نفوذ بات نت Matrix به بیش از ۳۵ میلیون دستگاه IoT!

یک گروه تهدید کننده به نام Matrix، بات نتی را راه اندازی کرده است که به طور خاص بر روی نفوذ به دستگاه‌های اینترنت اشیاء (IoT) متمرکز است. بات نت Matrix از آسیب‌ پذیری‌ها، داده‌های لاگین ضعیف یا پیش‌فرض و پیکربندی‌های اشتباه در دستگاه‌های IoT و سیستم‌های سازمانی سوء استفاده می‌کند تا آنها را برای اتصال به یک بات ‌نت بزرگ با قابلیت اختلال در سطح جهانی به کار گیرد.

بات نت Matrix می‌تواند از دستگاه‌های IoT آلوده برای انجام حملات انکار سرویس توزیع شده (DDoS) استفاده کند. این حملات با ارسال حجم زیادی ترافیک به سمت یک هدف مشخص انجام مب‌شوند که منجر به اختلال در سرویس هدف خواهند شد.

عملیات این بات نت جامع بوده و شامل اسکن، اکسپلویت آسیب پذیری‌ها و استقرار بدافزار می‌باشد. بات نت Matrix تاکنون حدود ۳۵ میلیون دستگاه را در سراسر جهان آلوده کرده است.

شواهدی وجود دارد که نشان می دهد منشأ این بات نت روسیه می‌باشد و قربانیان آن در کشورهای چین، ژاپن، آرژانتین، استرالیا، برزیل، مصر، هند و ایالات متحده قرار دارند. عدم وجود اوکراین در این لیست حاکی از آن است که مهاجمان صرفاً به دنبال اهداف مالی هستند.

مهاجمان می‌توانند با جمع‌آوری اسکریپت‌ها و ابزارهای در دسترس عموم و سوء استفاده از داده‌های لاگین ضعیف یا پیش فرض به مجموعه وسیعی از دستگاه‌ها و سرورهای متصل به اینترنت از جمله دوربین‌های  IP، DVRها، روترها، تجهیزات مخابراتی و سایر دستگاه‌های IoT به منظور ساخت بات‌نت دسترسی پیدا کنند. تخمین زده می‌شود که بات نت Matrix متشکل از ۳۵۰ هزار تا ۱.۷ میلیون دستگاه آلوده است.

هکرها علاوه بر دستگاه‌های اینترنت اشیاء، پروتکل‌ها و برنامه‌های کاربردی رایج مانند telnet، SSH، Hadoop و HugeGraph را هدف قرار می‌دهند و از آسیب ‌پذیری‌ها و پیکربندی‌های نادرست برای دسترسی به زیرساخت سرور قوی‌تر سوء استفاده می‌کنند.

Matrix از ترکیبی از اسکریپت‌های مبتنی بر پایتون، shell، Golang ، جاوا، جاوا اسکریپت و پرل استفاده می‌کند. اغلب ابزارهای مورد استفاده این بات نت از GitHub  یا وب سایت‌های امنیتی یا هک نشات می‌گیرند.

این ابزارها شامل Pybot ، Pynet ، Discordgo ، Homo Network، یک برنامه جاوا اسکریپت است که حمله HTTP/HTTPS flood را پیاده سازی می‌کند و ابزاری که م‌ تواند برنامه آنتی ویروس مایکروسافت دیفندر را در دستگاه‌های ویندوز غیرفعال کند. این فعالیت‌های مخرب در نهایت منجر به استقرار بات نت Mirai  و سایر برنامه‌های مربوط به DDOS در دستگاه‌ها و سرورهای آلوده و تحت نفوذ می‌شود.

هکرهای Matrix، سعی در هدف قرار دادن دامنه‌های آدرس IP مرتبط با ارائه دهندگان خدمات ابری (CSP) مانند سرویس‌های وب آمازون (AWS)، Microsoft Azure و Google Cloud دارند.

این قبیل حملات بات نتی در سال‌های اخیر اغلب برای استخراج کریپتو و حملات DDoS مورد توجه قرار گرفته‌اند. اگرچه حملات Matrix چندان پیچیده نیست اما کاری که هکرهای Matrix انجام داده‌اند نشان می‌دهد چگونه با وجود دانش فنی کم و استفاده از ابزارهای در دسترس عموم می‌توان یک بات ‌نت قدرتمند برای اجرای حملات DDoS گسترده ایجاد کرد.

منابع