استخراج بیت کوین از مودم های مبین نت – از تأیید تا تکذیب و حذف منبع خبر!

چند روز پیش کاربری در حساب توئیتر از استخراج بیت کوین از مودم های مبین نت خبر داد. این موضوع در ابتدا تلویحا توسط سرویس دهنده خدمات اینترنتی تأیید شد اما پس از یک روز ماجرا به طور کل زیر سوال رفت.  

یکی از کاربران توئیتر با نام /dev/nvram سه روز پیش در حساب توئیتر خود تصاویری با توضیح زیر منتشر کرد:

“اینکه ماجرا تقصیر مبین نت هست یا نه رو من نمیدونم قطعا
اما به شکل عجیبی تمام مودم‌های SLC مبین نت با Firmware 1.0.13 آلوده با Miner هستن. ماجرا هم به این شکل هست که بعد از لاگین به سیستم یک استکریپت webminer اجرا میشه که تو عکس زیر معلوم هست”

مبین در پاسخ به این کاربر توئیتر اعلام کرد که  این مورد به واحد مربوط اعلام و در حال پیگیری است. با این حال، کاربری که این موضوع را برای اولین بازتاب داد، راه‌حل موقتی به کاربر پیشنهاد کرد که در آن می توانند در فایروال پورت 80 / 443 را برای شبکه بی‌سیم (WAN) ببندند. او همچنین اعلا کرد که  کاربران باید دسترسی TR069 را غیرفعال کرده و آی پی آپدیت سرور را نیز برای مودم ببندند. و در نهایت آدرس استخر استخراج را توسط route یا url filtering متوقف کنند.

تأیید و تکذیب آلودگی مودم ها به اسکریپ ماینینگ

مبین نت یک روز پس از انتشار توئیت این کاربر و بازتاب زیادی که در شبکه‌های اجتماعی دریافت کرد، نسبت به ماجرا واکنش نشان داد و گفت:

“اخیرا نگرانی‌هایی از سوی برخی مشترکین راجع به امنیت مودم‌های SLC در شبکه‌های اجتماعی منتشر شده که بدینوسیله به اطلاع می‌رساند این موضوع از پیش توسط کارشناسان شناسایی و به‌روزرسانی فریم‌ویر مودم‌ها به‌صورت مرحله‌ای در حال انجام‌ است و به‌زودی به اتمام خواهد رسید.”

در این نقطه از ماجرا مبین‌نت اعلام می‌کند که چنین مشکلی وجود داشته و آنها از قبل از آن مطلع بودند و در حال بروزرسانی مودم‌ها هستند. اما در رشته توئیتی که این شرکت روز گذشته منتشر کرد، موضوع از اساس زیر سوال رفت و لحن بیان این موضوع نیز تغییر کرد. مبین نت در توضیحات جدیدتر خود گفت:

“پیرو اخبار درج شده در برخی رسانه‌های مجازی، مبنی‌بر احتمال وجود بدافزار در یکی از نسخه‌های نرم‌افزاری مودم‌های SLC، نکات زیر جهت اطلاع مشترکین اعلام می‌شود:
خبر مذکور به استناد توییت یک فرد ناشناس و بدون ارائه شواهد معتبر فنی تنظیم شده و تاکنون صحت آن به تایید مبین‌نت نرسیده است.

احتمال مطرح شده، صرفا مربوط به مودم مدل SLC ساخت شرکت SEOWON  کره جنوبی و منحصر به یک نسخه قدیمی از Firmware آن (1.0.13) بوده و هیچ ارتباطی با سایر مدل‌های پرکاربرد مودم‌های شرکت ارتباطات مبین‌نت ندارد.
نسخه مذکور Firmware، پیش‌تر در تیرماه سال 99 در فرآیند ارزیابی دوره‌ای مبین‌نت، برای بخش عمده مشترکین دارای این مودم به‌روزرسانی شده است؛ با این وجود و علیرغم تعداد بسیار محدود مودم‌های با مدل مذکور و  Firmware  قدیمی (کمتر از یک درصد) تیم مدیریت رخداد مبین‌نت به محض اطلاع از خبر مذکور (پیش از انتشار) علیرغم تایید نشدن خبر، اقدامات کنترلی پیشگیرانه را در اين خصوص انجام داده است.”

حذف اکانت “فرد ناشناس” با اعلام استخراج بیت کوین از مودم های مبین نت

مبین نت در حالی ادعا کرده است که “فرد ناشناس” شواهد فنی معتبر ارائه نکرده است که کاربر مذکور در اولین تویئت خود تصویری ارائه شده بود که خط مربوط به سورس کد آلوده در آن هایلایت شده بود. در هرحال، پس از انتشار این رشته توئیت توسط مبین نت، اکانت /dev/nvram از دسترس خارج شده و تا زمان نگارش این مطلب باز نگشته است. مشخص نیست که آیا این کاربر به انتخاب خود حسابش را غیرفعال کرده و یا دلیل دیگری در پشت ماجرا وجود دارد. اما در صورت کسب اطلاعات بیشتر، نسخه تکمیلی این خبر منتشر خواهد شد.