بدافزار VPNFilter بیش از 100 کشور دنیا را مورد حمله قرار داده. دستگاههای mikrotik، ذخیره سازهای تحت شبکه مثلQNAP و... هدف اصلی این بدافزار هستند. این بدافزار قدرت خود را از سرور C&C میگیرد.
VPNFilter، بدافزار خطرناک جدیدی که دستگاهها و روترهای اینترنت اشیا را قرار داده است، در حال گسترش در بیش از 100 کشور در سراسر دنیاست و تاکنون توانسته است بیش از 500 هزار دستگاه را آلوده کند.
شرکت سیسکو که در حال بررسی این بدافزار است، اعلام کرده است که هنوز بررسی VPNFilter به اتمام نرسیده است اما ازآنجاییکه این حمله میتواند آثار بسیاری نگرانکننده باشد سیسکو اطلاعات موجود را بهصورت عمومی منتشر کرده است.
دستگاههای هدف بدافزار VPNFilter
بنا به گزارشات کمپانی سیسکو دستگاههای Linksys، Mikrotik، NETGEAR، تجهیزات شبکهای دفاتر کوچک و منازل SOHO مانند TP-Linkو دستگاههای ذخیرهسازی تحت شبکه NAS مانند QNAP هدف این بدافزار بودهاند؛ اما دستگاههای موجود از سایر برندها هدف این بدافزار نبودهاند.
بررسی سیسکو روی پورتهای TCP هم همین مسئله را نشان میدهد. پورتهای 23، 80، 2000، 8080 دستگاههای آلوده نشان میدهد که هدف این حمله بیشتر دستگاههای NAS مربوط به QNAP و Mikrotik هستند.
روش کار بدافزار VPNFilter
مرحله اول
بدافزار VPNFilter بدافزار خطرناک و چند مرحلهای است که در مرحله اول سعی میکند تا مجدداً دستگاه موردحمله را راهاندازی کنند اما معمولاً بدافزارها بعد از راهاندازی مجدد، روی دستگاه آلوده باقی نمیمانند. با این اوصاف به نظر میرسد که مرحله اول این حمله، آمادهسازی مقدمات برای مرحله دوم حمله است. این مرحله تفاوت اصلی بدافزار VPNFilter با سایر بدافزارهای دستگاههای اینترنت اشیا است.
بدافزار VPNFilter در مرحله اول به چندین سرور C&C (مخفف command and control server) متصل میشود و از این سرورها IP میگیرد.
سرور C&C کامپیوترهایی هستند که برای هماهنگی سیستمهای آلوده به بدافزارها، باج افزارها و... به کار گرفته میشوند. سیستمهای آلوده به سرور C&C متصل میشوند و بهروزرسانیها و دستورالعملها و اطلاعات موردنیاز برای انواع حمله را دریافت میکنند. ضمناً از این سرورها بهعنوان نقطه تخلیه اطلاعات دزدیده شده هم میتواند استفاده شود.
مرحله دوم
این بدافزار در مرحله دوم به استخراج اطلاعات میپردازد. مثلاً جمعآوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه در این مرحله انجام میشود.
بعضی از نسخههای این بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارند پس با بدست گرفتن کنترل Firmware دستگاه و راهاندازی مجدد آن، باعث از کار افتادن دستگاه میشوند.
مرحله سوم
VPNFilter در مرحله سوم از پلاگینهای مختلفی استفاده میکند که تاکنون دو نمونه از این پلاگینها شناسایی شده است. یکی از این دو پلاگین packet sniffer که روی ترافیک شبکه نظارت میکند تا اطلاعات احراز هویت سایتها را به سرقت ببرد و روی پروتکلهای Modbus SCADA نظارت کند. پلاگین دوم یک ماژول ارتباطی است که برای بدافزار مرحله دوم امکان ارتباط از طریق شبکه Tor را فراهم میکند.
جلوگیری از آسیبهای ناشی از VPNFilter
دستگاههای مورد هدف VPNFilter همگی مستقیماً به اینترنت متصل میشوند بنابراین هیچ لایه امنیتی میان این دستگاهها و هکرها وجود ندارد. از طرف دیگر بیشتر این دستگاههای مورد هدف حمله، قابلیتهای ضد بدافزاری و آنتیویروس را ندارند. ضمناً دریافت پچهای امنیتی روی این دستگاهها برای کاربران معمولی کار سادهای نیست.
به تمامی دلایل گفته شده جلوگیری از تهدیدهای این بدافزار کار دشواری است اما سیسکو توصیههایی را برای جلوگیری از آسیبهای حمله VPNFilter ارائه داده است که به ترتیب زیر است:
- کاربران روترهای SOHO و دستگاههای NAS، دستگاههای خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله 2 و 3 از دستگاه حذف شوند.
- ارائهدهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران مجدداً راهاندازی کنند.
- فوراً آخرین پچهای امنیتی برای همه دستگاههای مورد هدف دریافت و نصب شوند.
- ارائهدهندگان سرویس اینترنت مطمئن شوند که دستگاههای مشتریان دارای آخرین نسخههای نرمافزار یا Firmware باشند.
البته سیسکو برای مهار این حملات خود دستبهکار شده است و بیش از 100 نمونه snort را برای جلوگیری از این تهدید ارائه کرده است. Snort سیستم متنباز پیشگیری از حملهای که کمپانی سیسکو منتشر میکند. این سیستم ترافیک شبکه را آنالیز میکند، از IPها لاگ برداری میکند، پروتکلها و متنها را تحلیل میکند. بهاینترتیب این Snortها قادر هستند با تشخیص انواع حملات، اسکن پورتهای مشکوک و... باعث جلوگیری از حملات شود.
ضمناً سیسکو دامنهها، IPها و هش فایلهای مخرب را هم محدود کرده و در black list قرار داده است.
پیشنهاد فیسیت : توصیه FBI برای حذف بدافزار VPNFilter
ما را در شبکههای اجتماعی مختلف همراهی کنید:
کانال تلگرام با آیدی faceitmag@
توییتر با آیدی faceit_ir@
اینستاگرام با آیدی faceit_mag@
کانال سروش با آیدی faceit_mag@
ثبت نظر