قطع ارتباط اینترنتی یک میلیون کاربرآلمانی به دلیل حملات سایبری گسترده

قطع ارتباط اینترنتی یک میلیون کاربرآلمانی به دلیل حملات سایبری گسترده

به گفته اپراتور مخابراتی «Deutsche Telekom» آلمان ارتباط مخابراتی صد‌ها هزار مشترک این شرکت به دلیل حمله سایبری گسترده با مرکز مخابراتی قطع‌شده یا کیفیت خدمات ارائه‌شده به‌شدت کاهش‌یافته است. وضعیت شبکه و چگونگی خارج‌شدن روتر‌ها از شبکه، نظر کار‌شناسان را به امکان حمله سایبری جلب کرده است.

به گزارش نشریه الکترونیک ترند، دویچه تله کام ۲۰ میلیون کاربر در آلمان دارد و به گفتۀ مسئولان این شرکت، ۹۰۰ هزار کاربر این اپراتور هدف این حملۀ سایبری بوده‌اند.

اختلال در شبکۀ تلفن ثابت مشتریان این شرکت به مدت دو روز در برخی شهرها طول کشیده است. حملۀ سایبری به خطوط تلفن ثابت موجب مختل شدن ارتباط تلویزیون و اینترنت مشتریان نیز شده است. یک سخنگوی «دویچه تله‌کام» آلمان اعلام کرد که این شرکت گمان می‌کند عاملی بیرونی دلیل بروز مشکل بوده باشد.


واکنش صدراعظم المان، انگشت اتهام به‌سوی روسیه:

یک روز پس از قطع خدمات ۹۰۰ هزار مشتری شرکت دویچه تله‌کام، آنگلا مرکل، صدراعظم آلمان گفته است که حملات سایبری از روسیه «بخشی از زندگی روزمره» شده وی درادامه گفت: “من نمی‌دانم که آیا روسیه عامل حمله سایبری اخیر علیه گروه «دویچه تله کام» بوده است یا نه اما مسلم است که ما باید به چنین حملاتی قاطعانه پاسخ دهیم.”
برونو کال رئیس سرویس اطلاعاتی و امنیتی آلمان نیز در این باره هشدار داده بود که روسیه احتمالا در فکر حمله به زیرساخت‌های سایبری انتخابات سال آینده این کشور است.

اگرچه به گفتهٔ سخنگوی دولت آلمان، اختلال در شبکهٔ اینترنتی، تأثیری بر فعالیت دولت نداشته، اما اهمیت توجه به حملات سایبری را بیش‌ازپیش آشکار می‌کند.
اگر ثابت شود که دست هکر‌ها در کار بوده، این نخستین حمله سایبری به شبکهٔ این شرکت در چنین ابعادی است.
دویچه تله کام هم خدمات تلفن همراه ارائه می‌کند و هم خط ثابت. مشتریان خط ثابت می‌توانند علاوه بر تلفن ثابت و اینترنت، کانال‌های تلویزیونی را هم از طریق اینترنت دریافت کنند. اختلال در کار تجهیزات کاربران، مکالمه با تلفن ثابت و دسترسی به اینترنت و برنامه‌های تلویزیونی را تحت تأثیر قرار داده است.


پای Mirai وسط است!

گفته‌شده این حمله سایبری به روترهای خانگی ساخت Zyxel و Speedport و از طریق بات نت اصلاح‌شده Mirai بر روی پورت باز ۷۵۴۷ بوده است؛ Mirai‌‌ همان بدافزاری است که مخصوص دستگاه‌های اینترنت اشیاء (IoT) بوده و به جستجوی دستگاه‌های ناامن و آسیب‌پذیری می‌پردازد و ماه گذشته با حملات منع سرویس توزیع‌شده(DDoS) بخشی وسیع از اینترنت آمریکا را مختل کرد و چند هفته بعد نیز ارتباط اینترنتی کاربران Lonestar Cell MTN لیبریا را قطع نمود.

speedport-w-723v
محققان مرکز SANS Internet Storm Center که نخستین بار گزارش این حمله را دادند، معتقدند روترهای موردحمله واقع‌شده، دسترسی راه دور دارند تا درصورت خرابی، توسط تکنسین تعمیر شود و هکرهایی که بات نت میرای را بکار گرفته اند، از این ویژگی سوءاستفاده کرده‌اند.

براین اساس مهاجمان قصد داشتند بر روی این مودم ها دستور مخرب را از راه دور اجرا کنند. مهاجمان این دستور‌ها را در فیلد نام کارگزار پروتکل زمان شبکه (NTP) تزریق می‌کردند. این مقدار در نام کارگزار NTP بدون اعتبارسنجی تحت عنوان یک دستور تجزیه شده و مهاجم می‌توانست یک حملهٔ اجرای کد از راه دور را ترتیب دهد.

کد مخرب در فیلد نام کارگزار NTP از طریق پروتکل TR-064 تزریق می‌شد. پروتکل TR-064 به ارائه‌دهندگان سرویس اینترنت (ISP) اجازه می‌دهد بتوانند دستگاه‌ها را بر روی شبکهٔ خود مدیریت کنند. مشکل اصلی اینجاست که بسیاری از دستگاه‌ها طوری پیکربندی شده‌اند که دستورات ارسالی TR-064 از سمت اینترنت را قبول می‌کنند و این به مهاجمان اجازه می‌دهد تا عملیات خرابکارانهٔ خود را اجرا کنند. [منبع]

به گفته محقق حوزه امنیت، «کن وایت»، بیش از ۴۱ میلیون رو‌تر از این مدل وجود دارد که پورت ۷۵۴۷ آن‌ها باز بوده و ممکن است مورد حملات بعدی در سایر کشور‌ها قرار گیرند.

گردآوری و ترجمه: تحریریه نشریه الکترونیک ترند