مسدودسازی پیامرسان تلگرام دهم اردیبهشت ۱۳۹۷ به دستور مقام قضایی آغاز شد. یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارنی به نام MTProto در راستای رمزنگاری محتوا بود.
مدتی از ماجرای فیلترینگ این پیامرسان گذشت تا این که تلگرام سعی کرد با استفاده از سرویسی با نام MTProxy دسترسی به تلگرام را برای کاربران ایرانی مقدور کند.
نفوذ بسیار بالای تلگرام در ایران باعث شد کاربران بیشماری علاوهبر استفاده از فیلترشکنها به فکر استفاده از MTProxyهای رایگان بیفتند. افرادی که بیاطلاع از همهجا امروز تبدیل به باتنتهای (مهاجمهای) یک شبکه بزرگ خرابکاری اینترنتی شدهاند.
ابر آروان با تحلیل حملات گسترده روزهای گذشته به زیرساختهای خود، یک نوع حمله کاملا توزیعشده جدید را تشخیص داد که تفاوتهای اساسی با حملات پیشین داشتند. این حملات مستقیما به آدرس IP و پورت ۸۰ سرور لبه ابر آروان ارسال شده بودند و اثری از دامنهای خاص در درخواستهای آنها یافت نمیشد.
علاوه بر این، ترافیک دریافتی کاملا تصادفی به نظر میرسید. حتی آنتروپی (معیاری از اشتباهات تصادفی است که در هنگام انتقال یک سیگنال به وجود میآید) محاسبه شده روی اطلاعات درخواستهای دریافتی، تقریبا معادل ۴ بود. ترافیک دریافتی در لایهی ۷ بود. اما از هیچیک از پروتکلهای معروف این لایه مانند TTP، HTTPS، FTP و… پیروی نمیکرد. حمله کاملا داخلی بود و IPهای حملهکننده، در داخل کشور قرار داشتند.
حجم بالای این حملات میتوانست بسیاری از وبسایتها و سامانههای آنلاین را دچار اختلال کند، اما برای ساختار توزیعشده و سامانههای جلوگیری از حملات DDoS ابر آروان مقابله با این حملات کار سختی به نظر نمیرسید اما از آنجایی که در این مورد به خصوص از دادههای ارسالی سرنخ و نه از نشانیهای درخواستهای ارسالی الگوی مشترکی داشتند که از آنها استفاده کنند، تحلیل این حملات برای کارشناسان امنیت سایبری این مجموعه کمی سخت شد.
بنا بر مشاهدات و گزارشی که ابرآروان در وبسایت خود ارائه داده، شدت این حملات روز چهارشنبه به حدود ۱۰۰ هزار درخواست در ثانیه رسید که این میزان حمله، امکان از دسترس خارج کردن بیشتر وبسایتهای کشور را دارند. تفاوت مهم دیگر، وجود منشاء داخلی این حملات بود که باعث پررنگتر شدن آن شد.
حملات با منشاء داخلی
برای یافتن منشاء حملات، فعالیتهای زیادی انجام شد که بسیاری از آنها شکست خوردند. اما در ساعات انتهایی روز شنبه، حدس زده شد که ممکن است این ترافیک مربوط به سرویس MTProxy نرمافزار تلگرام باشد.
چند نکته در ترافیک نمونهگیری شده وجود داشت که حدس کارشناسان را تقویت میکرد. ترافیک سرویس MTProxy رمزنگاری شده است و ترافیک رمز شده معمولا رفتاری مانند ترافیک تصادفی دارد.
همچنین در پروتکل MTProto این درهمریختگی تصادفی، تشدید نیز میشود. متاسفانه با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده است که با توزیعشدگی شدید این حمله تطابق داشت.
علاوه بر این دلایل، ارسال و استفاده از سرویسهای رایگان MTProxy در کانالهای تلگرام امری شایع و ساده است. بهراحتی میتوان با تغییر نشانی IP یکی از این سرورها به نشانی ابر آروان، ترافیک مشابه ایجاد کرد.
بهدلیل ساختار استفاده از سرویس MTProxy، چند نشانی بهعنوان سرور در اختیار نرمافزار قرار میگیرد که اگر هر کدام از این سرورها کار نکند، تلگرام از سرور بعدی استفاده میکند. در نتیجه کاربر متوجه تغییر نشانی IP سرور MTProxy نمیشود.
کارشناسان ابرآروان با شبیهسازی سناریوی احتمالی، حدس سرویس MTProxy را تقویت کردند. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونهگیری از درستی آن اطمینان پیدا کردند.
این حمله به احتمال زیاد حملهای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع میشود. نبود نگاه چند جانبه نسبت به فناوریهای روز باعث حذف یک پیامرسان با میلیونها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.
در نهایت ابرآروانیها به کاربران تلگرام هشدار جدی دادهاند که اگر در این زمینه تصمیمات درستی اتخاذ نشود، مدیران کانالهای تلگرامی که اقدام به ترویج MTProxyهای رایگان میکنند، دو قدرت بسیار مهم در اختیار خواهند داشت.
یکی سوء استفاده از کاربران بیشمار ایرانی برای DDoS کردن وبسایتها یا سامانههای حیاتی کشور و دیگر گمراه کردن دستگاههای حاکم بر فضای سایبری و ارسال ترافیک MTProto به سرورها که منجر به قربانیشدن آنها میشود.
نظر شما