چند روز پیش، یک کاربر ایرانی توییتر که خود را مهندس نرمافزار و شکارچی بدافزار معرفی کرده است، از وجود یک خط کد ماینینگ روی مودمهای مدل SLC مبیننت خبر داد. این توییت واکنش کاربران زیادی را در فضای مجازی و رسانهها به همراه داشت. برخی رسانهها این موضوع را با عبارت «مانینیگ پنهانی مبین نت» به گوش مخاطبان رساندند. حقیقت ماجرا چیست؟
در متن توییت اصلی این کاربر آمده بود که تمام مودمهای SLC مبیننت با ورژن فرمور ۱.۰.۱۳ آلوده به ماینر هستند. البته او گفته بود که مشخص نیست مبیننت، خود بهصورت اشتباهی فرمور آلوده روی دستگاهها ارسال کرده است یا شرکت چینی فروشندهی دستگاههای مودم به مبیننت، فایلها را بهصورت ریموت آپدیت میکند.
به گفتهی این کاربر، بعد از لاگین به سیستم، یک اسکریپت webminer اجرا میشود؛ این خط در تصویر زیر مشخص است:
جدای از آنکه این توییت چه تفسیری میتواند داشته باشد، خیلی زود رسانههای داخل و بیرون از کشور، خبری با این عنوان درج کردند که مبیننت بدون اجازه کاربر بیتکوین استخراج میکند. این در حالی است که در توییت گفته شده خط کد آلوده به ماینر، صرفا و تنها پس از لاگین کردن در پنل مودم فعال میشود؛ نه حتی با ورود به پنل. آنگونه که میدانیم، کاربران زمان زیادی در پنل مدیریتی نمیگذرانند و تنها در صورت وجود مشکل، اقدام به لاگین در آن میکنند.
چنین موضوعی نشان میدهد که مبیننت با هرگونه تصوری، قصد ماینینگ با استفاده از مودمهای کاربرانش ندارد؛ چرا که اساسا، حضور کوتاه کاربران در پنل مدیریتی نمیتواند بیش از چند دقیقه کوتاه به طول بیانجامد. این یعنی ترافیکی ایجاد نمیشود و استخراجی نمیتواند رخ دهد.
مبین نت چه میگوید
معاون فناوری اطلاعات در مبیننت، استخراج رمزارز از طریق مودمهای این شرکت را تکذیب میکند. محسن اخباری به زومیت میگوید مودمهای SLC مبیننت از پیش، دارای برخی باگهای نرمافزاری و آسیبپذیری امنیتی بودند و تیم فنی با اطلاع از این مشکل، فرایند بهروزرسانی را از تیرماه سال جاری آغاز کرده بود. اخباری تصریح میکند:
از چند روز گذشته، ما بهطور غیر مستقیم از وجود آسیبپذیری روی مودمهای SLC مبیننت اطلاع پیدا کردیم. البته این مدل مودمها، تعداد بسیار کمی از مدل مودمهای مبین نت را تشکیل میدهند. در نهایت، چند روز بعد فردی ناشناس در این مورد توییتی منتشر کرد.
اخباری میگوید بررسی مبیننت روی مودمهای SLC که همچنان ورژن ۱.۰.۱۳ را روی فرمور خود داشتند، به نتیجهی ادعاشده توسط کاربر توییتر نرسیده است و مبیننت نیز به یقین رسیده که انجام ماینینگ با مودمهای این شرکت صحت ندارد. معاون IT مبیننت توضیح میدهد:
ما بیش از ۴۰۰ مودم را که هنوز از ورژن ۱.۰.۱۳ استفاده میکردند، مورد بررسی قرار دادیم و به هیچ مورد مشکوک یا آسیبپذیری نرسیدیم که نشان دهد ترافیکی به جهت ماینینگ و بدون اطلاع کاربر با سایتهای خارجی اشاره شده، تبادل میشود. ضمناً، این مودمها ساخت شرکت کرهای SEOWON هستند، نه چینی.
البته حساب توییتری مبیننت پس از دو روز از شکلگیری نگرانیها حول این موضوع، توییتی را منتشر کرد که بهنوعی، تأیید انجام شدن ماینینگ به نظر میرسید. در این توییت میخوانیم:
اخیرا نگرانیهایی از سوی برخی مشترکین راجع به امنیت مودمهای SLC در شبکههای اجتماعی منتشر شده که بدینوسیله به اطلاع میرساند این موضوع از پیش توسط کارشناسان شناسایی و بهروزرسانی فرمور مودمها بهصورت مرحلهای در حال انجام است و بهزودی به اتمام خواهد رسید.
محسن اخباری میگوید این توییت مربوط به همان مشکلاتی بود که در تیرماه توسط مبیننت شناسایی و بلافاصله مرتفع شد و ارتباطی با موضوع ماینینگ نداشت. او توضیح داد:
این توییت در مورد مانینیگ با مودمهای ما نبود و به این جهت منتشر شد که به مشترکین بگوییم مشکلاتی روی مودم SLC وجود داشته و مودمها بهروزرسانی شدهاند. درنتیجه، به دلیل اطمینان از عدم وجود مشکل یادشده، ما بررسیهای فنی را روی نمونههایی از این مودمها که هنوز در شبکه داشتیم، انجام میدادیم؛ در نهایت به هیچ موضوع مشکوکی نرسیدیم و توییت دوم را منتشر کردیم.
او همچنین در پاسخ به اینکه نگارنده توییت ناشناس، اسکریپ وب ماینر را به انتشار گذاشت، گفت:
آن تگ مربوط به یک iframe روی پنل یا کنسول مدیریتی مودمها است که ما چنین چیزی را در پنل مشاهده نکردیم.
به گفتهی اخباری، بررسی همین ۴۰۰ مودم برای اینکه اطمینان حاصل شود که ماینینگ با آنها انجام نمیشود، کفایت میکند. او پس از این به زومیت گفت تمام مودمها بهروزشده و هر مودمی که خاموش باشد نیز به محض روشن شدن، آپدیت میشود.
به گفتهی او، بهروزرسانی مودمهای SLC از تیرماه امسال آغاز شد که به محض اطلاع اولیه از احتمال وجود مشکل، فرایند بهروزرسانی مجدداً در شبکه اجرا شد تا برای مودمهای باقیمانده نیز بهروزرسانی صورت پذیرد و اگر مودم خاموشی طی این مدت به شبکه متصل شد، بهصورت خودکار بهروزرسانی شود. محسن اخباری اضافه میکند: «نمونه مودمهای دیگر مبیننت هم همواره بررسی میشوند و اگر مدلی نیاز داشت، با اطلاعرسانی کاربر، بهروزرسانی برای آن انجام میشود.»
اخباری توضیح میدهد که در شبکه مبین نت مدلهای مختلفی از مودمها وجود دارد که مدل SLC کماستفادهترین نمونهی آنها است. او میگوید این مودمها برای مبیننت و مشترکان شخصیسازی میشوند و به همین دلیل، بهروزرسانی آنها تنها از طریق مبیننت صورت میپذیرد. معاون IT مبین نت در ادامه اضافه میکند:
تمام فرایند بهروزرسانی به منظور رفع باگ یا اضافه کردن قابلیتهای جدید، بهصورت مرتب و دورهای، از طریق کنسول مدیریتی جامع و متمرکز مودمها انجام میشود. بهروزرسانی مودم SLC هم به همین طریق صورت میگیرد.
در نهایت همان کاربری که توییت اول را منتشر کرده بود، با مشاهده هجمه رسانهای زیادی که علیه مبیننت شکل گرفت، توییت ابتدایی را حذف کرد. او دراینباره نوشت: «کلا ماجرا به چیز دیگری تبدیل شد. چیزی که من منتشر کردم یک خط کد ساده بود (که عملا بیاستفاده است) و چیزی که رسانهها بازتاب دادند، استخراج بیتکوین توسط مبیننت بوده. توییت اصلی را پاک میکنم تا سوءاستفاده و تخریبهای الکی پیش نیاید.»
او همچنین گفته است نگرانی اصلیاش، بهروزرسانی نشدن مودمها و دسترسی باز برخی از آنها بوده؛ چرا که این امر میتواند موقعیتی برای سوءاستفاده ایجاد کند که هم به مرد، هم شرکت مبیننت و هم سرویسهای حساس داخلی ضربه میزند که دست کم از خارج از ایران دسترسی ندارند. او در نهایت اضافه کرد که ۹۰ درصد مودمها و روترها آسیبپذیری دارند و در خصوص مودمهای وارداتی باید حساسیت بیشتری نیز نشان داد.
محسن اخباری در واکنش به توضیحات این کاربر میگوید ممکن است چنین مسائلی در نمونه خاصی دیده شود یا دستکاری در موردی رخ بدهد و لینکی در آن رابطه منتشر شود. او اضافه میکند:
واقعیت این است که چنین مسائلی، طی فعالیت رسمی هکرهای کلاهسفید به شرکت پیش میرود و پاداشی هم به این اشخاص داده میشود. ما از کمک چنین افرادی استقبال میکنیم.
کاربر توییتر همچنین گفته سالهای پیش هم در خصوص همین موضوع اطلاعرسانی کرده؛ اما به گفتههای او توجه نشده است. اخباری میگوید اگر موردی قبلاً در خصوص مبیننت گزارش شده است، قطعا همکاران بررسی و آن را رفع کردهاند. او در مورد مسئله پیشآمده در رابطه با ماینینگ از طریق مودمها توضیح میدهد:
هر فرمور جدیدی که از تأمینکننده مودمها دریافت شود، مورد بررسی تیم فنی قرار میگیرد و اگر مشکل وجود داشته باشد، به آنها بازگردانده میشود و نسخه جدید را میگیریم. سپس دوباره آن را تست میکنیم و بهروزرسانی انجام میدهیم. این روند معمول ما است. اینکه شبکه WAN را ببندیم و چه و چه کنیم، نکات پیشفرض است که طبیعی است ازنظر فنی باید همینگونه باشد؛ درواقع راهکارهای ارائهشدهی این کاربر، نکات بسیار فیالبداهه بودند. چنین مشکلاتی در این حد ساده، با وجود بدنه فنی و تخصص گروه بزرگ مبیننت، برای ما اتفاق نمیافتد.
اخباری اضافه میکند که بااینحال، در دنیای امنیت با وجود ایمنسازی سیستمها، هکرها هر روز حفرهها و آسیبپذیریهای جدیدی پیدا میکنند و هیچ زمانی نمیتوان بهطور ۱۰۰ درصد اطمینان داشت که روی سیستم هیچ مشکل امنیتی پیش نیاید. او میگوید:
امنیت مسئلهای نسبی است. تنها میتوان حد امنیت را بهتر کرد یا واکنش به رخداد را سریعتر و مشکل را حل کرد.
طبق اعلام منبعی آگاه به زومیت، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای سازمان فناوری اطلاعات ایران (ماهر) چند ماه پیش در این خصوص به شرکت مبیننت تذکر کتبی داده بود.