چند روز پيش، يك كاربر ايراني توييتر كه خود را مهندس نرمافزار و شكارچي بدافزار معرفي كرده است، از وجود يك خط كد ماينينگ روي مودمهاي مدل SLC مبيننت خبر داد. اين توييت واكنش كاربران زيادي را در فضاي مجازي و رسانهها به همراه داشت. برخي رسانهها اين موضوع را با عبارت «مانينيگ پنهاني مبين نت» به گوش مخاطبان رساندند. حقيقت ماجرا چيست؟
در متن توييت اصلي اين كاربر آمده بود كه تمام مودمهاي SLC مبيننت با ورژن فرمور ۱.۰.۱۳ آلوده به ماينر هستند. البته او گفته بود كه مشخص نيست مبيننت، خود بهصورت اشتباهي فرمور آلوده روي دستگاهها ارسال كرده است يا شركت چيني فروشندهي دستگاههاي مودم به مبيننت، فايلها را بهصورت ريموت آپديت ميكند.
به گفتهي اين كاربر، بعد از لاگين به سيستم، يك اسكريپت webminer اجرا ميشود؛ اين خط در تصوير زير مشخص است:
جداي از آنكه اين توييت چه تفسيري ميتواند داشته باشد، خيلي زود رسانههاي داخل و بيرون از كشور، خبري با اين عنوان درج كردند كه مبيننت بدون اجازه كاربر بيتكوين استخراج ميكند. اين در حالي است كه در توييت گفته شده خط كد آلوده به ماينر، صرفا و تنها پس از لاگين كردن در پنل مودم فعال ميشود؛ نه حتي با ورود به پنل. آنگونه كه ميدانيم، كاربران زمان زيادي در پنل مديريتي نميگذرانند و تنها در صورت وجود مشكل، اقدام به لاگين در آن ميكنند.
چنين موضوعي نشان ميدهد كه مبيننت با هرگونه تصوري، قصد ماينينگ با استفاده از مودمهاي كاربرانش ندارد؛ چرا كه اساسا، حضور كوتاه كاربران در پنل مديريتي نميتواند بيش از چند دقيقه كوتاه به طول بيانجامد. اين يعني ترافيكي ايجاد نميشود و استخراجي نميتواند رخ دهد.
مبين نت چه ميگويد
معاون فناوري اطلاعات در مبيننت، استخراج رمزارز از طريق مودمهاي اين شركت را تكذيب ميكند. محسن اخباري به زوميت ميگويد مودمهاي SLC مبيننت از پيش، داراي برخي باگهاي نرمافزاري و آسيبپذيري امنيتي بودند و تيم فني با اطلاع از اين مشكل، فرايند بهروزرساني را از تيرماه سال جاري آغاز كرده بود. اخباري تصريح ميكند:
از چند روز گذشته، ما بهطور غير مستقيم از وجود آسيبپذيري روي مودمهاي SLC مبيننت اطلاع پيدا كرديم. البته اين مدل مودمها، تعداد بسيار كمي از مدل مودمهاي مبين نت را تشكيل ميدهند. در نهايت، چند روز بعد فردي ناشناس در اين مورد توييتي منتشر كرد.
اخباري ميگويد بررسي مبيننت روي مودمهاي SLC كه همچنان ورژن ۱.۰.۱۳ را روي فرمور خود داشتند، به نتيجهي ادعاشده توسط كاربر توييتر نرسيده است و مبيننت نيز به يقين رسيده كه انجام ماينينگ با مودمهاي اين شركت صحت ندارد. معاون IT مبيننت توضيح ميدهد:
ما بيش از ۴۰۰ مودم را كه هنوز از ورژن ۱.۰.۱۳ استفاده ميكردند، مورد بررسي قرار داديم و به هيچ مورد مشكوك يا آسيبپذيري نرسيديم كه نشان دهد ترافيكي به جهت ماينينگ و بدون اطلاع كاربر با سايتهاي خارجي اشاره شده، تبادل ميشود. ضمناً، اين مودمها ساخت شركت كرهاي SEOWON هستند، نه چيني.
البته حساب توييتري مبيننت پس از دو روز از شكلگيري نگرانيها حول اين موضوع، توييتي را منتشر كرد كه بهنوعي، تأييد انجام شدن ماينينگ به نظر ميرسيد. در اين توييت ميخوانيم:
اخيرا نگرانيهايي از سوي برخي مشتركين راجع به امنيت مودمهاي SLC در شبكههاي اجتماعي منتشر شده كه بدينوسيله به اطلاع ميرساند اين موضوع از پيش توسط كارشناسان شناسايي و بهروزرساني فرمور مودمها بهصورت مرحلهاي در حال انجام است و بهزودي به اتمام خواهد رسيد.
محسن اخباري ميگويد اين توييت مربوط به همان مشكلاتي بود كه در تيرماه توسط مبيننت شناسايي و بلافاصله مرتفع شد و ارتباطي با موضوع ماينينگ نداشت. او توضيح داد:
اين توييت در مورد مانينيگ با مودمهاي ما نبود و به اين جهت منتشر شد كه به مشتركين بگوييم مشكلاتي روي مودم SLC وجود داشته و مودمها بهروزرساني شدهاند. درنتيجه، به دليل اطمينان از عدم وجود مشكل يادشده، ما بررسيهاي فني را روي نمونههايي از اين مودمها كه هنوز در شبكه داشتيم، انجام ميداديم؛ در نهايت به هيچ موضوع مشكوكي نرسيديم و توييت دوم را منتشر كرديم.
او همچنين در پاسخ به اينكه نگارنده توييت ناشناس، اسكريپ وب ماينر را به انتشار گذاشت، گفت:
آن تگ مربوط به يك iframe روي پنل يا كنسول مديريتي مودمها است كه ما چنين چيزي را در پنل مشاهده نكرديم.
به گفتهي اخباري، بررسي همين ۴۰۰ مودم براي اينكه اطمينان حاصل شود كه ماينينگ با آنها انجام نميشود، كفايت ميكند. او پس از اين به زوميت گفت تمام مودمها بهروزشده و هر مودمي كه خاموش باشد نيز به محض روشن شدن، آپديت ميشود.
به گفتهي او، بهروزرساني مودمهاي SLC از تيرماه امسال آغاز شد كه به محض اطلاع اوليه از احتمال وجود مشكل، فرايند بهروزرساني مجدداً در شبكه اجرا شد تا براي مودمهاي باقيمانده نيز بهروزرساني صورت پذيرد و اگر مودم خاموشي طي اين مدت به شبكه متصل شد، بهصورت خودكار بهروزرساني شود. محسن اخباري اضافه ميكند: «نمونه مودمهاي ديگر مبيننت هم همواره بررسي ميشوند و اگر مدلي نياز داشت، با اطلاعرساني كاربر، بهروزرساني براي آن انجام ميشود.»
اخباري توضيح ميدهد كه در شبكه مبين نت مدلهاي مختلفي از مودمها وجود دارد كه مدل SLC كماستفادهترين نمونهي آنها است. او ميگويد اين مودمها براي مبيننت و مشتركان شخصيسازي ميشوند و به همين دليل، بهروزرساني آنها تنها از طريق مبيننت صورت ميپذيرد. معاون IT مبين نت در ادامه اضافه ميكند:
تمام فرايند بهروزرساني به منظور رفع باگ يا اضافه كردن قابليتهاي جديد، بهصورت مرتب و دورهاي، از طريق كنسول مديريتي جامع و متمركز مودمها انجام ميشود. بهروزرساني مودم SLC هم به همين طريق صورت ميگيرد.
در نهايت همان كاربري كه توييت اول را منتشر كرده بود، با مشاهده هجمه رسانهاي زيادي كه عليه مبيننت شكل گرفت، توييت ابتدايي را حذف كرد. او دراينباره نوشت: «كلا ماجرا به چيز ديگري تبديل شد. چيزي كه من منتشر كردم يك خط كد ساده بود (كه عملا بياستفاده است) و چيزي كه رسانهها بازتاب دادند، استخراج بيتكوين توسط مبيننت بوده. توييت اصلي را پاك ميكنم تا سوءاستفاده و تخريبهاي الكي پيش نيايد.»
او همچنين گفته است نگراني اصلياش، بهروزرساني نشدن مودمها و دسترسي باز برخي از آنها بوده؛ چرا كه اين امر ميتواند موقعيتي براي سوءاستفاده ايجاد كند كه هم به مرد، هم شركت مبيننت و هم سرويسهاي حساس داخلي ضربه ميزند كه دست كم از خارج از ايران دسترسي ندارند. او در نهايت اضافه كرد كه ۹۰ درصد مودمها و روترها آسيبپذيري دارند و در خصوص مودمهاي وارداتي بايد حساسيت بيشتري نيز نشان داد.
محسن اخباري در واكنش به توضيحات اين كاربر ميگويد ممكن است چنين مسائلي در نمونه خاصي ديده شود يا دستكاري در موردي رخ بدهد و لينكي در آن رابطه منتشر شود. او اضافه ميكند:
واقعيت اين است كه چنين مسائلي، طي فعاليت رسمي هكرهاي كلاهسفيد به شركت پيش ميرود و پاداشي هم به اين اشخاص داده ميشود. ما از كمك چنين افرادي استقبال ميكنيم.
كاربر توييتر همچنين گفته سالهاي پيش هم در خصوص همين موضوع اطلاعرساني كرده؛ اما به گفتههاي او توجه نشده است. اخباري ميگويد اگر موردي قبلاً در خصوص مبيننت گزارش شده است، قطعا همكاران بررسي و آن را رفع كردهاند. او در مورد مسئله پيشآمده در رابطه با ماينينگ از طريق مودمها توضيح ميدهد:
هر فرمور جديدي كه از تأمينكننده مودمها دريافت شود، مورد بررسي تيم فني قرار ميگيرد و اگر مشكل وجود داشته باشد، به آنها بازگردانده ميشود و نسخه جديد را ميگيريم. سپس دوباره آن را تست ميكنيم و بهروزرساني انجام ميدهيم. اين روند معمول ما است. اينكه شبكه WAN را ببنديم و چه و چه كنيم، نكات پيشفرض است كه طبيعي است ازنظر فني بايد همينگونه باشد؛ درواقع راهكارهاي ارائهشدهي اين كاربر، نكات بسيار فيالبداهه بودند. چنين مشكلاتي در اين حد ساده، با وجود بدنه فني و تخصص گروه بزرگ مبيننت، براي ما اتفاق نميافتد.
اخباري اضافه ميكند كه بااينحال، در دنياي امنيت با وجود ايمنسازي سيستمها، هكرها هر روز حفرهها و آسيبپذيريهاي جديدي پيدا ميكنند و هيچ زماني نميتوان بهطور ۱۰۰ درصد اطمينان داشت كه روي سيستم هيچ مشكل امنيتي پيش نيايد. او ميگويد:
امنيت مسئلهاي نسبي است. تنها ميتوان حد امنيت را بهتر كرد يا واكنش به رخداد را سريعتر و مشكل را حل كرد.
طبق اعلام منبعي آگاه به زوميت، مركز مديريت امداد و هماهنگي عمليات رخدادهاي رايانهاي سازمان فناوري اطلاعات ايران (ماهر) چند ماه پيش در اين خصوص به شركت مبيننت تذكر كتبي داده بود.
منبع:
https://www.zoomit.ir/tech-iran/369155-mobinnet-cryptocurrency-mining-modem/