مودمهای مبیننت پنهانی ارز دیجیتال استخراج میکردند!
ICTna.ir - با افشاگری یک کاربر توییتر و تایید ضمنی مبین نت، مشخص شده که برخی از مودمهای اپراتور TD-LTE مبین نت به یک اسکریپت ماینینگ پنهانی برای استخراج بدون اطلاع ارز دیجیتال با استفاده از منابع مشترکین این اپراتور آلوده هستند و بدون اطلاع کاربر، این مودم ها اقدام به استخراج رمزارز میکنند. این موضوع نخستین بار، توسط یک توسعه دهنده ایرانی در توییتر افشا شده و مبین نت به طور ضمنی آن را تأیید کرده و قول پیگیری داده است.
به گزارش خبرنگار آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا)، مشخص نیست که این Firmware با اطلاع مدیران یا کارکنان مبیننت بر رروی بخشی از مودمهای این اپراتور نصب شده، یا شرکت چینیِ فروشنده دستگاههای مودم به مبیننت به صورت پیشفرض یا با بهروزرسانی غیرمجاز و یا آلوده، چنین دسترسی و امکان سوءاستفادهای را برای استخراج رمزارز (ماینینگ) با استفاده پنهانی از منابع مشترکین این اپراتور، فراهم کرده است.
روابط عمومی مبیننت در توییتر و در پاسخ به کاربری که این موضوع را فاش ساخته قول پیگیری داده و پس از آن از بروزرسانی نرم افزار این مودم ها خبر داده است. این در حالی است که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای سازمان فناوری اطلاعات ایران (ماهر) هنوز در این خصوص اعلام نظر نکرده و وب سایت این مرکز از 25 اسفندماه به روز رسانی نشده است.
ماجرا از چه قرار است؟
ماجرا از آنجا شروع شد که دو روز پیش، یک کاربر توییتر با شناسه MrOplus که خود را مهندس نرم افزار و شکارچی بدافزار معرفی کرده، با انتشار تصویری از سورس کد محتوی این اسکریپت در مودمهای SLC مبین نت با فرمور نسخه 13.0.1 نوشت: اینکه این ماجرا تقصیر مبین نت هست یا نه رو من نمیدونم قطعا، اما به شکل عجیبی تمام مودم های SLC مبین نت با Firmware 1.0.13 آلوده به Miner هستند، ماجرا هم به این شکل هست که بعد از لاگین به سیستم یک اسکریپت webminer اجرا میشود که در عکس زیر مشخص هست:
این کاربر در ادامه رشته توییت خود تاکید کرده بود: این داستان فقط و فقط دو حالت دارد، یا کسی در شرکت مبین نت دست گل به آب داده و از طریق TR069 یک فریمور آلوده بر روی دستگاهها ارسال کرده ، یا شرکت چینی که مبین نت از آن شرکت خرید کرده، فایل ها را به صورت ریموت آپدیت میکند.
وی تصریح کرده بود که در خصوص این حالت در سال 96 یا 97 هشدار داده بوده ولی گوش شنوایی برای تذکرش نبوده است.
مدتی بعد او از بررسی بیشتر خبر داد و نوشت: روی مودم هایی که خارج از شبکه مبین نت هست این داستان وجود ندارد.
وی تحلیل کرده بود این مضووع یا بخاطر خاموش بودن قابلیت tr069 هست یا بخاطر عدم دسترسی به سرور update
به گفته کاربر افشا کننده این نقطه ضعف "حتی اگر بگویم صفحه بعد از ریبوت شدن برگردد به حالت قبل (که در مواردی که من تست کردم چنین چیزی نبود) باز هم باید پیگیر این باشند که چرا باید از 2018 تا به امروز Backdoor ها و bug ها رفع نشده؟
به گفته وی، این نشان دهنده آن است که شرکت وارد کننده (احتمالا) دسترسی به source code را ندارد یا از دانش کافی در این زمینه برخوردار نیست.
به گفته این کاربر "راهکار پیشنهادی هم این است که کاربران فعلا روی فایروال مودم پورت 443 / 80 را از WAN ببندند ؛ دسترسی TR069 را غیر فعال کنند ؛ آی پی آپدیت سرور را روی مودم مسدود سازند و در نهایت آدرس pool را هم توسط route یا url filtering ببندند.
چرخش در مبین نت
مبین نت در واکنش به این موضوع در ابتدا در یک بازخورد قابل قبول، اعلام کرد کارشناسان این شرکت از مدتها قبل از وجود چنین مشکلی با خبر بودهاند و آپدیت کردن مودمها در جریان است.
اکانت رسمی شرکت مبین نت در توئیتر نوشت: اخیرا نگرانیهایی از سوی برخی مشترکین راجع به امنیت مودمهای SLC در شبکههای اجتماعی منتشر شده که بدینوسیله به اطلاع میرساند این موضوع از پیش توسط کارشناسان شناسایی و بهروزرسانی فریمویر مودمها بهصورت مرحلهای در حال انجام است و بهزودی به اتمام خواهد رسید.
پس از آن و در یک چرخش نسبی مبین نت در رشته توئیتی توضیح داد: پیرو اخبار درج شده در برخی رسانههای مجازی، مبنیبر احتمال وجود بدافزار در یکی از نسخههای نرمافزاری مودمهای SLC، نکات زیر جهت اطلاع مشترکین اعلام میشود: خبر مذکور به استناد توییت یک فرد ناشناس و بدون ارائه شواهد معتبر فنی تنظیم شده و تاکنون صحت آن به تایید مبیننت نرسیده است.
به گفته مبین نت نسخه مذکور Firmware، پیشتر در تیرماه سال 99 در فرآیند ارزیابی دورهای مبیننت، برای بخش عمده مشترکین دارای این مودم بهروزرسانی شده است؛ با این وجود و علیرغم تعداد بسیار محدود مودمهای با مدل مذکور و Firmware قدیمی (کمتر از یک درصد) تیم مدیریت رخداد مبیننت به محض اطلاع از خبر مذکور (پیش از انتشار) علیرغم تایید نشدن خبر، اقدامات کنترلی پیشگیرانه را در این خصوص انجام داده است.
{بروزرسانی1: ساعت 21:13 روز جمعه 29/12/99}
مدیرعامل مبین نت: حتی یک مورد مودم مشکوک پیدا نکردهایم
عصر روز 29 اسفندماه، حسین طهرانی، مدیرعامل شرکت مبین نت در توییتر و در پاسخ به خبرنگار آژانس خبری فناوری اطلاعات و ارتباطات توضیحات جدیدی در خصوص این موضوع ارائه کرد.
مدیرعامل مبین نت در این خصوص تصریح کرد "مبین نت هیچگاه این مشکل را تایید ضمنی و یا غیر ضمنی نکرده است".
به گفته مدیرعامل مبین نت این شرکت، "از لحظه درج توئیت مذکور، تیم فنی مبین {نت} بررسی خود را شروع کرد و
تا این لحظه علی رغم بررسی های گسترده حتی یک مورد مودم مشکوک و یا ترافیک به سمت آن مقصد در شبکه مشاهده نکردیم".
طهرانی تصریح کرد: ما مدتها قبل در بررسی های دوره ای یک آسیب پذیری در نسخه 1.0.13 مشاهده کردیم که همان زمان (تیرماه) بروزرسانی {ارسال} شد که این فرآیند، یک فرآیند روتین و دوره ای است.
به گفته مدیرعامل مبین نت، برای احتیاط به محض درج این توئیت، کارشناسان این اپراتور، مجدد بروزرسانی را کلید زده اند تا اگر مودمی در آن دوره زمانی آپدیت نشده، بروز شود.
از سوی دیگر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای سازمان فناوری اطلاعات ایران (ماهر)، بعنوان متولی بی طرف حوزه امنیت فناوری اطلاعات کشور، هنوز هم در این خصوص اعلام نظر نکرده و وب سایت این مرکز از 25 اسفندماه بروزرسانی نشده است.