مودم‌های مبین‌نت پنهانی ارز دیجیتال استخراج می‌کردند!

ICTna.ir - با افشاگری یک کاربر توییتر و تایید ضمنی مبین نت، مشخص شده که برخی از مودم‌های اپراتور TD-LTE مبین نت به یک اسکریپت ماینینگ پنهانی برای استخراج بدون اطلاع ارز دیجیتال با استفاده از منابع مشترکین این اپراتور آلوده هستند و بدون اطلاع کاربر، این مودم ها اقدام به استخراج رمزارز می‌کنند. این موضوع نخستین بار، توسط یک توسعه دهنده ایرانی در توییتر افشا شده و مبین نت به طور ضمنی آن را تأیید کرده و قول پیگیری داده است.
 
به گزارش خبرنگار آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا)، مشخص نیست که این Firmware با اطلاع مدیران یا کارکنان مبین‌نت بر رروی بخشی از مودم‌های این اپراتور نصب شده، یا شرکت چینیِ فروشنده دستگاه‌های مودم به مبین‌نت به صورت پیشفرض یا با به‌روزرسانی غیرمجاز و یا آلوده، چنین دسترسی و امکان سوءاستفاده‌ای را برای استخراج رمزارز (ماینینگ) با استفاده پنهانی از منابع مشترکین این اپراتور، فراهم کرده است.
 
mobfirmbug.jpg
 
روابط عمومی مبین‌نت در توییتر و در پاسخ به کاربری که این موضوع را فاش ساخته قول پیگیری داده و پس از آن از بروزرسانی نرم افزار این مودم ها خبر داده است. این در حالی است که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای سازمان فناوری اطلاعات ایران (ماهر) هنوز در این خصوص اعلام نظر نکرده و وب سایت این مرکز از 25 اسفندماه به روز رسانی نشده است.
 
ماجرا از چه قرار است؟
ماجرا از آنجا شروع شد که دو روز پیش، یک کاربر توییتر با شناسه MrOplus که خود را مهندس نرم افزار و شکارچی بدافزار معرفی کرده، با انتشار تصویری از سورس کد محتوی این اسکریپت در مودمهای SLC مبین نت با فرمور نسخه 13.0.1 نوشت: اینکه این ماجرا تقصیر مبین نت هست یا نه رو من نمیدونم قطعا، اما به شکل عجیبی تمام مودم های SLC مبین نت با Firmware 1.0.13 آلوده به Miner هستند، ماجرا هم به این شکل هست که بعد از لاگین به سیستم یک اسکریپت webminer اجرا میشود که در عکس زیر مشخص هست:
 
EwjRIJvWgAAPQEl.png
این کاربر در ادامه رشته توییت خود تاکید کرده بود: این داستان فقط و فقط دو حالت دارد، یا کسی در شرکت مبین نت دست گل به آب داده و از طریق TR069 یک فریمور آلوده بر روی دستگاهها ارسال کرده ، یا شرکت چینی که مبین نت از آن شرکت خرید کرده، فایل ها را به صورت ریموت آپدیت میکند.
 
وی تصریح کرده بود که در خصوص این حالت در سال 96 یا 97 هشدار داده بوده ولی گوش شنوایی برای تذکرش نبوده است.
 
EwjX_wiXAAUEoH_.jpg
 
 
مدتی بعد او از بررسی بیشتر خبر داد و نوشت: روی مودم هایی که خارج از شبکه مبین نت هست این داستان وجود ندارد. 
وی تحلیل کرده بود این مضووع یا بخاطر خاموش بودن قابلیت tr069 هست یا بخاطر عدم دسترسی به سرور update
 
به گفته کاربر افشا کننده این نقطه ضعف "حتی اگر بگویم صفحه بعد از ریبوت شدن برگردد به حالت قبل (که در مواردی که من تست کردم چنین چیزی نبود) باز هم باید پیگیر این باشند که چرا باید از 2018 تا به امروز Backdoor ها و bug ها رفع نشده؟
 
به گفته وی، این نشان دهنده آن است که شرکت وارد کننده (احتمالا) دسترسی به source code را ندارد یا از دانش کافی در این زمینه برخوردار نیست.
 
به گفته این کاربر "راهکار پیشنهادی هم این است که کاربران فعلا روی فایروال مودم پورت 443 / 80 را از WAN ببندند ؛ دسترسی TR069 را غیر فعال کنند ؛ آی پی آپدیت سرور را روی مودم مسدود سازند و در نهایت آدرس pool را هم توسط route یا url filtering ببندند.
 
چرخش در مبین نت
مبین نت در واکنش به این موضوع در ابتدا در یک بازخورد قابل قبول، اعلام کرد کارشناسان این شرکت از مدت‌ها قبل از وجود چنین مشکلی با خبر بوده‌اند و آپدیت کردن مودم‌ها در جریان است. 
 
اکانت رسمی شرکت مبین نت در توئیتر نوشت: اخیرا نگرانی‌هایی از سوی برخی مشترکین راجع به امنیت مودم‌های SLC در شبکه‌های اجتماعی منتشر شده که بدینوسیله به اطلاع می‌رساند این موضوع از پیش توسط کارشناسان  شناسایی و به‌روزرسانی فریم‌ویر مودم‌ها به‌صورت مرحله‌ای در حال انجام‌ است و به‌زودی به اتمام خواهد رسید.
 
پس از آن و در یک چرخش نسبی مبین نت در رشته توئیتی توضیح داد: پیرو اخبار درج شده در برخی رسانه‌های مجازی، مبنی‌بر احتمال وجود بدافزار در یکی از نسخه‌های نرم‌افزاری مودم‌های SLC، نکات زیر جهت اطلاع مشترکین اعلام می‌شود: خبر مذکور به استناد توییت یک فرد ناشناس و بدون ارائه شواهد معتبر فنی تنظیم شده و تاکنون صحت آن به تایید مبین‌نت نرسیده است.
 
به گفته مبین نت نسخه مذکور Firmware،  پیشتر در تیرماه سال 99 در فرآیند ارزیابی دوره‌ای مبین‌نت، برای بخش عمده مشترکین دارای این مودم به‌روزرسانی شده است؛ با این وجود و علیرغم تعداد بسیار محدود مودم‌های با مدل مذکور و  Firmware  قدیمی (کمتر از یک درصد) تیم مدیریت رخداد مبین‌نت به محض اطلاع از خبر مذکور (پیش از انتشار) علیرغم تایید نشدن خبر، اقدامات کنترلی پیشگیرانه را در این خصوص انجام داده است.
 
mobinnet.jpg
 
{بروزرسانی1: ساعت 21:13 روز جمعه 29/12/99}
مدیرعامل مبین نت: حتی یک مورد مودم مشکوک پیدا نکرده‌ایم
عصر روز 29 اسفندماه، حسین طهرانی، مدیرعامل شرکت مبین نت در توییتر و در پاسخ به خبرنگار آژانس خبری فناوری اطلاعات و ارتباطات توضیحات جدیدی در خصوص این موضوع ارائه کرد.

مدیرعامل مبین نت در این خصوص تصریح کرد "مبین نت هیچگاه این مشکل را تایید ضمنی و یا غیر ضمنی نکرده است".
 
به گفته مدیرعامل مبین نت این شرکت، "از لحظه درج توئیت مذکور، تیم فنی مبین {نت} بررسی خود را شروع کرد و 
تا این لحظه علی رغم بررسی های گسترده حتی یک مورد مودم مشکوک و یا ترافیک به سمت آن مقصد در شبکه مشاهده نکردیم".
 
طهرانی تصریح کرد: ما مدتها قبل در بررسی های دوره ای یک آسیب پذیری در نسخه 1.0.13 مشاهده کردیم که همان زمان (تیرماه) بروزرسانی {ارسال} شد که این فرآیند، یک فرآیند روتین و دوره ای است.
 
به گفته مدیرعامل مبین نت، برای احتیاط به محض درج این توئیت، کارشناسان این اپراتور، مجدد بروزرسانی را کلید زده اند تا اگر مودمی در آن دوره زمانی آپدیت نشده، بروز شود.
 
از سوی دیگر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای سازمان فناوری اطلاعات ایران (ماهر)، بعنوان متولی بی طرف حوزه امنیت فناوری اطلاعات کشور، هنوز هم در این خصوص اعلام نظر نکرده و وب سایت این مرکز از 25 اسفندماه بروزرسانی نشده است.