آيا مودم هاي مبين نت بدون اطلاع مشتري، ارز ديجيتال استخراج مي‌كنند؟

چند روز پيش، يك كاربر ايراني توييتر كه خود را مهندس نرم‌افزار و شكارچي بدافزار معرفي كرده است، از وجود يك خط كد ماينينگ روي مودم‌هاي مدل SLC مبين‌نت خبر داد. اين توييت واكنش كاربران زيادي را در فضاي مجازي و رسانه‌ها به همراه داشت. برخي رسانه‌ها اين موضوع را با عبارت «مانينيگ پنهاني مبين نت» به گوش مخاطبان رساندند. حقيقت ماجرا چيست؟

در متن توييت اصلي اين كاربر آمده بود كه تمام مودم‌هاي SLC مبين‌نت با ورژن فرم‌ور ۱.۰.۱۳ آلوده به ماينر هستند. البته او گفته بود كه مشخص نيست مبين‌نت، خود به‌صورت اشتباهي فرم‌ور آلوده روي دستگاه‌ها ارسال كرده است يا شركت چيني فروشنده‌ي دستگاه‌هاي مودم به مبين‌نت، فايل‌ها را به‌صورت ريموت آپديت مي‌كند.

به گفته‌ي اين كاربر، بعد از لاگين به سيستم، يك اسكريپت webminer اجرا مي‌شود؛ اين خط در تصوير زير مشخص است:

جداي از آنكه اين توييت چه تفسيري مي‌تواند داشته باشد، خيلي زود رسانه‌هاي داخل و بيرون از كشور، خبري با اين عنوان درج كردند كه مبين‌نت بدون اجازه كاربر بيت‌كوين استخراج مي‌كند. اين در حالي است كه در توييت گفته شده خط كد آلوده به ماينر، صرفا و تنها پس از لاگين كردن در پنل مودم فعال مي‌شود؛ نه حتي با ورود به پنل. آن‌گونه كه مي‌دانيم، كاربران زمان زيادي در پنل مديريتي نمي‌گذرانند و تنها در صورت وجود مشكل، اقدام به لاگين در آن مي‌كنند.

چنين موضوعي نشان مي‌دهد كه مبين‌نت با هرگونه تصوري، قصد ماينينگ با استفاده از مودم‌هاي كاربرانش ندارد؛ چرا كه اساسا، حضور كوتاه كاربران در پنل مديريتي نمي‌تواند بيش از چند دقيقه كوتاه به طول بيانجامد. اين يعني ترافيكي ايجاد نمي‌شود و استخراجي نمي‌تواند رخ دهد.

مبين نت چه مي‌گويد

معاون فناوري اطلاعات در مبين‌نت، استخراج رمزارز از طريق مودم‌هاي اين شركت را تكذيب مي‌كند. محسن اخباري به زوميت مي‌گويد مودم‌هاي SLC مبين‌نت از پيش، داراي برخي باگ‌هاي نرم‌افزاري و آسيب‌پذيري امنيتي بودند و تيم فني با اطلاع از اين مشكل، فرايند به‌روزرساني را از تيرماه سال جاري آغاز كرده بود. اخباري تصريح مي‌كند:

از چند روز گذشته، ما به‌طور غير مستقيم از وجود آسيب‌پذيري روي مودم‌هاي SLC مبين‌نت اطلاع پيدا كرديم. البته اين مدل مودم‌ها، تعداد بسيار كمي از مدل مودم‌هاي مبين نت را تشكيل مي‌دهند. در نهايت، چند روز بعد فردي ناشناس در اين مورد توييتي منتشر كرد. 

اخباري مي‌گويد بررسي مبين‌نت روي مودم‌هاي SLC كه همچنان ورژن ۱.۰.۱۳ را روي فرم‌ور خود داشتند، به نتيجه‌ي ادعاشده توسط كاربر توييتر نرسيده است و مبين‌نت نيز به يقين رسيده كه انجام ماينينگ با مودم‌هاي اين شركت صحت ندارد. معاون IT مبين‌نت توضيح مي‌دهد:

ما بيش از ۴۰۰ مودم را كه هنوز از ورژن ۱.۰.۱۳ استفاده مي‌كردند، مورد بررسي قرار داديم و به هيچ مورد مشكوك يا آسيب‌پذيري نرسيديم كه نشان دهد ترافيكي به جهت ماينينگ و بدون اطلاع كاربر با سايت‌هاي خارجي اشاره شده، تبادل مي‌شود. ضمناً، اين مودم‌ها ساخت شركت كره‌اي SEOWON هستند، نه چيني.

البته حساب توييتري مبين‌نت پس از دو روز از شكل‌گيري نگراني‌ها حول اين موضوع، توييتي را منتشر كرد كه به‌نوعي، تأييد انجام شدن ماينينگ به نظر مي‌رسيد. در اين توييت مي‌خوانيم:

اخيرا نگراني‌هايي از سوي برخي مشتركين راجع به امنيت مودم‌هاي SLC در شبكه‌هاي اجتماعي منتشر شده كه بدين‌وسيله به اطلاع مي‌رساند اين موضوع از پيش توسط كارشناسان شناسايي و به‌روزرساني فرم‌ور مودم‌ها به‌صورت مرحله‌اي در حال انجام‌ است و به‌زودي به اتمام خواهد رسيد.

محسن اخباري مي‌گويد اين توييت مربوط به همان مشكلاتي بود كه در تيرماه توسط مبين‌نت شناسايي و بلافاصله مرتفع شد و ارتباطي با موضوع ماينينگ نداشت. او توضيح داد:

اين توييت در مورد مانينيگ با مودم‌هاي ما نبود و به اين جهت منتشر شد كه به مشتركين بگوييم مشكلاتي روي مودم SLC وجود داشته و مودم‌ها به‌روزرساني شده‌اند. درنتيجه، به دليل اطمينان از عدم وجود مشكل يادشده، ما بررسي‌هاي فني را روي نمونه‌هايي از اين مودم‌ها كه هنوز در شبكه داشتيم، انجام مي‌داديم؛ در نهايت به هيچ موضوع مشكوكي نرسيديم و توييت دوم را منتشر كرديم.

او همچنين در پاسخ به اينكه نگارنده توييت ناشناس، اسكريپ وب ماينر را به انتشار گذاشت، گفت:

آن تگ مربوط به يك iframe روي پنل يا كنسول مديريتي مودم‌ها است كه ما چنين چيزي را در پنل مشاهده نكرديم.

به گفته‌ي اخباري، بررسي همين ۴۰۰ مودم براي اينكه اطمينان حاصل شود كه ماينينگ با آن‌ها انجام نمي‌شود، كفايت مي‌كند. او پس از اين به زوميت گفت تمام مودم‌ها به‌روزشده و هر مودمي كه خاموش باشد نيز به‌ محض روشن شدن، آپديت مي‌شود.

به گفته‌ي او، به‌روزرساني مودم‌هاي SLC از تيرماه امسال آغاز شد كه به‌ محض اطلاع اوليه از احتمال وجود مشكل، فرايند به‌روزرساني مجدداً در شبكه اجرا شد تا براي مودم‌هاي باقي‌مانده نيز به‌روزرساني صورت پذيرد و اگر مودم خاموشي طي اين مدت به شبكه متصل شد، به‌صورت خودكار به‌روزرساني شود. محسن اخباري اضافه مي‌كند: «نمونه مودم‌هاي ديگر مبين‌نت هم همواره بررسي مي‌شوند و اگر مدلي نياز داشت، با اطلاع‌رساني كاربر، به‌روزرساني براي آن انجام مي‌شود.»

اخباري توضيح مي‌دهد كه در شبكه مبين نت مدل‌هاي مختلفي از مودم‌ها وجود دارد كه مدل SLC كم‌استفاده‌ترين نمونه‌ي آن‌ها است. او مي‌گويد اين مودم‌ها براي مبين‌نت و مشتركان شخصي‌سازي مي‌شوند و به همين دليل، به‌روزرساني آن‌ها تنها از طريق مبين‌نت صورت مي‌پذيرد. معاون IT مبين نت در ادامه اضافه مي‌كند:

تمام فرايند به‌روزرساني به ‌منظور رفع باگ يا اضافه كردن قابليت‌هاي جديد، به‌صورت مرتب و دوره‌اي، از طريق كنسول مديريتي جامع و متمركز مودم‌ها انجام مي‌شود. به‌روزرساني مودم SLC هم به همين طريق صورت مي‌گيرد.

در نهايت همان كاربري كه توييت اول را منتشر كرده بود، با مشاهده هجمه رسانه‌اي زيادي كه عليه مبين‌نت شكل گرفت، توييت ابتدايي را حذف كرد. او دراين‌باره نوشت: «كلا ماجرا به چيز ديگري تبديل شد. چيزي كه من منتشر كردم يك خط كد ساده بود (كه عملا بي‌استفاده است) و چيزي كه رسانه‌ها بازتاب دادند، استخراج بيت‌كوين توسط مبين‌نت بوده. توييت اصلي را پاك مي‌كنم تا سوءاستفاده و تخريب‌هاي الكي پيش نيايد.»

او همچنين گفته است نگراني اصلي‌اش، به‌روزرساني نشدن مودم‌ها و دسترسي باز برخي از آن‌ها بوده؛ چرا كه اين امر مي‌تواند موقعيتي براي سوءاستفاده ايجاد كند كه هم به مرد، هم شركت مبين‌نت و هم سرويس‌هاي حساس داخلي ضربه مي‌زند كه دست‌ كم از خارج از ايران دسترسي ندارند. او در نهايت اضافه كرد كه ۹۰ درصد مودم‌ها و روترها آسيب‌پذيري دارند و در خصوص مودم‌هاي وارداتي بايد حساسيت بيشتري نيز نشان داد.

محسن اخباري در واكنش به توضيحات اين كاربر مي‌گويد ممكن است چنين مسائلي در نمونه خاصي ديده شود يا دست‌كاري در موردي رخ بدهد و لينكي در آن رابطه منتشر شود. او اضافه مي‌كند:

واقعيت اين است كه چنين مسائلي، طي فعاليت رسمي هكرهاي كلاه‌سفيد به شركت پيش مي‌رود و پاداشي هم به اين اشخاص داده مي‌شود. ما از كمك چنين افرادي استقبال مي‌كنيم.

كاربر توييتر همچنين گفته سال‌هاي پيش هم در خصوص همين موضوع اطلاع‌رساني كرده؛ اما به گفته‌هاي او توجه نشده است. اخباري مي‌گويد اگر موردي قبلاً در خصوص مبين‌نت گزارش شده است، قطعا همكاران بررسي و آن را رفع كرده‌اند. او در مورد مسئله پيش‌آمده در رابطه با ماينينگ از طريق مودم‌ها توضيح مي‌دهد:

هر فرم‌ور جديدي كه از تأمين‌كننده مودم‌ها دريافت شود، مورد بررسي تيم فني قرار مي‌گيرد و اگر مشكل وجود داشته باشد، به آن‌ها بازگردانده مي‌شود و نسخه جديد را مي‌گيريم. سپس دوباره آن را تست مي‌كنيم و به‌روزرساني انجام مي‌دهيم. اين روند معمول ما است. اينكه شبكه WAN را ببنديم و چه و چه كنيم، نكات پيش‌فرض است كه طبيعي است ازنظر فني بايد همين‌گونه باشد؛ درواقع راهكارهاي ارائه‌شده‌ي اين كاربر، نكات بسيار في‌البداهه بودند. چنين مشكلاتي در اين حد ساده، با وجود بدنه فني و تخصص گروه بزرگ مبين‌نت، براي ما اتفاق نمي‌افتد.

اخباري اضافه مي‌كند كه بااين‌حال، در دنياي امنيت با وجود ايمن‌سازي سيستم‌ها، هكرها هر روز حفره‌ها و آسيب‌پذيري‌هاي جديدي پيدا مي‌كنند و هيچ زماني نمي‌توان به‌طور ۱۰۰ درصد اطمينان داشت كه روي سيستم هيچ مشكل امنيتي پيش نيايد. او مي‌گويد:

امنيت مسئله‌اي نسبي است. تنها مي‌توان حد امنيت را بهتر كرد يا واكنش به رخداد را سريع‌تر و مشكل را حل كرد.

طبق اعلام منبعي آگاه به زوميت، مركز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه‌اي سازمان فناوري اطلاعات ايران (ماهر) چند ماه پيش در اين خصوص به شركت مبين‌نت تذكر كتبي داده بود.

منبع: 

https://www.zoomit.ir/tech-iran/369155-mobinnet-cryptocurrency-mining-modem/