ابرآروان مورد هجوم کاربران تلگرامی قرار گرفت: فیلترشکنهایی که زامبی میشوند
فیلتر تلگرام در ایران به علت رواج استفاده از فیلترشکنها در میان عموم مردم، راه را برای حمله DDoS به کسب و کارهای ایرانی باز کرد.
کاربران این پیامرسان در ایران به دلیل استفاده از فیلترشکنهای رایگان قابل نصب روی تلگرام تبدیل به باتنتهایی شدهاند که میتوانند به عنوان پیادهنظام برای حمله سایتها و کسب و کارهای مختلف استفاده شوند بیانکه خود از آن آگاهی داشته باشند.
اولین بروز قابل تشخیص این نوع حمله، توسط شرکت ابرآروان ارائه دهنده سرویسهای ابری و سرویس امنیتی شبکه گزارش شدهاست. حمله به ابرآروان که خود ارایهدهنده خدمات CDN هم هست ۱۴ آبان ماه آغاز و ۱۹ آبان ماه به اتمام رسید. ترافیک دریافتی از سوی سرورهای ابرآروان کاملا تصادفی به نظر میرسید و حمله کاملا داخلی بود یعنی IPهای حملهکننده، در داخل کشور قرار داشتند که با توجه به سابقه اینگونه حملات چندان رایج نیست. معمولا حملاتی از این دست منشا خارجی دارند تا قابل پیگیری قضایی نباشند اما بررسیهای صورت گرفته از سوی ابرآروان نشان داد که این حملات از طریق ترافیک سرویس MTProxy رمزنگاری شده صورت میگیرد.
شایعترین استفاده از این مدل رمزنگاری در فیلترشکنهای تلگرام صورت میگیرد. با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده و همین زمینه را برای به کارگیری کاربران همچون زامبیهای آنلاین امکانپذیر میکند.
یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارن به نام MTProto بود این الگوریتم برای رمزنگاری محتوا مورد استفاده قرار میگرفت. بعدها تلگرام از سرویسی با نام MTProxy استفاده کرد تا بتواند بهکمک این پروتکل با فیلترینگ مقابله کند که از دید بسیاری پاسخ توسعهدهندگان تلگرام به فیلترشدن این سرویس در ایران بود. تلگرام در اردیبهشت ماه سال ۹۷ فیلتر شد و از آن زمان تا کنون کاربران آن در ایران از طریق فیلترشکنهای مختلف از این پیامرسان استفاده میکنند. همین پروتکل رمزنگاری محتوا در تلگرام هماکنون تبدیل به ابزاری شده تا حمله کنندگان به سایتها بتوانند از طریق آن به سایتها و کسب و کارهای مختلف حمله کنند.
معمار امنیت ابرآروان در توضیح این مطلب گفت: «این نوع پروکسیها بیشتر از طریق کانالها یا گروههای تلگرامی در اختیار کاربران این پیامرسان قرار میگیرد و آنان بانصب آن روی تلگرامشان به ظاهر بدون نیاز به فیلترشکن میتوانند از تلگرام استفاده کنند اما پس از مدتی استفاده از این پروکسی ظاهرا غیرممکن میشود.»
حسین قاسمی دلیل این امر این را تغییر آدرس IPپروکسی عنوان کرد و افزود: « ارائه دهندگان این پروکسی IP آدرس آن را تغییر میدهند و آدرس را به سمت یک کسب و کار یا سایت هدایت میکنند. در نهایت استفاده کننده از پروکسی به این نتیجه میرسد که پروکسی خوب عمل نمیکند یا کند شده است اما در اصل از IP وی برای حمله به یک سایت بهره بردهاند و در نهایت از ترافیک اینترنت کاربر نیز استفاده شده است.»
او یکی از بهترین روشهای جلوگیری از این حملات در سمت کاربر را استفاده نکردن آنان از فیلترشکنهای قابل نصب روی تلگرام با پروتکل MTProto عنوان کرد. در مقابل کسب و کارها نیز باید مکانیزمهای امنیتی خود برای مقابله با این نوع حمله را افزایش دهند.
پس از ابرآروان این نوع حمله به برخی دیگر از کسب و کارها نیز صورت گرفته است و شنیدههایی در مورد حملات مشابه به مجموعههایی مانند علیبابا هم وجود دارد.