VPNFilter، بدافزار خطرناك جديدي كه دستگاه ها و روترهاي اينترنت اشيا را مورد حمله قرار داده است، در حال گسترش در بيش از 100 كشور در سراسر دنياست و تاكنون توانسته است بيش از 500 هزار دستگاه را آلوده كند.
شركت سيسكو كه در حال بررسي اين بدافزار است، اعلام كرده است كه هنوز بررسي VPNFilter به اتمام نرسيده است اما از آنجايي كه اين حمله مي تواند آثار بسياري نگران كننده باشد سيسكو اطلاعات موجود را به صورت عمومي منتشر كرده است.
دستگاه هاي هدف بدافزار VPNFilter
بنا به گزارشات كمپاني سيسكو دستگاه هاي Linksys، Mikrotik، NETGEAR، تجهيزات شبكه اي دفاتر كوچك و منازل SOHO مانند TP-Linkو دستگاه هاي ذخيره سازي تحت شبكه NAS مانند QNAP هدف اين بدافزار بوده اند؛ اما دستگاه هاي موجود از ساير برندها هدف اين بدافزار نبوده اند.
بررسي سيسكو روي پورت هاي TCP هم همين مسئله را نشان مي دهد. پورت هاي 23، 80، 2000، 8080 دستگاه هاي آلوده نشان مي دهد كه هدف اين حمله بيشتر دستگاه هاي NAS مربوط به QNAP و Mikrotik هستند.
روش كار بدافزار VPNFilter
مرحله اول
بدافزار VPNFilter بدافزار خطرناك و چند مرحله اي است كه در مرحله اول سعي مي كند تا مجدداً دستگاه موردحمله را راه اندازي كنند اما معمولاً بدافزارها بعد از راه اندازي مجدد، روي دستگاه آلوده باقي نمي مانند. با اين اوصاف به نظر مي رسد كه مرحله اول اين حمله، آماده سازي مقدمات براي مرحله دوم حمله است. اين مرحله تفاوت اصلي بدافزار VPNFilter با ساير بدافزارهاي دستگاه هاي اينترنت اشيا است.
بدافزار VPNFilter در مرحله اول به چندين سرور C&C (مخفف command and control server) متصل مي شود و از اين سرورها IP مي گيرد.
سرورهاي C&C كامپيوترهايي هستند كه براي هماهنگي سيستم هاي آلوده به بدافزارها، باج افزارها و... به كار گرفته مي شوند. سيستم هاي آلوده به سرور C&C متصل مي شوند و به روزرساني ها و دستورالعمل ها و اطلاعات موردنياز براي انواع حمله را دريافت مي كنند. ضمناً از اين سرورها به عنوان نقطه تخليه اطلاعات دزديده شده هم مي تواند استفاده شود.
مرحله دوم
اين بدافزار در مرحله دوم به استخراج اطلاعات مي پردازد. مثلاً جمع آوري فايل، اجراي دستور، استخراج داده و مديريت دستگاه در اين مرحله انجام مي شود.
بعضي از نسخه هاي اين بدافزار در مرحله دوم قابليت خود تخريبي (Self-destruct) دارند پس با بدست گرفتن كنترل Firmware دستگاه و راه اندازي مجدد آن، باعث از كار افتادن دستگاه مي شوند.
مرحله سوم
VPNFilter در مرحله سوم از پلاگين هاي مختلفي استفاده مي كند كه تاكنون دو نمونه از اين پلاگين ها شناسايي شده است. يكي از اين دو پلاگين packet sniffer كه روي ترافيك شبكه نظارت مي كند تا اطلاعات احراز هويت سايت ها را به سرقت ببرد و روي پروتكل هاي Modbus SCADA نظارت كند. پلاگين دوم يك ماژول ارتباطي است كه براي بدافزار مرحله دوم امكان ارتباط از طريق شبكه Tor را فراهم مي كند.
جلوگيري از آسيب هاي ناشي از VPNFilter
دستگاه هاي مورد هدف VPNFilter همگي مستقيماً به اينترنت متصل مي شوند بنابراين هيچ لايه امنيتي ميان اين دستگاه ها و هكرها وجود ندارد. از طرف ديگر بيشتر اين دستگاه هاي مورد هدف حمله، قابليت هاي ضد بدافزاري و آنتي ويروس را ندارند. ضمناً دريافت پچ هاي امنيتي روي اين دستگاه ها براي كاربران معمولي كار ساده اي نيست.
به تمامي دلايل گفته شده جلوگيري از تهديدهاي اين بدافزار كار دشواري است اما سيسكو توصيه هايي را براي جلوگيري از آسيب هاي حمله VPNFilter ارائه داده است كه به ترتيب زير است:
كاربران روترهاي SOHO و دستگاه هاي NAS، دستگاه هاي خود را به تنظيمات كارخانه برگردانند تا بدافزارهاي مرحله 2 و 3 از دستگاه حذف شوند.
ارائه دهندگان سرويس اينترنت، روترهاي SOHO را به جاي كاربران مجدداً راه اندازي كنند.
فوراً آخرين پچ هاي امنيتي براي همه دستگاه هاي مورد هدف دريافت و نصب شوند.
ارائه دهندگان سرويس اينترنت مطمئن شوند كه دستگاه هاي مشتريان داراي آخرين نسخه هاي نرم افزار يا Firmware باشند.
البته سيسكو براي مهار اين حملات خود دست به كار شده است و بيش از 100 نمونه snort را براي جلوگيري از اين تهديد ارائه كرده است. Snort سيستم متن باز پيشگيري از حمله اي كه كمپاني سيسكو منتشر مي كند. اين سيستم ترافيك شبكه را آناليز مي كند، از IPها لاگ برداري مي كند، پروتكل ها و متن ها را تحليل مي كند. به اين ترتيب اين Snortها قادر هستند با تشخيص انواع حملات، اسكن پورت هاي مشكوك و... باعث جلوگيري از حملات شود.
ضمناً سيسكو دامنه ها، IPها و هش فايل هاي مخرب را هم محدود كرده و در black list قرار داده است.
https://faceit.ir
