بدافزار VPNFilter بیش از نیم میلیون روتر و NSA را در سراسر جهان آلوده کرده است.

به گزارش پاوان یک بدافزار جدید به نام VPNFilter کشف شده است. که بیش از نیم میلیون روتر و دستگاه های ذخیره سازی شبکه (NAS) مربوط به اینترنت اشیا در 54 کشور جهان آلوده کرده است. این بدافزار دارای ماهیت خود تخربی، کنترل دیتای سیستم قربانی، گردآوری اطلاعات، مانیتور کردن ترافیک اینترنت ستگاه قربانی و تخریب گواهی معتبر امنیتی است. و می تواند دستگاه های آلوده شده را از کار انداخته و غیر قابل استفاده کند. این بدافزار بر خلاف سایر تهدیدات اینترنت اشیا قادر به حفظ حضور دائمی خود در یک دستگاه آلوده حتی بعد از راه اندازی مجدد است. VPNFilter دارای طیف وسیعی از قابلیت ها از جمله جاسوسی بر روی ترافیک از طریق دستگاه های روت شده است.

به نظر می رسد سازندگان این Malware علاقه خاصی به سیستم های کنترل صنعتی SCADA دارند. بخصوص ساخت ماژولی که ارتباطات Modbus SCADA را متوقف می کند. بر اساس تحقیقات جدید سیسکو فعالیت این بدافزار در هفته اخیر افزایش یافته است. مثل باج افزار واناکرای و پتیا باز هم نقطه شروع این بدافزار کشور اوکراین است. که حمله را متوجه روسیه می سازد. داده های honeypots و Symantec نشان می دهد بر خلاف سایر تهدیدات اینترنت اشیا مانند Mirai ، به نظر نمی رسد که این بدافزار در تلاش برای آلوده کردن هر دستگاه آسیب پذیر در سطح جهانی باشد.

آن طور که اف بی آی کدهای این بدافزار را بررسی کرده است. به نظر می رسد متعلق به هکرهای دولتی روسیه (Fancy Bear) باشد. چرا که هم شباهت زیادی به بدافزار BlackEnergy دارد و هم مثل برای شروع کشور اواکراین را هدف قرار داده است.این بدافزار دستگاه های لینک سیس، نِت گی یر، میکروتیک و تی پی لینک را آلوده کرده است.

ارسال دستورات از راه دور برای گردآوری دیتای سیستم قربانی، مرحله بعدی حمله سایبری توسط این بدافزار است تا محصولات مربوط به اینترنت اشیاء را تحت مدیریت و فرمان خود در آورد.

اما در مرحله سوم از حمله، اپلیکیشنِ مانیتورکردن ترافیکِ اینترنت، روی دستگاه قربانی نصب‌شده و گواهینامه معتبر امنیتی تخریب می‌شود و سپس ارتباطات جدید بین سیستم قربانی و شبکه TOR برقرار می‌شود.

بدافزار VPNFilter تاکنون در دستگاه های زیر شناسایی شده است.

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Other QNAP NAS devices running QTS software
• TP-Link R600VPN

در همین حال، Linksys به مشتریان خود توصیه می کند گذرواژه های ادمین خود را به صورت دوره ای تغییر دهند و اطمینان حاصل شود که نرم افزار به طور مرتب به روز می شود. اگر آنها بر این باورند که آلوده شده اند، بازنشانی کارخانه روتر آنها توصیه می شود.

VPNFilter چگونه دستگاه های آلوده را آلوده می کند؟

اکثر دستگاه های مورد هدف این بدافزار شناخته شده اند که از گواهی های امنیتی پیش فرض و اکسپلویت های آشنا بهره می برند. به ویژه برای نسخه های قدیمی تر. در حال حاضر هیچ نشانه ای وجود ندارد که بهره برداری از آسیب های صفر روز در گسترش تهدید دخیل باشد.

VPNFilter با یک دستگاه آلوده چه کار می کند؟

یک قطعه چند تکه ای از نرم افزارهای مخرب است. مرحله اول برای اولین بار نصب شده است و برای حفظ حضور مداوم در دستگاه آلوده مورد استفاده قرار می گیرد و با یک سرور فرمان و کنترل (C & C) برای بارگیری ماژول های بیشتر تماس می گیرد. این بدافزار پس از ورود به Firmware روتر، کنترل کامل دستگاه را از دست مالک درآورده و مالک قادر به ورود به روتر خود نخواهد بود. و از همه مهمتر اینکه پس از انجام عملیات قابلیت خود تخریبی دارد. همچنین قادر به جمع آوری فایل ها و اطلاعات و اجرای فرمان و فرایند داده ها و مدیریت دستگاه است. در صورت دریافت فرمان از مهاجمان. این کار با رونویسی یک بخش از سیستم عامل دستگاه و راه اندازی مجدد آن انجام می شود، و آن را غیر قابل استفاده می کند.

در مرحله سه چند ماژول شناخته شده وجود دارند. که عنوان پلاگین مرحله 2 عمل می کنند. شامل یک بسته sniffer برای جاسوسی بر روی ترافیک است که از طریق دستگاه ردیابی می شود، از جمله سرقت اعتبار وب سایت و نظارت بر پروتکل های Modbus SCADA. یکی دیگر از ماژول مرحله 3 به مرحله 2 اجازه برقراری ارتباط با Tor را میدهد.

اگر دستگاه من به این بدافزار آلوده شده چکار کنم؟

به محض شناسایی بدافزار بر روی دستگاه مودم خود بلافاصله آن را راه اندازی کنید. اگر دستگاه با بدافزار “وی پی ان فیلتر” آلوده شود، راه اندازی مجدد مرحله 2 و همه عناصر مرحله 3 موجود در دستگاه را حذف خواهد کرد. البته به طور موقت محتویات مخرب VPNFilter را حذف خواهد کرد. با این حال اگر دستگاه آلوده باشد. حضور مداوم Stage 1 به این معنی خواهد بود که مراحل دوم و سوم توسط هکرها می تواند نصب شود. پس از آن باید آخرین وصله های مربوط به دستگاه آلوده شده را نصب کنید. و اطمینان حاصل کنید که هیچ کدام از گواهی های پیش فرض استفاده نمی شود.

سئوال: اگر در مرحله اول VPNFilterحتی پس از راه اندازی مجدد ادامه یابد، آیا راهی برای از بین بردن آن وجود دارد؟

بله انجام تنظیم مجدد سخت افزاری دستگاه، که تنظیمات کارخانه را بازیابی می کند، باید پاک آن را پاک کند با این حال، توجه داشته باشید که تمامی جزئیات پیکربندی یا گواهی ذخیره شده روی روتر بایستی پشتیبان گیری شود زیرا این کار با تنظیم مجدد سخت انجام می شود.

تکمیلی: Netgear به مشتریان توصیه می کند که علاوه بر اعمال آخرین به روز رسانی سیستم عامل و تغییر گذرواژه پیش فرض، کاربران باید اطمینان حاصل کنند که مدیریت از راه دور روی روتر خود خاموش شده است. مدیریت از راه دور به طور پیش فرض خاموش است و تنها می تواند با استفاده از تنظیمات پیشرفته مودم روشن شود. برای خاموش کردن آن، آنها باید در مرورگر خود به www.routerlogin.net بروید و با استفاده از مشخصات کاربری خود وارد سیستم شوید. از آنجا، آنها باید تنظیمات “پیشرفته” را دنبال کنند و به دنبال آن “مدیریت از راه دور”. اگر کادر انتخاب “روشن کردن مدیریت از راه دور” انتخاب شده باشد، آن را غیر فعال کنید و روی “اعمال” کلیک کنید تا تغییرات ذخیره شود.

منبع: symantec.com