سرویس تلگرام در ۱۰ اردیبهشت ۱۳۹۷ به دستور یک بازپرس بهشکل کامل مسدود شد. یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارنی به نام MTProto در راستای رمزنگاری محتوا بود. بعدها تلگرام از سرویسی با نام MTProxy استفاده کرد تا بتواند بهکمک این پروتکل با فیلترینگ ایران مقابله کند.
نفوذ بسیار بالای تلگرام در ایران باعث شد کاربران بیشماری علاوهبر استفاده از فیلترشکنها به فکر استفاده از MTProxyهای رایگان بیفتند. افرادی که بیاطلاع از همهجا امروز تبدیل به باتنتهای یک شبکهی بزرگ خرابکاری اینترنتی شدهاند.
ابر آروان با تحلیل حملات گستردهی روزهای گذشته به زیرساختهای خود یک نوع حملهی کاملن توزیعشدهی جدید را تشخیص داد. این حملات تفاوتهای اساسی با حملات پیشین داشتند:
تصویر ۱: درخواستهای عادی به سرورهای لبهی ابر آروان
حجم بالای این حملات میتوانست بسیاری از وبسایتها و سامانههای آنلاین را دچار اختلال کند، اما برای ساختار توزیعشده و سامانههای جلوگیری از حملات DDoS ابر آروان مقابله با این حملات کار سختی به نظر نمیرسید، اما تحلیل این حملات به آسانی همیشه نبود.
نه از دادههای ارسالی میتوانستیم سرنخی بهدست آوریم، نه نشانیهای درخواستهای ارسالی الگوی مشترکی داشتند که بتوانیم از آنها استفاده کنیم.
تصویر ۲: درخواستهای ارسالی به سرورهای لبهی ابر آروان در حمله
این حمله در روز سهشنبه ۱۴ آبان ساعت ۲۳:۳۶ دقیقه شروع و در روز یکشنبه ۱۹ آبان ساعت ۲۳:۴۶ دقیقه به پایان رسید. اوج این حملات روز چهارشنبه بود که تعداد درخواستهای ارسالی به سمت سرورهای ابر آروان به حدود ۱۰۰ هزار درخواست در ثانیه رسید. اگرچه این حملات در مقابل حملات گستردهای که در ابر آروان با آن مقابله میشود از شدت بسیار بالایی برخوردار نبودند اما همین حملات، امکان از دسترس خارج کردن بیشتر وبسایتهای کشور را دارند. تفاوت مهم دیگر، وجود منشا داخلی این حملات بود که باعث پررنگتر شدن آن میشود.
برای یافتن منشا حملات، فعالیتهای زیادی انجام شد که بسیاری از آنها شکست خوردند. اما در ساعات انتهایی روز شنبه، به حدسی هوشمندانه دست یافتیم؛ شاید ترافیک برای سرویس MTProxy نرمافزار تلگرام باشد!
چند نکته در ترافیک نمونهگیری شده وجود داشت که این حدس را تقویت میکرد:
با شبیهسازی سناریوی احتمالی، حدس سرویس MTProxy تقویت شد. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونهگیری از درستی آن اطمینان پیدا کردیم.
در زیر تصویر یکی از استریمهای TCP کپچر شده در نرمافزار Wireshark آمده که بهشکل hexdump آن را مشاهده میکنید.
سپس قسمت پیام ارسالی را کپی و براساس پروتکل MTProto جداسازی کردیم که در شکل زیر آن را مشاهده میکنید.
بر اساس پروتکل MTProto، قسمت کلید اولیه از پیام جدا شده را با ترکیبی از secret سرویس MTProxy ساختیم. اما مقدار secret برای ما قابل ارزیابی نبود. با یک حدس هوشمندانه توانستیم مقدار درست secret را ارزیابی کنیم. این مقدار 0x00000000000000000000000000000000 بود! با استفاده از این مقدار توانستیم هش مورد نظر را محاسبه و به عنوان کلید رمزگشایی از آن استفاده کنیم.
با استفاده از کلید بهدست آمده و I.V با الگوریتم AES-256bit در مُد CTR، توانستیم کل پیام را رمزگشایی کنیم. یکی از امضاهای پروتکل MTProto داشتن مقادیر 0xefefefef یا 0xeeeeeeee و یا 0xdddddddd در بایت ۵۷ام است که در ترافیک نمونهگیری شده، مشاهده میشود.
تیم امنیت ابر آروان پس از مطمین شدن از جنس ترافیک، به کانالهای تلگرامی ارایه دهندهی سرویس MTProxy مراجعه کرد. برخی از سرورهای ارایه شده در این کانالها، به نشانی IP ابرآروان resolve میشدند که تعدادی از این نشانیها در فهرست زیر آمده است:
Atom.ChMTP.Info
walking.firewall-gateway.com
ToKhobi.MyFirewall.org
در این یادداشت به رخدادی اشاره کردیم که به احتمال زیاد حملهای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع میشود. نبود نگاه چند جانبه نسبت به فناوریهای روز باعث حذف یک پیامرسان با میلیونها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.
رواج بیش از اندازه نسخههای غیر اصل از تلگرام که متهم به سو استفاده از دستگاههای شخصی کاربران ایرانی بودند یکی از این موارد، و اکنون نیز استفاده از MTProxy رایگان، و ترویج آن تهدید بزرگ دیگری را در برابر کاربران ایرانی قرار داده است.
در حال حاضر ابر آروان هشدار جدی میدهد که اگر تصمیمات سختی اتخاذ نشود، مدیران کانالهای تلگرامی که اقدام به ترویج MTProxyهای رایگان میکنند، دو قدرت بسیار مهم در اختیار خواهند داشت:
منبع:
https://www.alef.ir/news/3980821099.html