هکرها چگونه روترهای خانگی را هدف قرار ‌می دهند؟

چرا مهاجمان پیشرفته به دستگاه‌ های وای فای خانگی علاقه دارند و چگونه کنترل آن ها را در دست می گیرند.

شرکت ایده ارتباط تراشه (نماینده رسمی محصولات کسپرسکی در ایران): افشای اخیر نفوذ به هزاران روتر خانگی ایسوس (ASUS) نشان می دهد که نقطه‌ دسترسی وای فای خانگی شما تنها برای شما (و شاید همسایگانتان) مفید نیست - بلکه مورد توجه مجرمان سایبری و حتی هکرهای تحت حمایت دولت ها نیز قرار دارد که حملات جاسوسی هدفمند انجام می دهند. این حمله‌ جدید که احتمالا به گروه بدنام APT31 نسبت داده می شود، همچنان در حال اجراست. آنچه این تهدید را به‌ طور ویژه خطرناک می کند، ماهیت مخفیانه و روش غیرمتعارف آن برای نفوذ و ماندگاری است. به همین دلیل، درک اینکه چرا مهاجمان به روترها علاقه دارند و چگونه می توان در برابر ترفندهای آن‌ ها از خود محافظت کرد، اهمیت حیاتی دارد.

• پراکسی خانگی: وقتی هکرها شرکت ‌های بزرگ یا نهادهای دولتی را هدف قرار می دهند، این حملات اغلب از طریق آدرس ‌های IP غیرعادی که تلاش می کنند به شبکه‌ های امن دسترسی پیدا کنند شناسایی می شوند. اگر شرکتی در یک کشور فعالیت می کند اما ناگهان یکی از کارکنان از کشوری دیگر وارد شبکه سازمانی شود، این موضوع بسیار مشکوک خواهد بود. ورود از طریق آدرس ‌های IP متعلق به سرورهای شناخته ‌شده VPN نیز به همان اندازه مظنون تلقی می ‌شود. مجرمان سایبری برای پنهان کردن فعالیت ‌های خود، از روترهای آلوده ‌ای استفاده می‌ کنند که در همان کشور - و گاهی حتی در همان شهر - نزدیک به هدف قرار دارند. آن‌ ها تمام درخواست ‌های خود را از طریق روتر خانگی شما عبور می دهند، و روتر نیز داده ‌ها را به کامپیوتر هدف منتقل می کند. برای سیستم ‌های نظارتی، این ارتباط درست مانند دسترسی عادی یک کارمند از خانه به منابع کاری به‌ نظر می ‌رسد - بدون هیچ نشانه ‌ای که توجه کسی را جلب کند.
• سرور فرمان و کنترل: مهاجمان می ‌توانند بدافزار را روی دستگاه آلوده میزبانی کنند تا کامپیوتر‌های هدف، آن را دانلود کنند. یا بالعکس، می توانند داده‌ ها را مستقیما از شبکه استخراج کرده و به روتر شما منتقل کنند.
• تله برای رقبا: روتر می‌ تواند به‌ عنوان طعمه (Honeypot) مورد استفاده قرار گیرد تا روش ‌ها و تکنیک ‌های مورد استفاده توسط سایر گروه ‌های هکری مورد بررسی و تحلیل قرار گیرد.
• دستگاه استخراج رمزارز: هر دستگاه محاسباتی می تواند برای استخراج رمزارز استفاده شود. استفاده از روتر برای این منظور چندان کارآمد نیست، اما وقتی مجرم سایبری هزینه ‌ای بابت برق یا تجهیزات نمی‌ پردازد، همین میزان بهره ‌وری هم برای او سودآور خواهد بود.
• ابزار دستکاری ترافیک: یک روتر آلوده می‌ تواند محتوای ارتباطات اینترنتی را رهگیری و دستکاری کند. این قابلیت به مهاجمان امکان می‌ دهد هر دستگاهی را که به شبکه خانگی متصل است هدف قرار دهند. کاربردهای این روش گسترده است؛ از سرقت رمزهای عبور گرفته تا تزریق تبلیغات به صفحات وب.
• ربات حملات DDoS: هر دستگاه خانگی - از جمله روترها، مانیتورهای کودک، بلندگوهای هوشمند و حتی کتری‌ های هوشمند - می ‌تواند به یک بات‌ نت متصل شود و در حمله ‌ای هماهنگ برای از کار انداختن سرویس‌ های آنلاین شرکت کند؛ به‌ طوری ‌که میلیون ‌ها درخواست هم‌ زمان از این دستگاه‌ ها به سمت هدف ارسال شود.

این روش ‌ها برای گروه‌ های مختلفی از مهاجمان سایبری جذاب هستند. استخراج رمزارز، تزریق تبلیغات و حملات DDoS معمولا مورد توجه هکرهایی است که به ‌دنبال سود مالی هستند، اما حملات هدفمندی که از طریق آدرس IP خانگی انجام می ‌شوند، اغلب کار گروه ‌های باج ‌افزار یا تیم ‌هایی است که درگیر جاسوسی واقعی هستند. این موضوع شبیه داستان ‌های جاسوسی به نظر می ‌رسد، اما آن ‌قدر گسترده است که "آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA)" و FBI تاکنون چندین بار درباره آن هشدار داده‌ اند. همان‌ طور که از جاسوس ‌ها انتظار می ‌رود، آن ‌ها با نهایت پنهان ‌کاری عمل می ‌کنند؛ بنابراین صاحبان روترها به‌ ندرت متوجه می ‌شوند که دستگاهشان در حال انجام کاری فراتر از وظایف عادی خود است.

دو روش رایج برای هک کردن یک روتر عبارتند از: حدس‌ زدن یا شکستن رمز عبور رابط مدیریتی (Brute-Force)، سوء استفاده از آسیب‌ پذیری ‌های نرم ‌افزاری در سیستم ‌عامل داخلی روتر (Firmware).

در سناریوی اول، مهاجمان از این موضوع سوء استفاده می ‌کنند که بسیاری از کاربران روتر را با تنظیمات کارخانه و رمز عبور پیش ‌فرض مانند admin رها می ‌کنند، یا رمز عبوری بسیار ساده و قابل ‌حدس مانند 123456 برای آن انتخاب کرده ‌اند. پس از شکستن رمز، هکرها می ‌توانند درست مانند صاحب روتر وارد پنل مدیریتی آن شوند.

در سناریوی دوم، مهاجمان از راه دور روتر را بررسی می ‌کنند تا سازنده و مدل دقیق آن را شناسایی کنند. سپس آسیب ‌پذیری ‌های شناخته ‌شده مربوط به آن مدل را یکی ‌یکی امتحان می ‌کنند تا کنترل دستگاه را به ‌دست بگیرند.

معمولا پس از یک هک موفقیت ‌آمیز، مهاجمان بدافزار مخفی را روی روتر نصب می ‌کنند تا عملکردهای مورد نظر خود را انجام دهند. ممکن است شما متوجه بروز مشکل شوید؛ مثلا سرعت اینترنت کاهش پیدا کند، پردازنده روتر به‌ شدت درگیر شود، یا حتی خود روتر بیش از حد داغ کند. در این موارد، بازنشانی به تنظیمات کارخانه یا به‌ روز رسانی firmware معمولا تهدید را از بین می ‌برد. با این حال، حملات اخیر به روترهای ASUS داستان متفاوتی بود.

ویژگی اصلی این حمله آن است که با یک به‌ روز رسانی ساده‌ firmware نمی ‌توان آن را برطرف کرد. مهاجمان یک "در پشتی" (Backdoor) مخفی با دسترسی مدیریتی ایجاد می‌ کنند که حتی پس از راه ‌اندازی مجدد یا به ‌روز رسانی firmware نیز باقی می ‌ماند.

برای شروع حمله، مهاجم از هر دو روشی که پیش ‌تر توضیح داده شد استفاده می‌ کند. اگر تلاش برای حدس ‌زدن رمز عبور مدیریتی بی ‌نتیجه باشد، هکرها از دو آسیب ‌پذیری استفاده می ‌کنند تا به‌ طور کامل فرآیند احراز هویت را دور بزنند.

از این مرحله به بعد، حمله پیچیده ‌تر می ‌شود. مهاجمان با بهره‌ گیری از آسیب ‌پذیری دیگری، قابلیت مدیریت از راه دور روتر از طریق SSH را فعال می ‌کنند. سپس کلید رمزنگاری مخصوص خود را به تنظیمات دستگاه اضافه می ‌کنند تا بتوانند در هر زمان به روتر وصل شوند و کنترل آن را در دست بگیرند.

از آن‌ جایی که کاربران خانگی به‌ ندرت از طریق SSH روتر خود را مدیریت می‌ کنند یا حتی به‌ ندرت نگاهی به بخش کلیدهای مدیریتی می‌ اندازند، این روش می‌ تواند برای سال ‌ها شناسایی نشود.

هر سه آسیب‌ پذیری مورد استفاده در این حمله توسط شرکت سازنده برطرف شده ‌اند. اما اگر روتر شما پیش از اعمال به‌ روز رسانی ‌ها آلوده شده باشد، به‌ روز رسانی firmware برای حذف "در پشتی" کافی نیست. برای بررسی، باید وارد تنظیمات روتر شوید و ببینید آیا سرور SSH فعال است یا خیر (معمولا در حال گوش‌ دادن روی پورت 53282). اگر فعال بود، سرویس SSH را غیرفعال کنید و کلید مدیریتی SSH را حذف کنید؛ این کلید با رشته‌ AAAAB3NzaC1yc2EA آغاز می ‌شود.

اگر مطمئن نیستید چطور این مراحل را انجام دهید، یک راه حل اساسی ‌تر وجود دارد: تنظیم مجدد کامل به تنظیمات کارخانه (Factory Reset).

پژوهشگرانی که حمله به روترهای ASUS را کشف کرده ‌اند معتقدند این حمله بخشی از یک کمپین گسترده‌ تر است که حدود 60 نوع از دستگاه ‌های خانگی و اداری را هدف قرار داده است - از جمله سیستم‌ های نظارت تصویری، ذخیره‌ سازهای تحت شبکه (NAS) و سرورهای VPN سازمانی.

برخی از دستگاه ‌های آسیب ‌پذیر شامل موارد زیر هستند:
D-Link DIR-850L S ،Cisco RV042 ،Araknis Networks AN-300-RT-4L2W ،Linksys LRT224 و برخی مدل‌ های QNAP.

اگرچه نحوه اجرای حملات بر روی این دستگاه‌ ها ممکن است تفاوت‌ هایی داشته باشد، اما همگی دارای ویژگی‌ های مشترکی هستند: سوء استفاده از آسیب‌ پذیری‌ های شناخته ‌شده، استفاده از قابلیت‌ های داخلی دستگاه برای به ‌دست آوردن کنترل کامل و حفظ پنهان‌ کاری.

بر اساس ارزیابی پژوهشگران، دستگاه ‌های آلوده برای تغییر مسیر ترافیک (Rerouting Traffic) و نظارت بر روش‌ های حمله گروه‌ های رقیب مورد استفاده قرار می گیرند. این حملات به یک گروه هکری با منابع گسترده و توان فنی بالا نسبت داده شده ‌اند، اما روش ‌های مشابه اکنون توسط بسیاری از گروه‌ های حمله هدفمند در سراسر جهان مورد استفاده قرار می‌ گیرند - و به همین دلیل است که روترهای خانگی در هر کشور نسبتا بزرگی، اکنون به هدفی جذاب برای این مهاجمان تبدیل شده ‌اند.

حمله به روترهای خانگی ASUS نشانه ‌های کلاسیک یک نفوذ هدفمند را دارد: پنهان‌ کاری، آلوده ‌سازی بدون استفاده از بدافزار و ایجاد مسیرهای دسترسی پایدار که حتی پس از اصلاح آسیب ‌پذیری ‌ها و به ‌روز رسانی firmware همچنان فعال باقی می ‌مانند. پس سوال این است: کاربران خانگی چگونه می ‌توانند در برابر چنین مهاجمانی از خود محافظت کنند؟ در ادامه چند راهکار کاربردی ارائه می‌ شود.

• انتخاب روتر اهمیت دارد. از روترهای استاندارد و معمولی که توسط ارائه ‌دهنده اینترنت در اختیار شما قرار می ‌گیرد صرف ‌نظر کنید، و صرفا به دنبال ارزان ‌ترین گزینه موجود در بازار نباشید. مدل‌ های مختلف را در فروشگاه‌ های معتبر بررسی کنید و سعی کنید مدلی را انتخاب کنید که طی یک تا دو سال اخیر عرضه شده باشد؛ تا مطمئن باشید که برای مدتی قابل ‌قبول، به ‌روز رسانی‌ های امنیتی دریافت خواهد کرد. سازنده ‌ای را انتخاب کنید که به‌ طور جدی به امنیت سایبری توجه داشته باشد. البته این انتخاب ساده نیست، چون هیچ گزینه کاملا بی ‌نقصی وجود ندارد. به‌ طور کلی، تعداد به ‌روزرسانی‌ های منتشر شده و مدت ‌زمان پشتیبانی اعلام ‌شده توسط سازنده می‌ تواند معیار مناسبی باشد. برای پیگیری جدیدترین اخبار امنیتی مربوط به روترها می‌ توانید از سایت ‌هایی مانند Router Security استفاده کنید. البته انتظار داستان ‌های خوشایند نداشته باشید - این منابع بیشتر به شناسایی نقاط ضعف و آسیب‌ پذیری ‌ها می‌ پردازند.
• firmware دستگاه را مرتب به ‌روز رسانی کنید. اگر روتر شما قابلیت به ‌روز رسانی خودکار را دارد، حتما آن را فعال کنید تا نیازی به پیگیری دستی یا نگرانی بابت عقب ‌افتادن از نسخه ‌های جدید نداشته باشید. با این حال، توصیه می ‌شود چند بار در سال وضعیت روتر، تنظیمات و نسخه firmware را به ‌صورت دستی بررسی کنید. اگر متوجه شدید که طی 12 تا 18 ماه گذشته هیچ به ‌روز رسانی firmware دریافت نکرده ‌اید، ممکن است زمان آن رسیده باشد که روتر خود را با یک مدل جدیدتر و امن ‌تر جایگزین کنید.
• همه سرویس ‌های غیرضروری را غیرفعال کنید. وارد تنظیمات روتر شوید و تمامی قابلیت ‌ها، خدمات و گزینه ‌هایی را که از آن‌ ها استفاده نمی ‌کنید، خاموش کنید. هر ویژگی فعال، یک نقطه ورود بالقوه برای مهاجمان است.
• دسترسی مدیریتی از طریق اینترنت را غیرفعال کنید. در بخش مدیریت روتر، حتما دسترسی از راه دور (Remote Management) را از طریق اینترنت (WAN) غیرفعال کنید. این مورد شامل پروتکل ‌هایی مانند SSH ،HTTPS ،Telnet و هر روش مدیریتی دیگری می ‌شود. تنها در صورتی باید این دسترسی ‌ها فعال باشند که واقعا به آن‌ ها نیاز داشته باشید - که در اغلب کاربردهای خانگی نیازی نیست.
• مدیریت روتر از طریق اپلیکیشن موبایل را غیرفعال کنید. اپلیکیشن ‌های مدیریت روتر روی گوشی‌ های هوشمند ممکن است راحت به‌ نظر برسند، اما ریسک‌ های امنیتی قابل ‌توجهی به همراه دارند. این روش ‌ها معمولا علاوه بر گوشی و روتر، به یک سرویس ابری اختصاصی نیز متکی هستند که خود یک نقطه ضعف جدید ایجاد می‌ کند. بنابراین توصیه می‌ شود این نوع مدیریت را غیرفعال کرده و از آن استفاده نکنید.
• رمزهای پیش ‌فرض را تغییر دهید. حتما رمز عبور پیش ‌فرض برای پنل مدیریتی روتر و شبکه وای ‌فای را تغییر دهید. این دو رمز نباید یکسان باشند. هر کدام باید طولانی، پیچیده و غیرقابل‌ حدس باشند و شامل کلمات یا اعداد ساده نباشند. اگر روتر شما اجازه می‌ دهد، نام کاربری مدیریت (Admin Username) را نیز به چیزی خاص و یکتا تغییر دهید تا احتمال حمله کاهش یابد.
• از راهکارهای امنیتی جامع برای شبکه خانگی استفاده کنید. استفاده از آنتی ویروس های پیشرفته مانند کسپرسکی پریمیوم (Kaspersky Premium) می‌ تواند امنیت شبکه خانگی شما را به ‌طور چشمگیری افزایش دهد. این نسخه دارای ماژول محافظت از خانه هوشمند است که مشکلات رایج مانند رمزهای ضعیف یا دستگاه ‌های آسیب ‌پذیر را شناسایی می ‌کند. اگر این سیستم، دستگاه ناشناخته ‌ای را در شبکه شما تشخیص دهد یا نقطه‌ ضعفی مانند رمز ضعیف پیدا کند، بلافاصله هشدار می‌ دهد و توصیه ‌هایی برای رفع مشکل ارائه می‌ کند.
• تمام صفحات تنظیمات روتر را بررسی کنید. وارد پنل مدیریتی روتر شوید و به‌ صورت کامل همه بخش‌ ها را بررسی کنید. به موارد زیر به ‌طور خاص توجه داشته باشید:
  1. پورت فورواردینگ (Port Forwarding) به دستگاه ‌های ناشناس یا اینترنت
  2. کلیدهای SSH ناآشنا یا هر نوع اطلاعات ورود مشکوک
  3. حساب ‌های کاربری جدید که شما ایجاد نکرده ‌اید.
  اگر به موردی مشکوک برخورد کردید، مدل روتر خود را همراه با اطلاعات مشکوک (مانند نام کاربری یا شماره پورت) در اینترنت جستجو کنید. اگر هیچ اطلاعاتی درباره آن مورد خاص به‌ عنوان یکی از قابلیت ‌های رسمی روتر پیدا نکردید، فورا آن داده یا تنظیم را حذف کنید.
• اخبار امنیت سایبری را دنبال کنید. برای دریافت جدیدترین اطلاعات امنیتی و آگاهی از تهدیدهای نوظهور، پیشنهاد می ‌کنیم در کانال تلگرام ما عضو شوید و از آخرین خبرها، هشدارها و توصیه ‌ها در حوزه امنیت دیجیتال مطلع بمانید.