کند.

این اولین باری نیست که یک مهاجم حس مراقبت و حفاظت از خود نشان داده است چراکه درگذشته شاهد بسیاری از اتفاقات مشابه بودیم[۱] که در آن‌ها مهاجم موردنظر از یک بدافزار استفاده کرده تا هزاران دستگاه را در معرض خطر قرار دهد اما به‌جای حمله کردن به آن‌ها، این مهاجمان صاحبان آن‌ها را مجبور به ایمن کردن دستگاه‌هایشان کرده‌اند.

این بدافزارِ از نوع بات‌نت^(۲) که بر روی دستگاه‌های اینترنت اشیاء نصب می‌شود و توسط این مهاجم مورداستفاده قرار گرفته است، Hajime نام‌گذاری شده است و در حال حاضر حداقل ۱۰٫۰۰۰ روتر خانگی، دوربین‌های متصل به اینترنت و دیگر دستگاه‌های هوشمند را تحت تأثیر خود قرار داده است.

اما گزارش شده است که این حمله یک تلاش برای گرفتن کنترل از Mirai و دیگر تهدیدات مخرب است.

Mirai یک بات‌نت مربوط به دستگاه‌های اینترنت اشیا است که در اکتبر سال گذشته و توسط توزیع حملات DoS علیه تأمین‌کننده DNS معروف به نام Dyn، اینترنت را تهدید کرد[۲]. این بات‌نت به‌گونه‌ای طراحی شده بود که دستگاه‌های اینترنت اشیایی که از کلمات عبور پیش‌فرض استفاده می‌کردند را جستجو و پیدا می‌کرد.

Hajime یا این botnet مربوط به دستگاه‌های اینترنت اشیا، چگونه کار می‌کند؟

بات‌نت Hajime بیشتر مشابه Mirai فعالیت می‌کند و بدین‌صورت که از طریق دستگاه‌های اینترنت اشیا غیر ایمن که پورت Telnet آن‌ها باز است و از کلمات عبور پیش‌فرض استفاده می‌کنند، پخش می‌‎شود. این بدافزار، از لیست نام‌های کاربری و کلمات عبور مشابهی که Mirai استفاده می‌کرد، استفاده می‌کند و البته دو لیست دیگر نیز به آن اضافه کرده است.

اگرچه نکته جالب توجه در مورد Hajime این است که برخلاف Mirai این بدافزار دستگاه‌های مورد هدف را از طریق بلاک کردن چهار پورت شامل ۲۳، ۷۵۴۷، ۵۵۵۵ و ۵۳۵۸ به یک دستگاه ایمن تبدیل می‌کند. این چهار پورت، به‌عنوان پورت‌های مورد استفاده توسط مهاجمان برای حمله به بسیاری از دستگاه‌های اینترنت اشیا شناخته می‌شوند. از طریق بلاک کردن این چهار پورت توسط Hajime، بسیاری از تهدیدات دیگر و همچنین Mirai غیرفعال می‌شوند.

برخلاف Mirai، بات‌نت Hajime از یک شبکه peer-to-peer غیرمتمرکز استفاده می‌کند به‌جای آنکه از یک سرور فرمان و کنترل استفاده کند. سپس از این طریق دستورات و به‌روزرسانی‌های موردنیاز را به دستگاه مورد هدف ارسال می‌کند. به خاطر استفاده از این شبکه غیرمتمرکز، از کار انداختن این بات‌نت برای ISP ها و تأمین‌کننده‌های اینترنت بسیار مشکل شده است.

بات‌نت Hajime همچنین مراحلی جهت مخفی کردن فرآیندهای اجرا کرده و فایل‌ها دستکاری‌شده بر روی سیستم انجام می‌‌دهد که این مراحل پنهان‌کاری شناسایی سیستم‌های تحت تأثیر را مشکل‌تر می‌کند.

علاوه بر این، بات‌نت Hajime فاقد توانایی‌های DDoS یا هرگونه کد حمله دیگری است مگر کد تکثیر شدن که به آن اجازه می‌دهد از طریق یک دستگاه آلوده‌شده دیگر دستگاه‌های آسیب‌پذیر را پیدا کرده و آن‌ها را آلوده کند.

یکی از جالب‌ترین موضوعات در مورد Hajime این است که این بات‌نت یک پیام امضاشده رمزنویسی شده را هر ۱۰ دقیقه ۱ بار نمایش می‌دهد. این پیام شامل موارد زیر است:

Just a white hat, securing some systems.
Important messages will be signed like this!
Hajime Author.
Contact CLOSED Stay sharp!

هیچ چیزی برای تحت تأثیر قرار گرفتن وجود ندارد.

بدون شک، وسوسه‌ای برای تحسین کردن Hajime در ما وجود دارد، اما تا موقعی که کاربران، دستگاه‌های موردحمله واقع‌شده خود را راه‌اندازی مجدد نکنند.

ازآنجاکه Hajime هیچ نوع مکانیزم پافشاری‌ای ندارد که بر روی RAM دستگاه‌ها بارگذاری شود، هنگامی‌که دستگاه اینترنت اشیا موردنظر راه‌اندازی مجدد می‌شود، دوباره به حالت غیر ایمن خود بازمی‌گردد، به‌طوری‌که کلمه عبور آن همچنان به‌صورت پیش‌فرض بوده و پورت‌های Telnet آن باز می‌شود.

محققان Symantec توضیح می‌دهند[۳]: “یک روز این امکان وجود دارد که یک دستگاه متعلق به Mirai باشد و بعد از راه‌اندازی مجدد ممکن است تحت کنترل Hajime قرار گیرد و همچنین در روزهای دیگر تحت کنترل بسیاری از بدافزارهای اینترنت اشیا و موجود در سطح اینترنت که در حال جستجوی دستگاه‌های آسیب‌پذیر هستند. این چرخه با هر بار راه‌اندازی مجدد تکرار می‌شود تا اینکه دستگاه موردنظر به یک firmware جدیدتر و ایمن‌تر به‌روزرسانی شود.”

اما همچنان یک مشکل دیگر وجود دارد. هک کردن یک نفر به‌منظور جلوگیری از مورد تهاجم قرار گرفتن یک موضوع ساده نیست، به همین خاطر است که ما نگران یک اصلاح قانون هستیم که توسط ایالات‌متحده آمریکا صادر شده (قانون ۴۱) که به FBI قدرت بیشتری داده تا به‌صورت قانونی وارد کامپیوترهای متعلق به هر کشوری شده و داده‌های آن را بدزدد و از راه دور بر روی آن نظارت داشته باشد[۴].

بنابراین، بیشترین موضوعی که در حال حاضر نگران‌کننده است این است که آیا هیچ ضمانتی مبنی بر این وجود دارد که سازنده Hajime توانایی‌های حمله را به این بدافزار اضافه نکند تا از آن برای مورد حمله قرار دادن دستگاه‌ها و اهداف شوم خود استفاده کند؟

منابع

[۱] http://thehackernews.com/2015/10/hack-wifi-router.html

[۲] https://apa.aut.ac.ir/?p=1672

[۳] https://www.symantec.com/connect/blogs/hajime-worm-battles-mirai-control-internet-things

[۴] http://thehackernews.com/2016/06/fbi-hack-rule-41.htm

[۵] http://thehackernews.com/2017/04/vigilante-hacker-iot-botnet.html

(۱) vigilante hacker
(۲) botnet