آیا مودم های مبین نت بدون اطلاع مشتری، ارز دیجیتال استخراج می‌کنند؟ در دیجیتال مارک

چند روز پیش، یک کاربر ایرانی توییتر که خود را مهندس نرم‌افزار و شکارچی بدافزار معرفی کرده است، از وجود یک خط کد ماینینگ روی مودم‌های مدل SLC مبین‌نت خبر داد. این توییت واکنش کاربران زیادی را در فضای مجازی و رسانه‌ها به همراه داشت. برخی رسانه‌ها این موضوع را با عبارت «مانینیگ پنهانی مبین نت» به گوش مخاطبان رساندند. حقیقت ماجرا چیست؟

در متن توییت اصلی این کاربر آمده بود که تمام مودم‌های SLC مبین‌نت با ورژن فرم‌ور ۱.۰.۱۳ آلوده به ماینر هستند. البته او گفته بود که مشخص نیست مبین‌نت، خود به‌صورت اشتباهی فرم‌ور آلوده روی دستگاه‌ها ارسال کرده است یا شرکت چینی فروشنده‌ی دستگاه‌های مودم به مبین‌نت، فایل‌ها را به‌صورت ریموت آپدیت می‌کند.

به گفته‌ی این کاربر، بعد از لاگین به سیستم، یک اسکریپت webminer اجرا می‌شود؛ این خط در تصویر زیر مشخص است:

جدای از آنکه این توییت چه تفسیری می‌تواند داشته باشد، خیلی زود رسانه‌های داخل و بیرون از کشور، خبری با این عنوان درج کردند که مبین‌نت بدون اجازه کاربر بیت‌کوین استخراج می‌کند. این در حالی است که در توییت گفته شده خط کد آلوده به ماینر، صرفا و تنها پس از لاگین کردن در پنل مودم فعال می‌شود؛ نه حتی با ورود به پنل. آن‌گونه که می‌دانیم، کاربران زمان زیادی در پنل مدیریتی نمی‌گذرانند و تنها در صورت وجود مشکل، اقدام به لاگین در آن می‌کنند.

چنین موضوعی نشان می‌دهد که مبین‌نت با هرگونه تصوری، قصد ماینینگ با استفاده از مودم‌های کاربرانش ندارد؛ چرا که اساسا، حضور کوتاه کاربران در پنل مدیریتی نمی‌تواند بیش از چند دقیقه کوتاه به طول بیانجامد. این یعنی ترافیکی ایجاد نمی‌شود و استخراجی نمی‌تواند رخ دهد.

مبین نت چه می‌گوید

معاون فناوری اطلاعات در مبین‌نت، استخراج رمزارز از طریق مودم‌های این شرکت را تکذیب می‌کند. محسن اخباری به دیجیتال مارک می‌گوید مودم‌های SLC مبین‌نت از پیش، دارای برخی باگ‌های نرم‌افزاری و آسیب‌پذیری امنیتی بودند و تیم فنی با اطلاع از این مشکل، فرایند به‌روزرسانی را از تیرماه سال جاری آغاز کرده بود. اخباری تصریح می‌کند:

از چند روز گذشته، ما به‌طور غیر مستقیم از وجود آسیب‌پذیری روی مودم‌های SLC مبین‌نت اطلاع پیدا کردیم. البته این مدل مودم‌ها، تعداد بسیار کمی از مدل مودم‌های مبین نت را تشکیل می‌دهند. در نهایت، چند روز بعد فردی ناشناس در این مورد توییتی منتشر کرد. 

اخباری می‌گوید بررسی مبین‌نت روی مودم‌های SLC که همچنان ورژن ۱.۰.۱۳ را روی فرم‌ور خود داشتند، به نتیجه‌ی ادعاشده توسط کاربر توییتر نرسیده است و مبین‌نت نیز به یقین رسیده که انجام ماینینگ با مودم‌های این شرکت صحت ندارد. معاون IT مبین‌نت توضیح می‌دهد:

ما بیش از ۴۰۰ مودم را که هنوز از ورژن ۱.۰.۱۳ استفاده می‌کردند، مورد بررسی قرار دادیم و به هیچ مورد مشکوک یا آسیب‌پذیری نرسیدیم که نشان دهد ترافیکی به جهت ماینینگ و بدون اطلاع کاربر با سایت‌های خارجی اشاره شده، تبادل می‌شود. ضمناً، این مودم‌ها ساخت شرکت کره‌ای SEOWON هستند، نه چینی.

البته حساب توییتری مبین‌نت پس از دو روز از شکل‌گیری نگرانی‌ها حول این موضوع، توییتی را منتشر کرد که به‌نوعی، تأیید انجام شدن ماینینگ به نظر می‌رسید. در این توییت می‌خوانیم:

اخیرا نگرانی‌هایی از سوی برخی مشترکین راجع به امنیت مودم‌های SLC در شبکه‌های اجتماعی منتشر شده که بدین‌وسیله به اطلاع می‌رساند این موضوع از پیش توسط کارشناسان شناسایی و به‌روزرسانی فرم‌ور مودم‌ها به‌صورت مرحله‌ای در حال انجام‌ است و به‌زودی به اتمام خواهد رسید.

محسن اخباری می‌گوید این توییت مربوط به همان مشکلاتی بود که در تیرماه توسط مبین‌نت شناسایی و بلافاصله مرتفع شد و ارتباطی با موضوع ماینینگ نداشت. او توضیح داد:

این توییت در مورد مانینیگ با مودم‌های ما نبود و به این جهت منتشر شد که به مشترکین بگوییم مشکلاتی روی مودم SLC وجود داشته و مودم‌ها به‌روزرسانی شده‌اند. درنتیجه، به دلیل اطمینان از عدم وجود مشکل یادشده، ما بررسی‌های فنی را روی نمونه‌هایی از این مودم‌ها که هنوز در شبکه داشتیم، انجام می‌دادیم؛ در نهایت به هیچ موضوع مشکوکی نرسیدیم و توییت دوم را منتشر کردیم.

او همچنین در پاسخ به اینکه نگارنده توییت ناشناس، اسکریپ وب ماینر را به انتشار گذاشت، گفت:

آن تگ مربوط به یک iframe روی پنل یا کنسول مدیریتی مودم‌ها است که ما چنین چیزی را در پنل مشاهده نکردیم.

به گفته‌ی اخباری، بررسی همین ۴۰۰ مودم برای اینکه اطمینان حاصل شود که ماینینگ با آن‌ها انجام نمی‌شود، کفایت می‌کند. او پس از این به دیجیتال مارک گفت تمام مودم‌ها به‌روزشده و هر مودمی که خاموش باشد نیز به‌ محض روشن شدن، آپدیت می‌شود.

به گفته‌ی او، به‌روزرسانی مودم‌های SLC از تیرماه امسال آغاز شد که به‌ محض اطلاع اولیه از احتمال وجود مشکل، فرایند به‌روزرسانی مجدداً در شبکه اجرا شد تا برای مودم‌های باقی‌مانده نیز به‌روزرسانی صورت پذیرد و اگر مودم خاموشی طی این مدت به شبکه متصل شد، به‌صورت خودکار به‌روزرسانی شود. محسن اخباری اضافه می‌کند: «نمونه مودم‌های دیگر مبین‌نت هم همواره بررسی می‌شوند و اگر مدلی نیاز داشت، با اطلاع‌رسانی کاربر، به‌روزرسانی برای آن انجام می‌شود.»

اخباری توضیح می‌دهد که در شبکه مبین نت مدل‌های مختلفی از مودم‌ها وجود دارد که مدل SLC کم‌استفاده‌ترین نمونه‌ی آن‌ها است. او می‌گوید این مودم‌ها برای مبین‌نت و مشترکان شخصی‌سازی می‌شوند و به همین دلیل، به‌روزرسانی آن‌ها تنها از طریق مبین‌نت صورت می‌پذیرد. معاون IT مبین نت در ادامه اضافه می‌کند:

تمام فرایند به‌روزرسانی به ‌منظور رفع باگ یا اضافه کردن قابلیت‌های جدید، به‌صورت مرتب و دوره‌ای، از طریق کنسول مدیریتی جامع و متمرکز مودم‌ها انجام می‌شود. به‌روزرسانی مودم SLC هم به همین طریق صورت می‌گیرد.

در نهایت همان کاربری که توییت اول را منتشر کرده بود، با مشاهده هجمه رسانه‌ای زیادی که علیه مبین‌نت شکل گرفت، توییت ابتدایی را حذف کرد. او دراین‌باره نوشت: «کلا ماجرا به چیز دیگری تبدیل شد. چیزی که من منتشر کردم یک خط کد ساده بود (که عملا بی‌استفاده است) و چیزی که رسانه‌ها بازتاب دادند، استخراج بیت‌کوین توسط مبین‌نت بوده. توییت اصلی را پاک می‌کنم تا سوءاستفاده و تخریب‌های الکی پیش نیاید.»

او همچنین گفته است نگرانی اصلی‌اش، به‌روزرسانی نشدن مودم‌ها و دسترسی باز برخی از آن‌ها بوده؛ چرا که این امر می‌تواند موقعیتی برای سوءاستفاده ایجاد کند که هم به مرد، هم شرکت مبین‌نت و هم سرویس‌های حساس داخلی ضربه می‌زند که دست‌ کم از خارج از ایران دسترسی ندارند. او در نهایت اضافه کرد که ۹۰ درصد مودم‌ها و روترها آسیب‌پذیری دارند و در خصوص مودم‌های وارداتی باید حساسیت بیشتری نیز نشان داد.

محسن اخباری در واکنش به توضیحات این کاربر می‌گوید ممکن است چنین مسائلی در نمونه خاصی دیده شود یا دست‌کاری در موردی رخ بدهد و لینکی در آن رابطه منتشر شود. او اضافه می‌کند:

واقعیت این است که چنین مسائلی، طی فعالیت رسمی هکرهای کلاه‌سفید به شرکت پیش می‌رود و پاداشی هم به این اشخاص داده می‌شود. ما از کمک چنین افرادی استقبال می‌کنیم.

کاربر توییتر همچنین گفته سال‌های پیش هم در خصوص همین موضوع اطلاع‌رسانی کرده؛ اما به گفته‌های او توجه نشده است. اخباری می‌گوید اگر موردی قبلاً در خصوص مبین‌نت گزارش شده است، قطعا همکاران بررسی و آن را رفع کرده‌اند. او در مورد مسئله پیش‌آمده در رابطه با ماینینگ از طریق مودم‌ها توضیح می‌دهد:

هر فرم‌ور جدیدی که از تأمین‌کننده مودم‌ها دریافت شود، مورد بررسی تیم فنی قرار می‌گیرد و اگر مشکل وجود داشته باشد، به آن‌ها بازگردانده می‌شود و نسخه جدید را می‌گیریم. سپس دوباره آن را تست می‌کنیم و به‌روزرسانی انجام می‌دهیم. این روند معمول ما است. اینکه شبکه van را ببندیم و چه و چه کنیم، نکات پیش‌فرض است که طبیعی است ازنظر فنی باید همین‌گونه باشد؛ درواقع راهکارهای ارائه‌شده‌ی این کاربر، نکات بسیار فی‌البداهه بودند. چنین مشکلاتی در این حد ساده، با وجود بدنه فنی و تخصص گروه بزرگ مبین‌نت، برای ما اتفاق نمی‌افتد.

اخباری اضافه می‌کند که بااین‌حال، در دنیای امنیت با وجود ایمن‌سازی سیستم‌ها، هکرها هر روز حفره‌ها و آسیب‌پذیری‌های جدیدی پیدا می‌کنند و هیچ زمانی نمی‌توان به‌طور ۱۰۰ درصد اطمینان داشت که روی سیستم هیچ مشکل امنیتی پیش نیاید. او می‌گوید:

امنیت مسئله‌ای نسبی است. تنها می‌توان حد امنیت را بهتر کرد یا واکنش به رخداد را سریع‌تر و مشکل را حل کرد.

طبق اعلام منبعی آگاه به دیجیتال مارک، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای سازمان فناوری اطلاعات ایران (ماهر) چند ماه پیش در این خصوص به شرکت مبین‌نت تذکر کتبی داده بود.