حمله Erebus یکی از تهدیدات نوظهور در دنیای امنیت سایبری بلاک چین است که گمان می‌رود در آینده‌ای نزدیک توسط هکرها برای ایجاد تغییرات گسترده در شبکه‌های بلاکچینی مورد استفاده قرار گیرد. این نوع حمله مدت‌ها موضوع بحث کارشناسان بوده و برخی معتقدند که وقوع آن اجتناب‌ناپذیر است. برای درک بهتر این حمله سایبری، در این مطلب به بررسی جزئیات آن خواهیم پرداخت. توضیح خواهیم داد که حمله Erebus چیست، مکانیسم اجرای آن چگونه است، چه روش‌هایی برای پیشگیری از آن وجود دارد.

حمله Erebus نوعی حمله است که می‌تواند بر شبکه ارزهای دیجیتال مانند بیت کوین و سایر دارایی‌هایی که از کدهای مشابه این شبکه استفاده می‌کنند، تأثیر بگذارد و عملکرد آن‌ها را تغییر دهد. اثرگذاری این نوع از حملات تا اندازه‌ای است که می‌تواند عملکرد عادی شبکه را به‌راحتی مختل و غیرممکن کند. جالب است بدانید این حمله سایبری یکی از کمتر شناخته‌شده‌ترین حملات در دنیای بلاک چین و دارایی‌های دیجیتال است و هنوز آن طور که باید، به ابعاد و جنبه‌‌های این حمله پرداخته نشده است.

اگر بخواهیم این روش تازه هکرها را به یکی از خرابکاری‌های سایبری نسبت دهیم، به‌خوبی می‌توانیم ببینیم که بیشترین شباهت را به حملات Distributed Denial of Service یا به‌اصطلاح حملات DDoS دارد. این اختلال یا تهاجم به اندازه‌ای قدرتمند است که می‌تواند کنترل کل شبکه یک ارز دیجیتال را در اختیار بگیرد و آن را به‌ معنای واقعی کلمه غیر قابل استفاده کند. چنین حملاتی با این طیف از گستردگی، یک تهدید بالقوه برای حوزه کریپتو به شمار می‌روند و قادرند ماهیت غیر متمرکز شبکه‌های بلاک چینی را به کل دگرگون سازند.

با وجود تأثیرات عمیق و گسترده‌ای که این حمله می‌تواند بر صنعت ارزهای دیجیتال داشته باشد، توسعه‌دهندگان به مرور زمان آگاهی بیشتری نسبت به این نوع حملات پیدا کرده‌اند و در حال طراحی اقدامات پیشگیرانه برای جلوگیری از وقوع چنین حملاتی در آینده هستند. اما این نوع حمله چگونه کشف شد و چه کسانی برای اولین بار توجه به این موضوع را جلب کردند؟

طبق اطلاعات موجود، ایده وقوع این حمله ابتدا توسط گروهی از دانشجویان دانشگاه بین‌المللی سنگاپور مطرح شد. مووی تران (Muoi Tran)، اینهو چوی (Inho Choi)، گی جون مون (Gi Jun Moon)، و آنه وی وو (Anh V. Vu) در مقاله‌ای با عنوان «مخفیانه‌ترین حمله پارتیشنینگ علیه شبکه همتا به همتای بیت کوین» (A Stealthier Partitioning Attack against Bitcoin Peer-to-Peer Network) این موضوع را به شکلی جامع بررسی کردند.

در این مقاله تأکید شده بود که شبکه بیت کوین ممکن است در برابر حملات از نوع Erebus Attack آسیب‌پذیر باشد. نویسندگان مقاله از توسعه‌دهندگان و کارشناسان امنیتی خواستند که برای مقابله با چنین تهدیداتی تدابیری اتخاذ کنند. آن‌ها همچنین به برخی از حملات مشابه، مانند حملات ربودن کلیپ‌بورد بیت‌ کوین و حمله اکلیپس اشاره کردند، اما توضیح دادند که حمله Erebus به مراتب پیچیده‌تر است.

برخلاف حملات پیشین که با رفع نواقص شبکه تقریباً مهار شدند، حمله Erebus بسیار دشوارتر برای شناسایی و جلوگیری است. دلیل اصلی این پیچیدگی، استفاده از Data Plane یا همان بخشی از شبکه است که ترافیک کاربران را منتقل می‌کند. این ویژگی باعث می‌شود حمله هیچ اثر مشخصی از خود باقی نگذارد و شناسایی آن بسیار دشوار شود.

یکی از ابزارهای کلیدی در حمله Erebus توانایی مهاجم در ایجاد آی‌پی‌های جعلی یا IP Shadowing است. این تکنیک می‌تواند تا چند هفته ادامه یابد، به گونه‌ای که مهاجم قادر است خود را با استفاده از میلیون‌ها آی‌پی مختلف پنهان کند، در نتیجه شناسایی و مهار حمله تقریباً غیرممکن می‌شود.

جالب است بدانید که نام این حمله از Erebus، خدای تاریکی در اساطیر یونان باستان الهام گرفته شده است. ارباس به دلیل ماهیت آشوبگر و ذات شیطانی خود نماد تاریکی و هرج‌ومرج است. این ویژگی‌ها به خوبی ماهیت مخرب و پنهان این حمله را منعکس می‌کنند.

حمله Erebus چیست

یک شبکه ارز دیجیتال به‌طور ساده مجموعه‌ای از رایانه‌ها است که نرم‌افزارهای مشخصی را اجرا می‌کنند و در سراسر جهان با یکدیگر در ارتباط هستند. این رایانه‌ها از طریق یک پروتکل یا زبان مشترک اطلاعات را ارسال و دریافت می‌کنند و این ساختار ارتباطی غیرمتمرکز امکان همکاری بین آن‌ها را فراهم می‌سازد. به‌عنوان نمونه، یک کامپیوتر در اسپانیا که نرم‌افزار بیت‌ کوین را اجرا می‌کند، می‌تواند داده‌ها را با رایانه‌های دیگری در نقاط مختلف دنیا تبادل کند، بدون نیاز به سرور مرکزی یا واسطه‌ای.

این ساختار غیرمتمرکز یکی از اصول کلیدی شبکه‌های همتا به همتا در ارزهای دیجیتال است. اما اینترنت که واسطه ارتباط بین نودهای این شبکه‌ها است، به‌طور کامل غیرمتمرکز نیست. این وابستگی می‌تواند هم یک نقطه قوت باشد و هم یک ضعف. ارائه‌دهندگان خدمات اینترنت (ISPها) به دلیل ماهیت متمرکز خود قادرند ارتباطات کاربران را محدود یا دستکاری کنند.

به‌عنوان نمونه، در اسپانیا، اپراتور مخابراتی مویستار (Movistar) و دولت این کشور برخی وب‌سایت‌ها را سانسور می‌کنند. چنین محدودیت‌هایی در چین و سایر کشورها نیز وجود دارد. این مسأله نشان می‌دهد که اینترنت به‌رغم حیاتی بودن برای شبکه‌های ارز دیجیتال، می‌تواند به‌عنوان یک نقطه آسیب‌پذیری عمل کند و فرصتی برای حملاتی مانند Erebus Attack ایجاد کند.

حمله ارباس، نوعی حمله سایبری پیچیده است که با تأثیرگذاری بر توانایی نودهای شبکه بیت‌ کوین برای ارتباط، می‌تواند عملکرد شبکه را مختل کند. در این حمله، مهاجم از روشی شبیه به حمله مرد میانی (MITM) استفاده می‌کند. او ابتدا ارتباط‌های سالم را به‌طور نامحسوس ربوده و آن‌ها را با اتصالات جعلی جایگزین می‌کند. این فرآیند به تدریج کنترل شبکه را به دست مهاجم می‌دهد و او می‌تواند داده‌های جعلی یا مخرب را به شبکه ارسال کند.

نتیجه این حمله، ایجاد اختلال در اجماع شبکه است؛ یعنی شبکه قربانی از هماهنگی خارج شده و گسسته می‌شود. در چنین شرایطی، مهاجم می‌تواند حملات خطرناکی مانند دابل اسپندینگ یا حمله ۵۱ درصدی را اجرا کند.

شاید این حملات به نظر تئوری باشند، اما در عمل امکان‌پذیرند؛ چراکه شبکه‌های ارز دیجیتال مبتنی بر نودهایی هستند که از طریق اینترنت و پروتکل‌های مشخص با یکدیگر در ارتباط‌ هستند. این پروتکل‌ها به نودها اجازه می‌دهند درباره مواردی مانند اعتبارسنجی تراکنش‌ها یا ساخت بلاک‌ها به اجماع برسند. اما اگر مهاجم بتواند این ارتباطات را کنترل کند، می‌تواند بر عملکرد بلاک‌ چین تأثیر بگذارد.

یکی از جنبه‌های نگران‌کننده حمله ارباس، ساده بودن اجرای آن است. برخلاف حملات دیداس که به شبکه‌ای بزرگ از رایانه‌ها نیاز دارند، ارباس با منابع محدود قابل اجراست. به گفته کارشناسان، حتی با یک رایانه متوسط و دسترسی به شبکه Tier 1 یا Tier 2 می‌توان این حمله را در عرض ۵ تا ۶ هفته انجام داد و شبکه‌ای مانند بیت‌ کوین را مختل کرد.

سیستم Tier، معیاری برای تعیین قابلیت‌های یک مرکز داده است. در حمله ارباس، هکرها با دسترسی به شبکه‌های Tier 1 یا Tier 2 می‌توانند جریان داده‌ها و ترافیک اینترنت را دستکاری کنند. این توانایی، فرصتی مناسب برای مهاجمان ایجاد می‌کند تا ارتباطات شبکه‌های بلاک‌چینی را به نفع خود تغییر دهند و حملاتی نامحسوس اما بسیار مؤثر انجام دهند.

عملکرد erebus

حمله Erebus به دلیل ویژگی‌های خاص خود می‌تواند به‌صورت کاملاً مخفیانه انجام شود. مهاجم ممکن است روزها یا حتی هفته‌ها پیش از اقدام نهایی، عملیات اولیه خود را بر روی شبکه آغاز کرده باشد. با این حال، تا زمانی که اقدامی مخرب خارج از محدوده‌های عادی شبکه رخ ندهد، آثار این حمله به‌وضوح قابل مشاهده نخواهد بود.

یکی دیگر از ویژگی‌های قابل توجه این حمله، سرعت بالای اجرای آن است. در واقع، ارائه‌دهندگان خدمات اینترنتی در سطوح Tier-1 یا Tier-2، یعنی شبکه‌های بزرگ و پیشرفته، می‌توانند این حمله را بدون چالش جدی اجرا کنند. بررسی‌های انجام‌شده نشان می‌دهد که یک شبکه Tier-2 حتی با استفاده از یک رایانه معمولی قادر است ظرف مدت ۶ هفته حمله Erebus را عملیاتی کند. با بهره‌گیری از سرورهای قدرتمندتر و پیشرفته‌ای مانند سرویس‌های ابری آمازون یا گوگل، این مدت زمان می‌تواند به میزان چشمگیری کاهش یابد.

این توانایی، حمله Erebus را به تهدیدی جدی و پیچیده تبدیل کرده که شناسایی و مقابله با آن را دشوار می‌سازد. هرچه تجهیزات پیشرفته‌تری در حمله به کار گرفته شود، اجرای آن پیچیده‌تر می‌شود و به همان نسبت مقابله با آن دشوارتر و گاه غیرممکن خواهد بود. محققان برای بررسی این نوع حمله، آن را بر روی شبکه بیت‌ کوین آزمایش کرده‌اند و بیت‌کوین را به‌عنوان نخستین شبکه هدف این حمله معرفی کرده‌اند.

علت این انتخاب، آسیب‌پذیری بیشتر پروتکل همتا به همتای بیت‌ کوین در برابر این حملات است. علاوه بر این، سایر ارزهای دیجیتالی که از این پروتکل استفاده می‌کنند نیز در برابر چنین حملاتی در معرض خطر مشابهی قرار دارند. به‌عنوان نمونه، می‌توان به ارزهایی مانند بیت‌ کوین کش، لایت‌ کوین، دش، کوانتوم، دیجی‌بایت و زی‌کش اشاره کرد که به دلیل استفاده از پروتکل‌های مشابه، حساسیت بیشتری به این نوع حملات دارند.

در مقابل، برخی از ارزهای دیجیتال که از پروتکل‌های گاسیپ یا نسخه‌های اصلاح‌شده آن بهره می‌برند، مانند اتریوم، در برابر این نوع حملات ایمن‌تر هستند. این ارزها قادرند به‌سرعت هرگونه حمله یا تلاش برای دستکاری نودها را شناسایی و از آن جلوگیری کنند.

برای اجرای حمله ارباس، هکرها باید از دو عامل کلیدی بهره ببرند تا بتوانند عملیات خود را به‌صورت موفقیت‌آمیز انجام دهند. این عوامل شامل موارد زیر هستند:

کنترل شبکه‌های اینترنتی تحت مدیریت سیستم‌های خودگردان (Autonomous System): سیستم‌های خودگردان مجموعه‌ای از شبکه‌ها هستند که توسط یک نهاد مرکزی مدیریت می‌شوند. این سیستم‌ها امکان کنترل و تغییر مسیر ترافیک شبکه‌های تحت پوشش خود را دارند و می‌توانند تصمیم بگیرند داده‌ها چگونه جریان پیدا کنند و به کجا هدایت شوند.

شناسایی نقاط ضعف در اتصالات میان نودها: هکرها برای سوءاستفاده از این آسیب‌پذیری‌ها، اتصالات شبکه را تغییر می‌دهند. با کنترل یک سیستم خودگردان، امکان تغییر مسیر نودها و هدایت آن‌ها به گره‌های تحت کنترل مهاجم فراهم می‌شود.

این اقدامات به مهاجم اجازه می‌دهد که اتصالات نودهای شبکه قربانی را دستکاری کرده و مسیر داده‌ها را به دلخواه تغییر دهد. این روند می‌تواند پیامدهای گسترده‌ای به‌دنبال داشته باشد از جمله:

  • اختلال در قوانین اجماع: مهاجم با تغییر مسیر ارتباطات نودها و هدایت آن‌ها به شبکه‌هایی با قوانین اجماعی تغییر‌یافته، می‌تواند کل شبکه را از مسیر اصلی منحرف کند و حتی یک هارد فورک ایجاد کند.
  • دستکاری در قدرت استخراج: مهاجمان می‌توانند ارتباطات نودها و ماینرها را تغییر دهند و از این طریق کنترل بخشی از قدرت استخراج را به‌دست بگیرند. این دستکاری امکان حملات ۵۱ درصدی و دستکاری تراکنش‌ها را برای مهاجم فراهم می‌کند.
  • تأثیر بر لایه‌های دوم و زنجیره‌های جانبی: حمله ارباس می‌تواند به زنجیره‌هایی مانند شبکه لایتنینگ که به شبکه اصلی وابسته هستند آسیب بزند. تغییرات در بیت‌کوین، به‌عنوان مثال، عملکرد شبکه لایتنینگ را نیز مختل خواهد کرد.

علاوه بر این، ویژگی‌های خاص حمله ارباس باعث می‌شود خطرات آن افزایش یابد:

  • عدم شناسایی: اقدامات مهاجم می‌تواند برای مدت‌ها شناسایی نشود و حمله تا مراحل نهایی پنهان باقی بماند.
  • اجرای سریع: ارائه‌دهندگان خدمات اینترنتی سطح Tier-1 یا Tier-2 می‌توانند این حملات را به‌راحتی پیاده‌سازی کنند.
  • پیچیدگی در مقابله: روش‌های مقابله با این نوع حمله پیچیده هستند و رفع آن را دشوار می‌کنند.

این عوامل نشان‌دهنده میزان جدی بودن تهدیدی است که حمله ارباس برای شبکه‌های بلاک‌چینی ایجاد می‌کند.

نمونه حمله erebus

شرکت نایانا (Nayana)، ارائه‌دهنده خدمات میزبانی وب در کره جنوبی، اعلام کرد که به دنبال حمله باج‌افزاری به سرورهای خود، مبلغی حدود ۱ میلیون دلار به‌صورت بیت‌ کوین به هکرها پرداخت کرده است تا اطلاعات و فایل‌های رمزگذاری‌شده خود را بازگرداند.

به نظر می‌رسد این شرکت به‌تازگی از آلودگی سرورهای خود به این باج‌افزار مطلع شده و دو روز پس از شناسایی، این موضوع را در وب‌سایت رسمی خود گزارش داده است. مدیرعامل نایانا در مصاحبه‌ای تأیید کرد که بیش از ۱۵۳ سرور لینوکسی شرکت تحت تأثیر این حمله قرار گرفته و اطلاعات بیش از ۳۴۰۰ مشتری توسط باج‌افزاری به نام Erebus رمزگذاری شده است. مشابه سایر حملات باج‌افزاری، هکرها خواستار پرداخت مبلغی به‌صورت بیت‌ کوین شدند.

در اولین تماس، هکرها مبلغ ۵۵۰ بیت‌ کوین (حدود ۱.۶۲ میلیون دلار) درخواست کردند، اما مدیرعامل شرکت، چیل هانگ، این مبلغ را غیرقابل پرداخت دانسته و اعلام کرد که چنین هزینه‌ای می‌تواند منجر به ورشکستگی کامل شرکت شود. پس از دو روز مذاکره، طرفین بر پرداخت ۳۹۷.۶ بیت‌ کوین (تقریباً ۱ میلیون دلار) توافق کردند، که قرار شد در سه قسط پرداخت شود. این شرکت بعداً خبر از پرداخت دو قسط از مبلغ توافق‌شده داد و افزود که فرآیند رمزگشایی فایل‌ها، به دلیل حجم بالای اطلاعات، ممکن است تا ۱۰ روز زمان ببرد.

در مورد مشابهی، در سال ۲۰۱۶، نسخه دیگری از باج‌افزار Erebus دستگاه‌های دارای سیستم‌عامل ویندوز را هدف قرار داده بود. اما نسخه جدیدی که سرورهای نایانا را تحت تأثیر قرار داده، به‌طور خاص سیستم‌های لینوکسی را هدف گرفته است. هنوز مشخص نیست که آیا هر دو نسخه توسط یک فرد یا گروه طراحی و توسعه داده شده‌اند یا خیر.

توسعه‌دهندگان بیت‌ کوین، با آگاهی از خطرات حمله Erebus، اقدام به ایجاد تغییرات اساسی در شبکه خود کرده‌اند تا احتمال وقوع چنین حملاتی را کاهش دهند. در نسخه 0.20.0 نرم‌افزار Bitcoin Core، تابعی به نام asmap اضافه شد که هدف اصلی آن محافظت از شبکه بیت‌ کوین در برابر تهدیداتی است که توسط سیستم‌های خودگردان (AS) یا اپراتورهای اینترنتی ایجاد می‌شود. دو نقش asmap در افزایش امنیت به شرح زیر میباشد:

محافظت از اتصالات نودها: این تابع از شبکه در برابر دستکاری‌هایی که توسط ارائه‌دهندگان خدمات اینترنتی یا اپراتورهای شبکه‌های بزرگ انجام می‌شود، محافظت می‌کند. چنین دستکاری‌هایی می‌توانند مسیر ارتباطات نودها را مختل کرده و به مهاجمان اجازه دهند تا کنترل بیشتری روی شبکه داشته باشند. Asmap فرایند دستکاری و ربایش اتصالات را پیچیده‌تر می‌کند.

ایمن‌سازی در برابر پروتکل BGP: این پروتکل، که وظیفه مدیریت مسیرهای ترافیک اینترنت را برعهده دارد، در حملات Erebus مورد سوءاستفاده قرار می‌گیرد. مهاجمان می‌توانند از آن برای کنترل و دستکاری اتصالات نودها استفاده کنند. تابع asmap از این نوع دستکاری جلوگیری کرده و ارتباطات میان نودها را ایمن‌تر می‌سازد.

همچنین سایر اقدامات امنیتی در بیت‌ کوین به شرح زبر میباشد:

  • افزایش تعداد اتصالات نودها: پیش‌تر هر نود در شبکه بیت‌کوین تنها به ۱۰ نود دیگر متصل بود، اما اکنون این تعداد به ۱۲۵ اتصال افزایش یافته است. این تغییر باعث توزیع بیشتر شبکه و کاهش آسیب‌پذیری آن می‌شود.
  • تنوع در اتصالات نودها: پیش از این، احتمال اتصال نودها به دیگر نودهای متعلق به یک گروه یا اپراتور اینترنتی خاص بیشتر بود. این وضعیت می‌توانست مزیتی برای مهاجمان باشد. اکنون، نودها به‌گونه‌ای طراحی شده‌اند که به نودهایی در نقاط جغرافیایی مختلف متصل شوند، و احتمال دستکاری توسط یک اپراتور خاص به‌شدت کاهش یافته است.

علاوه بر بیت‌ کوین، دیگر پروژه‌های رمزارزی نظیر لایت‌ کوین که بر پایه کد بیت‌ کوین توسعه یافته‌اند، از روش‌های مشابهی برای افزایش امنیت بهره برده‌اند. توسعه‌دهندگان لایت‌ کوین، با الهام از تغییرات انجام‌شده در بیت‌ کوین، اقدام به تقویت امنیت شبکه خود کرده‌اند.

این تلاش‌ها نشان می‌دهد که تیم‌های توسعه‌دهنده ارزهای دیجیتال از تهدیدهای بالقوه آگاه بوده و به‌طور مداوم در حال ارتقای امنیت شبکه‌های خود هستند. امنیت یکی از اصلی‌ترین ویژگی‌های ارزهای دیجیتال است و توسعه‌دهندگان می‌دانند که برای حفظ اعتماد کاربران باید لایه‌های امنیتی را به‌طور مستمر تقویت کنند.

اینترنت برای ارزهای دیجیتالی مانند بیت‌ کوین، به‌عنوان یک ابزار حیاتی و در عین حال تهدیدی بالقوه عمل می‌کند. در حالی که این شبکه‌ها برای عملکرد خود به اینترنت وابسته‌اند، همین وابستگی می‌تواند بستری برای حملات خطرناک توسط مهاجمان فراهم کند. خوشبختانه، توسعه‌دهندگان این حوزه با انتشار مقالات تخصصی و ارائه به‌روزرسانی‌هایی نظیر نسخه Bitcoin Core 0.20.0 تلاش کرده‌اند آسیب‌پذیری‌ها را کاهش دهند و راه‌های نفوذ را مسدود کنند تا از حملاتی مانند Erebus Attack جلوگیری شود. در این مقاله سعی کردیم به توضیح کامل Erebus بپردازیم و علاوه بر ویژگی های آن راهکار مقابله با آن را نیز بیان نمودیم.