ابر آروان حمله ‏DDoS‏ از طریق ‏MTProxy‏های ‏تلگرام ‏را اثبات کرد

فیلترینگ تلگرام اگرچه در نگاه اولیه و سطحی، تصمیم ناگهانی یک بازپرس بود اما اکنون و پس از گذشت یک سال و نیم از این اتفاق، خطرات اصلی چنین تصمیمی در حال نمایان شدن هستند. ابر آروان به تازگی گزارشی مهم منتشر کرده که اثبات می‌کند حملات گسترده‌ای از طریق ‏DDoS‏ با سو استفاده از ‏MTProxy‏های ‏تلگرام انجام می‌شود.

فیلترینگ تلگرام و ادامه استفاده از این پیام‌رسان

تجربه نشان داده که پیام‌رسان‌های مختلف پس از محبوب‌شدن در ایران فیلتر می‌شدند و کاربران ایرانی هم به سراغ گزینه بعدی می‌رفتند اما دست‌کم تاکنون شواهد امر نشان می‌دهد که این تجربه برای تلگرام تکرار نشده است.

آخرین گزارش مرکز ایسپا در رابطه با شبکه‌های اجتماعی در ایران، که مربوط به تیرماه ۹۸ است، حکایت از آن دارد که ۴۲ درصد مردم از تلگرام استفاده می‌کنند. از سوی دیگر «ابوالحسن فیروزآبادی» رییس مرکز ملی فضای مجازی نیز به تازگی اعلام کرده که ۸۰ درصد مردم از پیام‌رسان‌های خارجی استفاده می‌کنند.

اما پرسش مهم اینجاست که کاربران تلگرام در ایران به چه شکل از این شبکه‌ی مسدود شده استفاده می‌کنند. پاسخ در بیشتر موارد، فیلترشکن‌های ناشناخته و MTProxyهای رایگان است. حال نکته مهم اینجاست که صاحبان فیلترشکن‌ها و MTProxyها می‌توانند کاربران را به شکلی ناخواسته تبدیل به ابزاری (بات نت) برای حمله هدفمند DDoS کنند.

ابر آروان: تهدید جدی است

ابر آروان در گزارشی که منتشر کرده روند حملات، جزییات و نحوه کشف منشا حمله را توضیح داده است. حمله به ابر آروان از ۱۴ آبان آغاز و در ۱۹ آبان به پایان رسیده است.  «حسین قاسمی»، معمار امنیت ابر آروان در گفتگو با دیجیاتو تاکید می‌کند که حمله اخیر به ابر آروان و سایر کسب‌وکارها از طریق MTProxyهای رایگان تلگرام کاملاً هدفمند انجام می‌شود.

قاسمی در رابطه با میزان جدی بودن این تهدید می‌گوید: «تعداد ریکوئستی که در این حمله به ما ارسال شد، قابل توجه و بالاست. در ثانیه ۱۰۰ هزار ریکوئست برای ما ارسال می‌شد که می‌تواند بسیاری از سایت‌های کشور را مختل کند.»

او توضیح می‌دهد که در این نوع از حمله DDoS، کاربران زامبی نمی‌شوند و در واقع سیستم کاربران آلوده نمی‌شود. تفاوتی که این نوع از DDoS با نمونه‌های معمول و معروفش دارد نیز همین است. او در همین رابطه توضیح می‌دهد:

«کاربر برای استفاده از تلگرام، از پروکسی‌های رایگان که در کانال‌های مختلف وجود دارد، استفاده می‌کند. این پروکسی ممکن است در ابتدا کار کند، اما ممکن است ۱۰ روز بعد، دامین به جای اینکه به IP سرویس MTProxy متصل شود، توسط سازنده‌ی پروکسی و به شکل هدفمند به IP یک کسب‌وکار که قرار است به آن حمله شود، تغییر کند. این درخواستی که برای چک کردن پروکسی از سمت تمامی کاربرها ارسال می‌شود، به جای اینکه به سرور MTProxy برود، به سرور هدف ارسال می‌شود که در این نمونه، ابر آروان بوده است. در این حالت، دستگاه کاربر آلوده نشده و کاربر هم مورد حمله قرار نگرفته، بلکه سوءاستفاده‌ای از نوع ارتباط شکل گرفته است.»

او در پاسخ به این سوال که سایت‌های اینترنتی، مخصوصاً سامانه‌های حیاتی چقدر در برابر حملات  DDoS مقاوم هستند، می‌گوید:  «زیرساخت‌های حیاتی کشور و کسب‌وکارهای ایرانی عموماً نسبت به این نوع حملات مقاوم نیستند. عده‌ای از آن‌ها از زیرساخت‌های ابری استفاده می‌کنند اما تعداد آن‌ها آنقدر زیاد نیست. واقعیت این است که کشور ما نسبت به این حمله کاملاً آسیب‌پذیر است.»

اما با توجه به هدفمند بودن حمله و اثبات منشا آن از داخل ایران، آیا ابر آروان از نظر قضایی اقدامی کرده است؟ معمار امنیت ابر آروان در پاسخ به این سوال به دیجیاتو می‌گوید: «به این دلیل که تلگرام در کشور غیرقانونی است، ما مکانیزمی برای پیگیری قضایی نداریم. با این حال سعی کرده‌ایم با دستگاه‌های بالادستی در ارتباط باشیم تا راه‌چاره‌ای برای این موضوع پیدا کنیم.»

در جستجوی راه‌کار

علاقه کاربران به تلگرام و از طرفی ادامه‌ی فیلترینگ، باعث فراگیر شدن فیلترشکن‌های بی‌هویت و MTProxyهای رایگانی شد که اکنون چنین خطراتی را برای کاربران و کسب‌وکارها ایجاد کرده‌اند.

در حال حاضر از یک سو کسب‌وکارها به شکل هدفمند مورد حمله قرار می‌گیرند و از طرف دیگر از ترافیک کاربران در حملات استفاده می‌شود، بدون اینکه خودشان از این موضوع اطلاع داشته باشند.

در حال حاضر راه‌کاری برای این چالش وجود ندارد مگر اینکه کاربران استفاده از فیلترشکن‌های بی‌هویت یا در این مورد، MTProxy‏های ‏تلگرام ‏را متوقف کنند. شاید هم راه‌کاری که حاکمیت به آن فکر می‌کند، عرضه VPN قانونی باشد که هنوز جزییات مشخصی از این طرح در دسترس نیست.