ورود/ثبت نام
بروت فورس

حملهٔ عظیم بروت‌ فورس با استفاده از ۲.۸ میلیون آدرس IP به دستگاه‌های VPN

  • بدون دیدگاه

یک کارزار سایبری عظیم با استفاده از روش بروت فورس (Brute Force)، زیرساخت‌های حیاتی شبکه و تجهیزات امنیتی سازمان‌ها را هدف قرار داده است. طبق گزارش‌های جدید، مهاجمان با بهره‌گیری از میلیون‌ها آدرس آی‌پی، در تلاش‌اند تا با حدس زدن اعتبارنامه‌ها (نام کاربری و رمز عبور)، کنترل تجهیزات لبه شبکه را به دست بگیرند.

این حمله نه تنها به دلیل حجم گسترده آن، بلکه به دلیل هدف قرار دادن تجهیزات برندهای معتبری مانند Palo Alto Networks، Ivanti، SonicWall و Cisco از اهمیت بالایی برخوردار است.

بروت فورس 1

تایید بنیاد Shadowserver

برخلاف شایعات و گمانه‌زنی‌ها، آمار این حمله توسط یکی از معتبرترین نهادهای رصد تهدیدات سایبری، یعنی بنیاد شادوسرور (The Shadowserver Foundation) تایید شده است. طبق داده‌های منتشر شده توسط این بنیاد، این حملات از ماه گذشته آغاز شده و اخیراً شدت گرفته است، به طوری که روزانه حدود ۲.۸ میلیون آدرس آی‌پی منحصر‌به‌فرد در این حملات شرکت دارند.

این آمار نشان می‌دهد که ما با یک حمله پراکنده روبرو نیستیم، بلکه با یک عملیات سازمان‌یافته توسط بات‌نت‌های عظیم مواجهیم.

کالبدشکافی فنی: ضعف تجهیزات یا اهمال مدیران؟

یکی از نکات کلیدی در این حمله، درک تفاوت بین «آسیب‌پذیری نرم‌افزاری» (Exploit) و «حمله بروت فورس» است. در این کارزار، هکرها از باگ یا حفره امنیتی (Zero-day) در تجهیزات سیسکو یا پالو آلتو استفاده نمی‌کنند. در واقع، خود تجهیزات از نظر فنی سالم هستند. مشکل اصلی در پیکربندی ناامن و رمزهای عبور ضعیف است.

مکانیزم دقیق حمله

  1. بمباران اعتبارنامه‌ها: مهاجمان با استفاده از لیست‌های افشا شده از نام‌های کاربری و رمزهای عبور رایج (یا دزدیده شده در نشت‌های اطلاعاتی قبلی)، به صورت مداوم تلاش می‌کنند وارد پنل مدیریت VPN یا فایروال شوند.
  2. هدف‌گیری پنل‌های وب: بسیاری از تجهیزات شبکه دارای رابط کاربری تحت وب هستند که متاسفانه در بسیاری از سازمان‌ها مستقیماً روی اینترنت عمومی (Public Internet) در دسترس قرار گرفته‌اند.
  3. تزریق بات‌نت: به محض اینکه رمز عبور صحیح حدس زده شود، هکر وارد دستگاه شده و بدافزار خود را نصب می‌کند تا دستگاه را به بخشی از شبکه بات‌نت خود تبدیل کند.

نکته حیاتی: موفقیت این حملات مستقیماً به ضعف سیاست‌های رمزنگاری سازمان‌ها برمی‌گردد. استفاده از رمزهای پیش‌فرض کارخانه (مانند admin/admin) یا رمزهای ساده، فرش قرمز را برای نفوذگران پهن می‌کند.

بیشتر بخوانید : ۳ کاربرد شگفت‌انگیز NAS | فراتر از ذخیره‌سازی فایل

بروت فورس 2

جغرافیای حمله و ارتش سایبری

بر اساس تحلیل‌های شادوسرور، منشأ این حملات بسیار پراکنده است اما تمرکز اصلی بر روی کشورهای خاصی دیده می‌شود. بیشترین حجم ترافیک مخرب (حدود ۱.۱ میلیون آی‌پی) از برزیل سرچشمه می‌گیرد. سایر کشورها در رتبه‌های بعدی عبارتند از:

مطالب پیشنهادی

  • ترکیه
  • روسیه
  • آرژانتین
  • مراکش
  • مکزیک

سربازان این ارتش چه دستگاه‌هایی هستند؟

جالب است بدانید که آی‌پی‌های حمله‌کننده متعلق به هکرهای پشت سیستم نیستند. این‌ها دستگاه‌های اینترنت اشیا (IoT) و روترهای خانگی آلوده از برندهایی نظیر میکروتیک (MikroTik)، هواوی، ZTE و Boa هستند که پیش‌تر توسط بدافزارها تسخیر شده و اکنون به عنوان “زامبی” برای حمله به اهداف بزرگتر (تجهیزات سازمانی) استفاده می‌شوند.

هدف نهایی: تبدیل سازمان به “پراکسی مسکونی”

شاید بپرسید چرا هکرها به دنبال نفوذ به روتر یک شرکت هستند؟ پاسخ در ارزش “اعتبار آی‌پی” (IP Reputation) نهفته است.

پنهان شدن در ترافیک عادی: استفاده از این تکنیک باعث می‌شود ترافیک هکر شبیه به ترافیک یک کاربر خانگی یا شرکتی عادی به نظر برسد و شناسایی آن برای سیستم‌های دفاعی بسیار دشوار شود.

ایجاد گره خروجی (Exit Node): هکرها تجهیزات گران‌قیمت سازمانی (مانند فایروال‌های سیسکو) را هک می‌کنند تا ترافیک سایر فعالیت‌های مجرمانه خود را از طریق آن‌ها عبور دهند.

دور زدن لیست‌های سیاه: سازمان‌های معتبر معمولاً آی‌پی‌های “تمیز” دارند که توسط وب‌سایت‌ها و بانک‌ها مسدود نشده‌اند. هکرها با تبدیل دستگاه شما به یک پراکسی، فعالیت‌های مخرب خود (مثل کلاهبرداری اینترنتی یا خرید غیرمجاز بلیط) را با هویت سازمان شما انجام می‌دهند.

بروت فورس 3

سابقه حملات مشابه

این روش جدید نیست و بارها توسط غول‌های فناوری هشدار داده شده است:

  • اوریل گذشته (بهار): شرکت Cisco هشداری جدی در مورد حملات بروت فورس گسترده علیه دستگاه‌های CheckPoint، Fortinet و Ubiquiti صادر کرد.
  • دسامبر (زمستان): شرکت Citrix نیز گزارش‌هایی مبنی بر حملات “Password Spraying” (تست یک رمز روی هزاران اکانت) علیه دستگاه‌های NetScaler خود منتشر کرد.

۵ اقدام فوری برای مدیران شبکه

با توجه به اینکه این حمله بر پایه ضعف رمز عبور و پیکربندی استوار است، راهکارهای زیر برای ایمن‌سازی تجهیزات لبه (Edge Devices) الزامی است:

آپدیت فرم‌ور (Firmware): اگرچه این حمله مستقیماً اکسپلویت نیست، اما آپدیت‌ها باگ‌هایی که ممکن است به هکرها دسترسی اولیه بدهند را برطرف می‌کنند.

حذف دسترسی مدیریتی از اینترنت: پنل‌های مدیریت وب (Web Admin Interface) را از روی اینترنت عمومی غیرفعال کنید. دسترسی باید فقط از طریق شبکه داخلی یا یک VPN امن امکان‌پذیر باشد.

خداحافظی با رمزهای پیش‌فرض: بلافاصله پس از نصب تجهیزات، نام کاربری و رمز عبور پیش‌فرض را تغییر دهید. استفاده از رمزهای طولانی و پیچیده، مقاومت در برابر حملات بروت فورس را به شدت افزایش می‌دهد.

اجبار احراز هویت چندعاملی (MFA): فعال‌سازی MFA حیاتی‌ترین گام است. حتی اگر هکر رمز عبور را بدست آورد، بدون کد دوم (OTP) قادر به ورود نخواهد بود.

محدودسازی جغرافیایی (Geo-Blocking): اگر کارمندان شما فقط در ایران هستند، دلیلی ندارد آی‌پی‌های برزیل یا روسیه بتوانند صفحه لاگین VPN شما را ببینند. دسترسی را به لیست سفید (Allowlist) محدود کنید.

سوالات متداول

به زبان ساده، حمله بروت‌فورس یک روش آزمون و خطاست که در آن مهاجم (هکر) از نرم‌افزارهای خودکار برای حدس زدن نام کاربری و رمز عبور استفاده می‌کند. نرم‌افزار میلیون‌ها ترکیب مختلف از حروف، اعداد و نمادها را با سرعت بالا امتحان می‌کند تا زمانی که ترکیب صحیح را پیدا کند و وارد سیستم شود. مثل این است که سارقی دسته‌ای از هزاران کلید را یکی‌یکی روی قفل در امتحان کند تا بالاخره یکی از آن‌ها در را باز کند.
VPNها دروازه ورود به شبکه‌های داخلی و خصوصی سازمان‌ها هستند. اگر یک هکر موفق شود از طریق بروت‌فورس به یک حساب VPN نفوذ کند، عملاً از سد امنیتی اصلی عبور کرده و به داده‌های حساس شرکتی، سیستم‌های داخلی و اطلاعات محرمانه دسترسی پیدا می‌کند. نفوذ به VPN مانند به دست آوردن کلید اصلی ساختمان یک سازمان است.
مهم‌ترین و موثرترین راه، فعال‌سازی احراز هویت دو مرحله‌ای (2FA/MFA) است. حتی اگر هکر موفق شود رمز عبور شما را حدس بزند، بدون داشتن کد مرحله دوم (که معمولاً به گوشی شما ارسال می‌شود)، نمی‌تواند وارد سیستم شود.
آنچه در این مطلب میخوانید!

دیدگاهتان را بنویسید