اخبار آروان


مشاهده لیست آخرین اخبار آروان

چه کسانی از سرویس اسرائیلی 'vDOS' برای حمله به وب سایت های ایرانی استفاده کردند؟

چه کسانی از سرویس اسرائیلی 'vDOS' برای حمله به وب سایت های ایرانی استفاده کردند؟

 

چند روز پیش KrebsOnSecurity مطلبی را منتشر و از متلاشی شدن و افشای اطلاعات وب سایت اسرائیلی vDOS خبر داد، سرویسی که با دریافت مبالغی حملات گسترده DDoS را شکل داده و سمت وب سایت های سراسر جهان سرازیر می کرده است.

این وب سایت از طریق فروش اکانت های 19 تا 199 دلاری توانست بیش از 600 هزار دلار در طی کمتر از دو سال در آمد داشته باشد و بیش از 150 هزار وب سایت را مورد حمله قرار دهد.

 

اطلاعات دیتابیس vDOS که از طریق یک آسیب پذیری از زیر دامنه api.vdos.com به دست آمده بود توسط KrebsOnSecurity  منتشر و البته خیلی زود توسط کاربران ایرانی به شدت مورد توجه قرار گرفت. وجود نام های ایرانی چه در لیست ترتیب دهندگان این حملات و چه در لیست قربانیان موضوع را جالب تر می کرد. 

و البته مثل همیشه گمانه زنی های غیر کارشناسی نیز به شکل چشم گیری در فضای مجازی گسترش یافت. آروان تلاش کرده است تا با ارائه یک تحلیل اولیه از اطلاعات منتشر شده کمی فضا را روشن تر کند تا بتوان در فرصت آتی ابعاد بیشتری از این موضوع را مورد بررسی قرار داد.

اطلاعات منتشر شده مربوط به 170  هزار حمله صورت گرفته در مدت 4 ماه (از آپریل تا جولای 2016) را شامل می شود که آروان در تحلیل خود 168 هزار حمله را مورد بررسی قرار داده است.

 

سفارش دهندگان حملات

 

بر خلاف برخی مطالب منتشر شده از 168 هزار حمله تنها نزدیک به هزار حمله توسط ایرانیان (به فرض عدم استفاده از VPN) صورت گرفته است.

در میان قربانیان (وب سایت های مورد حمله قرار گرفته) نیز  تنها 577 حمله به وب سایت های ایرانی شامل  293 آی پی متفاوت بوده است.

 

حملات صورت گرفته به آی پی های ایرانی  عمدتا توسط 19 کاربر مختلف شکل گرفته است که کاربران زیر هر کدام در بیش از یک حمله شرکت داشته اند:

 

تعداد حمله

نام کاربری

297

l8wnl8wn

93

keyvanik

53

zarinpalinc

49

livechatinc

20

alieblise

16

mytechadmin

12

3245

8

mk47

7

safer212

7

cmaxx

6

qio111

3

takenotez

 

از این بین، کاربران l8wnl8wn و keyvanik و livechatinc و zarinpalinc و alieblise و qio111 و cmaxx به دلیل استفاده از IP ایران و لاگ شدن دقیق زمان استفاده از IP به راحتی قابل پیگیری حقوقی هستند.

 

قربانیان / اهداف حملات

 

به ترتیب آدرس های آی پی از کشورهای چین، آمریکا، انگلستان، آلمان و برزیل بیشترین اهداف حملات را شکل داده اند. همان طور که بیان شد 293 آی پی ایرانی در این بین دیده می شوند.

سرویس های ایرانی که حداقل 5 بار مورد حمله قرار کرفته اند به ترتیب به شرح زیر هستند: (نام حداقل 3 هاست اشتراکی حذف شده است)

  • میهن دانلود
  • ابر آروان
  • دیجیکالا
  • دانلود ها
  • سیبا پال
  • فروشگاه خواب شاپ
  • گرداب
  • آپارات
  • گت آرتیکل
  • همراه اول
  • فایل و تیوی نیکو
  • ورزش 3
  • زرین پال

 

 

حملات صورت گرفته به ابر آروان

بیش تر حملات صورت گرفته به ابر آروان توسط 3 کاربر مختلف به اسم های l8wnl8wn ، *dhp و qio111 صورت گرفته است. از آنجایی که هر 3 کاربر از ایران به صورت مستقیم به vDOS متصل شده اند به راحتی قابل شناسایی هستند، اما از آنجایی که حملات صورت گرفته بی نتیجه بوده است ابر آروان فعلا برنامه ای برای طرح دعوای حقوقی ندارد.

همچنین قالب این حملات به DNS ابر آروان و از طریق IP های Anycast آروان به آدرس های 5.145.114.0/24 و 185.143.232.0/22 صورت گرفته است، که تماما ناکام بوده است. 

 

جلوگیری از سه سوء تفاهم

  • استخراج این اطلاعات نیاز به دانش فنی پیچیده و یا تکنیک های Forensic ندارد، آروان هم مدعی چنین چیزی نیست، هدف تنها اطلاع رسانی شفاف بوده است. 
  • برخی از سرویس دهندگان پس از حملات مجبور به تغییر آدرس IP خود شده اند و از آنجایی که حملات به IP های قبلی آن ها لاگ شده است در لیست بیشترین قربانیان قرار نگرفته اند، در حال حاضر دسترسی به تاریخچه IP هر دامنه نیاز به بررسی و وقت بیشتر دارد.
  • بر اساس نام های کاربری منتشر شده شتاب زده قضاوت نکنید، به طور مثال تقریبا بیشتر حملات صورت گرفته توسط نام کاربری zarinpalinc به آدرس های IP قدیمی دروازه پرداخت زرین پال صورت گرفته است. زرین پال پس از آن حملات برای محافظت از خود از سامانه جلوگیری از حملات DDoS ابر آروان استفاده کرد.

 

سخنی با حمله کنندگان عزیز

و اما چند جمله هم به دوستان عزیزی که این حملات را تدارک دیدند. همان طور که مشخص است به راحتی و با پرداخت کمتر از 20 دلار و حتی در برخی سرویس ها با پرداخت حدود 4 دلار می توان حملات گسترده ای را به سمت یک وب سایت هدایت کرد. این کار نه نیاز به تخصص دارد و نه دانش فنی. پس در هر حال خیلی افتخار آمیز نخواهد بود. 

امیدوارم وقتی در حال سفارش یک حمله 5 دلاری برای ضربه زدن به اعتبار و تجارت همکارانتان در بازار هستید به این فکر کنید که کار شما به سادگی یک پرداخت چند دلاری است، دامن زدن به این بازار کثیف همه را متضرر خواهد کرد.