حملات گسترده ‏DDoS‏ با سوء استفاده از ‏ MTProxy‏های ‏تلگرام ‏

مسدودسازی پیام‌رسان تلگرام دهم اردیبهشت ۱۳۹۷ به دستور مقام قضایی آغاز شد. یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارنی به نام MTProto در راستای رمزنگاری محتوا بود.

مدتی از ماجرای فیلترینگ این پیام‌رسان گذشت تا این که تلگرام سعی کرد با استفاده از سرویسی با نام MTProxy دسترسی به تلگرام را برای کاربران ایرانی مقدور کند.

نفوذ بسیار بالای تلگرام در ایران باعث شد کاربران بی‌شماری علاوه‌بر استفاده از فیلترشکن‌ها به فکر استفاده از MTProxyهای رایگان بیفتند. افرادی که بی‌اطلاع از همه‌جا امروز تبدیل به بات‌نت‌های (مهاجم‌های) یک شبکه بزرگ خرابکاری اینترنتی شده‌اند.

ابر آروان با تحلیل حملات گسترده‌ روزهای گذشته به زیرساخت‌های خود، یک نوع حمله‌ کاملا توزیع‌شده‌ جدید را تشخیص داد که تفاوت‌های اساسی با حملات پیشین داشتند. این حملات مستقیما به آدرس IP و پورت ۸۰ سرور لبه‌ ابر آروان ارسال شده بودند و اثری از دامنه‌ا‎ی خاص در درخواست‌های آن‌ها یافت نمی‌شد.

علاوه بر این، ترافیک دریافتی کاملا تصادفی به نظر می‌رسید. حتی آنتروپی (معیاری از اشتباهات تصادفی است که در هنگام انتقال یک سیگنال به وجود می‌آید) محاسبه شده روی اطلاعات درخواست‌های دریافتی، تقریبا معادل ۴ بود. ترافیک دریافتی در لایه‌ی ۷ بود. اما از هیچ‌یک از پروتکل‌های معروف این لایه مانند TTP، HTTPS، FTP و… پیروی نمی‌کرد. حمله کاملا داخلی بود و IPهای حمله‌کننده، در داخل کشور قرار داشتند.

حجم بالای این حملات می‌توانست بسیاری از وب‌سایت‌ها و سامانه‌های آنلاین را دچار اختلال کند، اما برای ساختار توزیع‌شده‎ و سامانه‌های جلوگیری از حملات DDoS ابر آروان مقابله با این حملات کار سختی به نظر نمی‌رسید اما از آن‌جایی که در این مورد به خصوص از داده‌ها‎ی ارسالی سرنخ و نه از نشانی‌های درخواست‌های ارسالی الگوی مشترکی داشتند که از آن‌ها استفاده کنند، تحلیل این حملات برای کارشناسان امنیت سایبری این مجموعه کمی سخت شد.

بنا بر مشاهدات و گزارشی که ابرآروان در وبسایت خود ارائه داده، شدت این حملات روز چهارشنبه به حدود ۱۰۰ هزار درخواست در ثانیه رسید که این میزان حمله، امکان از دسترس خارج کردن بیش‌تر وب‌سایت‌های کشور را دارند. تفاوت مهم دیگر، وجود منشاء داخلی این حملات بود که باعث پررنگ‌تر شدن آن شد.

حملات با منشاء داخلی 

برای یافتن منشاء حملات، فعالیت‌های زیادی انجام شد که بسیاری از آن‌ها شکست خوردند. اما در ساعات انتهایی روز شنبه، حدس زده شد که ممکن است این ترافیک مربوط به سرویس MTProxy نرم‎افزار تلگرام باشد.

چند نکته در ترافیک نمونه‌گیری شده وجود داشت که حدس کارشناسان را تقویت می‎کرد. ترافیک سرویس MTProxy رمزنگاری شده است و ترافیک رمز شده معمولا رفتاری مانند ترافیک تصادفی دارد.

هم‌چنین در پروتکل MTProto این درهم‌ریختگی تصادفی، تشدید نیز می‌شود. متاسفانه با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده است که با توزیع‌شدگی شدید این حمله تطابق داشت.

علاوه بر این دلایل، ارسال و استفاده از سرویس‌های رایگان MTProxy در کانال‌های تلگرام امری شایع و ساده است. به‌راحتی می‎توان با تغییر نشانی IP یکی از این سرورها به نشانی ابر آروان، ترافیک مشابه ایجاد کرد.

به‌دلیل ساختار استفاده از سرویس MTProxy، چند نشانی به‌عنوان سرور در اختیار نرم‎افزار قرار می‌گیرد که اگر هر کدام از این سرورها کار نکند، تلگرام از سرور بعدی استفاده می‎کند. در نتیجه کاربر متوجه تغییر نشانی IP سرور MTProxy نمی‌شود.

کارشناسان ابرآروان با شبیه‌سازی سناریوی احتمالی، حدس سرویس MTProxy را تقویت کردند. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونه‌گیری از درستی آن اطمینان پیدا کردند.

 این حمله به احتمال زیاد حمله‌ای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع می‌شود. نبود نگاه چند جانبه نسبت به فناوری‌های روز باعث حذف یک پیام‌رسان با میلیون‌ها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.

در نهایت ابرآروانی‎ها به کاربران تلگرام هشدار جدی داده‌اند که اگر در این زمینه تصمیمات درستی اتخاذ نشود، مدیران کانال‌های تلگرامی که اقدام به ترویج MTProxyهای رایگان می‌کنند، دو قدرت بسیار مهم در اختیار خواهند داشت.

یکی سوء استفاده از کاربران بی‌شمار ایرانی برای DDoS کردن وب‌سایت‌ها یا سامانه‌های حیاتی کشور و دیگر گمراه کردن دستگاه‌های حاکم بر فضای سایبری و ارسال ترافیک MTProto  به سرورها که منجر به قربانی‌شدن آن‌ها می‌شود.