ابر آروان درباره احتمال حملات گسترده ‏DDoS‏ با سوءاستفاده از ‏ MTProxy‏های ‏تلگرام ‏به کاربران این پیام‌رسان در کشور هشدار داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کاربران ایرانی تلگرام برای دور زدن فیلتر این شبکه اجتماعی گاهی علاوه‌بر استفاده از VPN مجبور می‌شوند از MTProxy‏های ‏تلگرام ‏نیز استفاده کنند. مجموعه ابرآروان اعلام کرد با استفاده از این پروکسی‌ها امکان حملات DDoS وجود دارد. در این حملات زامبی‌های اینترنتی با ارسال درخواست‌های مکرر به سایت‌ها آن‌ را از کار می‌اندازند.

مسدودسازی پیام‌رسان تلگرام دهم اردیبهشت ۱۳۹۷ به دستور مقام قضایی آغاز شد. یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارنی به نام MTProto در راستای رمزنگاری محتوا بود. مدتی از ماجرای فیلترینگ این پیام‌رسان گذشت تا اینکه تلگرام سعی کرد با استفاده از سرویسی با نام MTProxy دسترسی به تلگرام را برای کاربران ایرانی مقدور کند.

نفوذ بسیار بالای تلگرام در ایران باعث شد کاربران بی‌شماری علاوه‌بر استفاده از فیلترشکن‌ها به فکر استفاده از MTProxyهای رایگان بیفتند. افرادی که بی‌اطلاع از همه‌جا امروز تبدیل به بات‌نت‌های (مهاجم‌های) یک شبکه بزرگ خرابکاری اینترنتی شده‌اند.

ابر آروان با تحلیل حملات گسترده‌ روزهای گذشته به زیرساخت‌های خود، یک نوع حمله‌ کاملا توزیع‌شده‌ جدید را تشخیص داد که تفاوت‌های اساسی با حملات پیشین داشتند. این حملات مستقیما به آدرس IP و پورت ۸۰ سرور لبه‌ ابر آروان ارسال شده بودند و اثری از دامنه‌ا‎ی خاص در درخواست‌های آن‌ها یافت نمی‌شد.

علاوه‌بر این، ترافیک دریافتی کاملا تصادفی به نظر می‌رسید. حتی آنتروپی (معیاری از اشتباهات تصادفی است که در هنگام انتقال یک سیگنال به وجود می‌آید) محاسبه شده روی اطلاعات درخواست‌های دریافتی، تقریبا معادل ۴ بود. ترافیک دریافتی در لایه‌ی ۷ بود. اما از هیچ‌یک از پروتکل‌های معروف این لایه مانند TTP، HTTPS، FTP و… پیروی نمی‌کرد. حمله کاملا داخلی بود و IPهای حمله‌کننده، در داخل کشور قرار داشتند.

حجم بالای این حملات می‌توانست بسیاری از وب‌سایت‌ها و سامانه‌های آنلاین را دچار اختلال کند، اما برای ساختار توزیع‌شده‎ و سامانه‌های جلوگیری از حملات DDoS ابر آروان مقابله با این حملات کار سختی به نظر نمی‌رسید اما از آن‌جایی که در این مورد به خصوص از داده‌ها‎ی ارسالی سرنخ و نه از نشانی‌های درخواست‌های ارسالی الگوی مشترکی داشتند که از آنها استفاده کنند، تحلیل این حملات برای کارشناسان امنیت سایبری این مجموعه کمی سخت شد.

بنابر مشاهدات و گزارشی که ابرآروان در وب‌سایت خود ارائه داده‌است، شدت این حملات روز چهارشنبه به حدود ۱۰۰ هزار درخواست در ثانیه رسید که این میزان حمله، امکان از دسترس خارج کردن بیش‌تر وب‌سایت‌های کشور را دارند. تفاوت مهم دیگر، وجود منشاء داخلی این حملات بود که باعث پررنگ‌تر شدن آن شد. برای یافتن منشاء حملات، فعالیت‌های زیادی انجام شد که بسیاری از آنها شکست خوردند. اما در ساعات انتهایی روز شنبه، حدس زده شد که ممکن است این ترافیک مربوط به سرویس MTProxy نرم‎افزار تلگرام باشد.

چند نکته در ترافیک نمونه‌گیری شده وجود داشت که حدس کارشناسان را تقویت می‎کرد. ترافیک سرویس MTProxy رمزنگاری شده است و ترافیک رمز شده معمولا رفتاری مانند ترافیک تصادفی دارد.

هم‌چنین در پروتکل MTProto این درهم‌ریختگی تصادفی، تشدید نیز می‌شود. متاسفانه با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده است که با توزیع‌شدگی شدید این حمله تطابق داشت.

علاوه‌بر این دلایل، ارسال و استفاده از سرویس‌های رایگان MTProxy در کانال‌های تلگرام امری شایع و ساده است. به‌راحتی می‎توان با تغییر نشانی IP یکی از این سرورها به نشانی ابر آروان، ترافیک مشابه ایجاد کرد.

به‌دلیل ساختار استفاده از سرویس MTProxy، چند نشانی به‌عنوان سرور در اختیار نرم‎افزار قرار می‌گیرد که اگر هر کدام از این سرورها کار نکند، تلگرام از سرور بعدی استفاده می‎کند. در نتیجه کاربر متوجه تغییر نشانی IP سرور MTProxy نمی‌شود.

کارشناسان ابرآروان با شبیه‌سازی سناریوی احتمالی، حدس سرویس MTProxy را تقویت کردند. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونه‌گیری از درستی آن اطمینان پیدا کردند.

این حمله به احتمال زیاد حمله‌ای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع می‌شود. نبود نگاه چند جانبه نسبت به فناوری‌های روز باعث حذف یک پیام‌رسان با میلیون‌ها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.

درنهایت ابرآروانی‎ها به کاربران تلگرام هشدار جدی داده‌اند که اگر در این زمینه تصمیمات درستی اتخاذ نشود، مدیران کانال‌های تلگرامی که اقدام به ترویج MTProxyهای رایگان می‌کنند، دو قدرت بسیار مهم در اختیار خواهند داشت.

یکی سوء‌استفاده از کاربران بی‌شمار ایرانی برای DDoS کردن وب‌سایت‌ها یا سامانه‌های حیاتی کشور و دیگر گمراه کردن دستگاه‌های حاکم بر فضای سایبری و ارسال ترافیک MTProto به سرورها که منجر به قربانی‌شدن آنها می‌شود.