حمله بدافزار خطرناک VPNFilter به بیش از 100 کشور دنیا

حمله بدافزار خطرناک VPNFilter به بیش از 100 کشور دنیا

بدافزار VPNFilter بیش از 100 کشور دنیا را مورد حمله قرار داده. دستگاه‌های mikrotik، ذخیره سازهای تحت شبکه مثلQNAP و... هدف اصلی این بدافزار هستند. این بدافزار قدرت خود را از سرور C&C می‌گیرد.

VPNFilter، بدافزار خطرناک جدیدی که دستگاه‌ها و روترهای اینترنت اشیا را قرار داده است، در حال گسترش در بیش از 100 کشور در سراسر دنیاست و تاکنون توانسته است بیش از 500 هزار دستگاه را آلوده کند.

شرکت سیسکو که در حال بررسی این بدافزار است، اعلام کرده است که هنوز بررسی VPNFilter به اتمام نرسیده است اما ازآنجایی‌که این حمله می‌تواند آثار بسیاری نگران‌کننده باشد سیسکو اطلاعات موجود را به‌صورت عمومی منتشر کرده است.

دستگاه‌های هدف بدافزار VPNFilter

بنا به گزارشات کمپانی سیسکو دستگاه‌های Linksys، Mikrotik، NETGEAR، تجهیزات شبکه‌ای دفاتر کوچک و منازل SOHO مانند TP-Linkو دستگاه‌های ذخیره‌سازی تحت شبکه NAS مانند QNAP هدف این بدافزار بوده‌اند؛ اما دستگاه‌های موجود از سایر برندها هدف این بدافزار نبوده‌اند.

بررسی سیسکو روی پورت‌های TCP هم همین مسئله را نشان می‌دهد. پورت‌های 23، 80، 2000، 8080 دستگاه‌های آلوده نشان می‌دهد که هدف این حمله بیشتر دستگاه‌های NAS مربوط به QNAP و Mikrotik هستند.

روش کار بدافزار VPNFilter

مرحله اول

بدافزار VPNFilter بدافزار خطرناک و چند مرحله‌ای است که در مرحله اول سعی می‌کند تا مجدداً دستگاه موردحمله را راه‌اندازی کنند اما معمولاً بدافزارها بعد از راه‌اندازی مجدد، روی دستگاه آلوده باقی نمی‌مانند. با این اوصاف به نظر می‌رسد که مرحله اول این حمله، آماده‌سازی مقدمات برای مرحله دوم حمله است. این مرحله تفاوت اصلی بدافزار VPNFilter با سایر بدافزارهای دستگاه‌های اینترنت اشیا است.

بدافزار VPNFilter در مرحله اول به چندین سرور C&C (مخفف command and control server) متصل می‌شود و از این سرورها IP می‌گیرد.

سرور C&C کامپیوترهایی هستند که برای هماهنگی سیستم‌های آلوده به بدافزارها، باج افزارها و... به کار گرفته می‌شوند. سیستم‌های آلوده به سرور C&C متصل می‌شوند و به‌روزرسانی‌ها و دستورالعمل‌ها و اطلاعات موردنیاز برای انواع حمله را دریافت می‌کنند. ضمناً از این سرورها به‌عنوان نقطه تخلیه اطلاعات دزدیده شده هم می‌تواند استفاده شود.

مرحله دوم

این بدافزار در مرحله دوم به استخراج اطلاعات می‌پردازد. مثلاً جمع‌آوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه در این مرحله انجام می‌شود.

بعضی از نسخه‌های این بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارند پس با بدست گرفتن کنترل Firmware دستگاه و راه‌اندازی مجدد آن، باعث از کار افتادن دستگاه می‌شوند.

مرحله سوم

VPNFilter در مرحله سوم از پلاگین‌های مختلفی استفاده می‌کند که تاکنون دو نمونه از این پلاگین‌ها شناسایی شده است. یکی از این دو پلاگین packet sniffer که روی ترافیک شبکه نظارت می‌کند تا اطلاعات احراز هویت سایت‌ها را به سرقت ببرد و روی پروتکل‌های Modbus SCADA نظارت کند. پلاگین دوم یک ماژول ارتباطی است که برای بدافزار مرحله دوم امکان ارتباط از طریق شبکه Tor را فراهم می‌کند.

 

جلوگیری از آسیب‌های ناشی از VPNFilter

دستگاه‌های مورد هدف VPNFilter همگی مستقیماً به اینترنت متصل می‌شوند بنابراین هیچ لایه امنیتی میان این دستگاه‌ها و هکرها وجود ندارد. از طرف دیگر بیشتر این دستگاه‌های مورد هدف حمله، قابلیت‌های ضد بدافزاری و آنتی‌ویروس را ندارند. ضمناً دریافت پچ‌های امنیتی روی این دستگاه‌ها برای کاربران معمولی کار ساده‌ای نیست.

به تمامی دلایل گفته شده جلوگیری از تهدیدهای این بدافزار کار دشواری است اما سیسکو توصیه‌هایی را برای جلوگیری از آسیب‌های حمله VPNFilter ارائه داده است که به ترتیب زیر است:

  1. کاربران روترهای SOHO و دستگاه‌های NAS، دستگاه‌های خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله 2 و 3 از دستگاه حذف شوند.
  2. ارائه‌دهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران مجدداً راه‌اندازی کنند.
  3. فوراً آخرین پچ‌های امنیتی برای همه دستگاه‌های مورد هدف دریافت و نصب شوند.
  4. ارائه‌دهندگان سرویس اینترنت مطمئن شوند که دستگاه‌های مشتریان دارای آخرین نسخه‌های نرم‌افزار یا Firmware باشند.

 

البته سیسکو برای مهار این حملات خود دست‌به‌کار شده است و بیش از 100 نمونه snort را برای جلوگیری از این تهدید ارائه کرده است. Snort سیستم متن‌باز پیشگیری از حمله‌ای که کمپانی سیسکو منتشر می‌کند. این سیستم ترافیک شبکه را آنالیز می‌کند، از IPها لاگ برداری می‌کند، پروتکل‌ها و متن‌ها را تحلیل می‌کند. به‌این‌ترتیب این Snortها قادر هستند با تشخیص انواع حملات، اسکن پورت‌های مشکوک و... باعث جلوگیری از حملات شود.

ضمناً سیسکو دامنه‌ها، IPها و هش فایل‌های مخرب را هم محدود کرده و در black list قرار داده است.

 

پیشنهاد فیسیت : توصیه FBI برای حذف بدافزار VPNFilter

ما را در شبکه‌های اجتماعی مختلف همراهی کنید:

کانال تلگرام با آیدی faceitmag@

توییتر با آیدی faceit_ir@

اینستاگرام با آیدی faceit_mag@

کانال سروش با آیدی faceit_mag@


0 نظر درباره‌ی این پست نوشته شده است.

ثبت نظر