کمیته رکن چهارم – کارشناسان امنیت سایبری هشدار دادند که برنامه Swing VPN یک باتنت DDoS است.
برنامه Swing VPN یک برنامه فیلترشکن قانونی است که توسط Limestone Software Solutions برای سیستم عاملهای اندروید و iOS توسعه یافته است. با این حال، به گفته یک محقق امنیت سایبری، نسخه اندروید این برنامه یک باتنت DDoS است و گفته میشود که دارای اهداف مخربی است زیرا میتواند حملات انکار سرویس توزیع شده (DDoS) را انجام دهد.
این برنامه بیش از ۵ میلیون بار و بهخصوص توسط کاربران ایرانی به دلیل محدودیتهای شدید اینترنتی در کشور دانلود شده است.
همه چیز از زمانی شروع شد که کاربران این برنامه VPN الگوی درخواستهای غیرمعمولی روی گوشی خود مشاهده کردند. گوشی به صورت مداوم درخواستها را هر ۱۰ ثانیه به یک وبسایت خاص ارسال میکرد. ادعا میشد که اپلیکیشن از تاکتیکهای مختلفی برای پنهان کردن اقدامات خبیثانهاش استفاده کرده است تا حمله بهصورتی که قابل تشخیص نباشد، انجام شود.
برنامه Swing VPN در گوگل پلی
محقق امنیت سایبری این مشکل را به علت وجود نرمافزار مخرب یا ویروس میپنداشت. با این حال، بررسیهای بیشتر نشان داد که تمام درخواستها از اپلیکیشن Swing VPN ارسال میشوند که کاربر آن را در گوشی خود نصب کرده بود. درخواستها به همان وبسایتی ارسال میشدند که تاکنون به آن دسترسی وجود نداشت یا بازدیدی از آن نشده بود که این امر باعث شک و تردید پژوهشگر نسبت به این اپلیکیشن شد.
محقق امنیتی برای بررسیهای بیشتر درخواستهای برنامه را زیر نظر گرفت و متوجه شد که اپلیکیشن Swing VPN برخی از درخواستها را به یک وبسایت ارسال میکند.
او مشخص کرد که اپلیکیشن بلافاصله پس از نصب، انتخاب زبان و پذیرش سیاست حفظ حریم خصوصی، آدرس IP واقعی را تشخیص میدهد. سپس یک درخواست با عنوان «What is my IP?» به بینگ و گوگل ارسال میکند. در این تحقیق همچنین مشخص شد که اصولاً برای یافتن فایلهای پیکربندی جهت بارگذاری آدرسهای IP را از پاسخها استخراج میکند.
بعد از شناسایی نوع پیکربندی مورد نیاز، اپلیکیشن درخواستهایی به دو فایل پیکربندی متفاوت که در حساب گوگل درایو شخصی توسعهدهنده ذخیره شدهاند، ارسال میکند. این فایلها از سرورهای شخصی خاص، چند مخزن GitHub یا حسابهای گوگل درایو درخواست میشوند. اپلیکیشن فرآیند مقدماتی خود را با اتصال به شبکه تبلیغاتی برای بارگذاری تبلیغات انجام میدهد و در نهایت پیش از رفتن به یک سایت دادهها را در حافظه محلی ذخیره میکند DDoS.
تا ژوئن ۲۰۲۳، این اپلیکیشن بیش از ۵ میلیون نصب بر روی اندروید داشته است و با تقسیم آن بر ده، پتانسیلی حدود ۵۰۰ هزار درخواست بر ثانیه (RPS) ایجاد میکند. این برای یک حمله DDoS به شدت قابل توجه است.
محقق امنیتی این پژوهش به گوگل انتقاد کرد که سیستم امنیتی ضعیفی دارد که به اپلیکیشنهای مخرب امکان استفاده از دستگاههای کاربران بیگناه را میدهد.
منبع: افتانا