انتشار بدافزار VPNFilter
بدافزار مخرب VPNFilter دارای ویژگی های بسیار مخربی است، بطوریکه اجزاء این بدافزار می تواند اطلاعات مربوط به احراز هویت وبسایت ها را به سرقت ببرد و بر پروتکل های Modbus SCADA نظارت کند.
بازدید :
زمان تقریبی مطالعه :
تاریخ : يکشنبه 1397/03/13
بدافزار جدید «وی پی ان فیلتر» با ویژگی های منحصر به فردی دستگاه ها و روترهای اینترنت اشیاء (IoT ) را مورد هدف قرار داده است. طبق اعلام سیسکو، تحقیقات صورت گرفته روی این بدافزار هنوز به پایان نرسیده اما به دلیل مخاطرات تاثیرگذار این بدافزار، یافته های کنونی به صورت عمومی به اشتراک گذاشته شده تا دستگاه ها و قربانیان تحت تاثیر قرار گرفته بتوانند محافظت ها و اقدامات لازم را انجام دهند.
کدهای این بدافزار با بدافزار BlackEnergy که حملات گسترده ای را روی دستگاه های مستقر در کشور اکراین انجام داده، همپوشانی و اشتراک دارد. در حال حاضر نیز، بدافزار مخرب VPNFilter به سرعت در حال انتشار در کشور اکراین است و همچنین از یک سرور C&C (C۲) مستقر در این کشور نیز بهره می برد. وسعت حملات و قابلیت های بدافزار مخرب VPNFilter نگران کننده است. به طور کلی تخمین زده می شود که حداقل ۵۰۰ هزار دستگاه در ۵۴ کشور مختلف آلوده شده اند.
این تحقیقات نشان می دهد که تاکنون، دستگاه های Linksys، MikroTik، NETGEAR، تجهیزات شبکهای دفاتر کوچک و منازل (SOHO) TP-Link و دستگاه های ذخیره سازی متصل به شبکه (NAS) QNAP هدف این بدافزار بودهاند. با توجه به تحقیقات فعلی سیسکو، هیچ دستگاهی از شرکت های دیگر از جمله سیسکو تاکنون توسط VPNFilter آلوده نشده اند.
بدافزار مخرب VPNFilter دارای ویژگی های بسیار مخربی است، بطوریکه اجزاء این بدافزار می تواند اطلاعات مربوط به احراز هویت وبسایت ها را به سرقت ببرد و بر پروتکل های Modbus SCADA نظارت کند. علاوه بر این، بدافزار مخرب VPNFilter می تواند دستگاه های آلوده را کاملا از کار بیاندازد و دسترسی هزاران قربانی در سطح جهان را از اینترنت قطع کند.
به دلیل نوع دستگاه های مورد هدف، محافظت در برابر این بدافزار مشکل است. این نوع دستگاه ها در محیط شبکه هستند و دارای سیستم محافظت نفوذ (IPS) نیز نیستند. همچنین این دستگاه ها سیستم محافظت مبتنی بر میزبان مانند بسته های آنتی ویروس نیز ندارند.
بدافزار در مرحله اول، نسبت به راه اندازی مجدد دستگاه اقدام می کند، فرایندی که این بدافزار را با سایر بدافزارهای دستگاه های IoT متمایز می کند. زیرا به طور معمول یک بدافزار پس از راه اندازی مجدد دستگاه، در آن باقی نمی ماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیاده سازی مرحله دوم فراهم شود.
در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده می کند. این امر باعث می شود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیش بینی زیرساخت های سرورهای C&C مقاوم باشد.
قابلیت های بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمع آوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخه های بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد. بطوریکه با بدست گرفتن کنترل بخش حیاتی Firmware دستگاه و راه اندازی مجدد آن، باعث از کار افتادن دستگاه می شود.
در مرحله سوم، ماژول های مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل می کنند. این پلاگین ها قابلیت های بیشتری به بدافزار مرحله دوم اضافه می کنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که عبارتند از یک packet sniffer که روی ترافیک شبکه نظارت می کند تا اطلاعات احراز هویت سایت ها را به سرقت ببرد و روی پروتکل های Modbus SCADA نظارت کند و دوم یک ماژول ارتباطی که برای بدافزار مرحله دوم امکان ارتباط از طریق Tor را فراهم می کند.
در تاریخ ۸ ماه می، فعالیت های این بدافزار گسترش یافته است و تقریبا تمامی قربانیان جدید از کشور اوکراین بوده است. همچنین، در تاریخ ۱۷ می، قربانیان جدیدی از کشور اوکراین نیز مشاهده شدند که اهمیت این مخاطره جدی را بیان می کند.
سیسکو دامنه ها، IP ها و hash فایل های مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکت های Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاع رسانی شده است.
- کاربران روترهای SOHO و دستگاه های NAS، دستگاه های خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله ۲ و ۳ از دستگاه حذف شوند.
- ارائه دهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران راه اندازی مجدد کنند.
- اگر دستگاهی مشکوک به آلوده بودن توسط این بدافزار است، نسبت به بروزرسانی آن به آخرین وصله های ارائه شده توسط سازنده اقدام فوری شود.
- ارائه دهندگان سرویس اینترنت اطمینان حاصل کنند که دستگاه های مشتریان به آخرین نسخه های نرم افزار یا Firmware بروزرسانی شده باشند.
- بدلیل احتمال انجام عملیات مخرب این عامل تهدید روی سایر دستگاه ها، توصیه می شود که موارد فوق برای تمامی دستگاه های SOHO یا NAS مدنظر قرار گیرند.
منبع: کلیک
کدهای این بدافزار با بدافزار BlackEnergy که حملات گسترده ای را روی دستگاه های مستقر در کشور اکراین انجام داده، همپوشانی و اشتراک دارد. در حال حاضر نیز، بدافزار مخرب VPNFilter به سرعت در حال انتشار در کشور اکراین است و همچنین از یک سرور C&C (C۲) مستقر در این کشور نیز بهره می برد. وسعت حملات و قابلیت های بدافزار مخرب VPNFilter نگران کننده است. به طور کلی تخمین زده می شود که حداقل ۵۰۰ هزار دستگاه در ۵۴ کشور مختلف آلوده شده اند.
این تحقیقات نشان می دهد که تاکنون، دستگاه های Linksys، MikroTik، NETGEAR، تجهیزات شبکهای دفاتر کوچک و منازل (SOHO) TP-Link و دستگاه های ذخیره سازی متصل به شبکه (NAS) QNAP هدف این بدافزار بودهاند. با توجه به تحقیقات فعلی سیسکو، هیچ دستگاهی از شرکت های دیگر از جمله سیسکو تاکنون توسط VPNFilter آلوده نشده اند.
سیسکو دامنه ها، IP ها و hash فایل های مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکت های Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاع رسانی شده است.
بدافزار مخرب VPNFilter دارای ویژگی های بسیار مخربی است، بطوریکه اجزاء این بدافزار می تواند اطلاعات مربوط به احراز هویت وبسایت ها را به سرقت ببرد و بر پروتکل های Modbus SCADA نظارت کند. علاوه بر این، بدافزار مخرب VPNFilter می تواند دستگاه های آلوده را کاملا از کار بیاندازد و دسترسی هزاران قربانی در سطح جهان را از اینترنت قطع کند.
به دلیل نوع دستگاه های مورد هدف، محافظت در برابر این بدافزار مشکل است. این نوع دستگاه ها در محیط شبکه هستند و دارای سیستم محافظت نفوذ (IPS) نیز نیستند. همچنین این دستگاه ها سیستم محافظت مبتنی بر میزبان مانند بسته های آنتی ویروس نیز ندارند.
VPNFilter، بدافزاری چند مرحله ای
بدافزار مخرب VPNFilter یک بدافزار چند مرحله ای، با ساختار ماژولار و دارای قابلیت های مختلف است که می تواند عملیات جمع آوری اطلاعات و حملات سایبری را پشتیبانی کند.بدافزار در مرحله اول، نسبت به راه اندازی مجدد دستگاه اقدام می کند، فرایندی که این بدافزار را با سایر بدافزارهای دستگاه های IoT متمایز می کند. زیرا به طور معمول یک بدافزار پس از راه اندازی مجدد دستگاه، در آن باقی نمی ماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیاده سازی مرحله دوم فراهم شود.
در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده می کند. این امر باعث می شود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیش بینی زیرساخت های سرورهای C&C مقاوم باشد.
قابلیت های بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمع آوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخه های بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد. بطوریکه با بدست گرفتن کنترل بخش حیاتی Firmware دستگاه و راه اندازی مجدد آن، باعث از کار افتادن دستگاه می شود.
در مرحله سوم، ماژول های مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل می کنند. این پلاگین ها قابلیت های بیشتری به بدافزار مرحله دوم اضافه می کنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که عبارتند از یک packet sniffer که روی ترافیک شبکه نظارت می کند تا اطلاعات احراز هویت سایت ها را به سرقت ببرد و روی پروتکل های Modbus SCADA نظارت کند و دوم یک ماژول ارتباطی که برای بدافزار مرحله دوم امکان ارتباط از طریق Tor را فراهم می کند.
فعالیت های بدافزار
در اوایل ماه می میلادی اسکن های TCP فراوانی روی پورت های ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ دستگاه های آلوده مشاهده شده است. اسکن این پورت ها نشان می دهد که مهاجمان به دنبال دستگاه های NAS مربوط به QNAP و Mikrotik هستند. این اسکن ها دستگاه های بیش از ۱۰۰ کشور مختلف را مورد هدف قرار داده است.در تاریخ ۸ ماه می، فعالیت های این بدافزار گسترش یافته است و تقریبا تمامی قربانیان جدید از کشور اوکراین بوده است. همچنین، در تاریخ ۱۷ می، قربانیان جدیدی از کشور اوکراین نیز مشاهده شدند که اهمیت این مخاطره جدی را بیان می کند.
وابستگی حملات
طبق بررسی های صورت گرفته، ارتباطاتی میان حملات انجام شده از طریق بدافزار مخرب VPNFilter و گروه Sofacy یا FancyBear مشخص شده است. گروه Sofacy پیش تر در حملات سایبری بین المللی علیه آمریکا و سایر کشورها از طرف دولت روسیه نقش داشته است. این گروه با عناوین apt۲۸، sandworm، x-agent، pawn storm، fancy bear و sednit نیز شناخته می شود.محافظت در برابر این تهدید
به دلیل ماهیت دستگاه های آلوده، محافظت در برابر این تهدید بسیار مشکل است. اکثر دستگاه ها به اینترنت متصل هستند و هیچ لایه امنیتی میان آنها و مهاجمان وجود ندارد. علاوه بر این، اغلب دستگاه های آلوده دارای آسیب پذیری های شناخته شده هستند و اعمال وصله برای آنها برای کاربران معمولی دشوار است. از طرفی، بیشتر این دستگاه ها قابلیت های ضد بدافزار نیز ندارند. سه مورد بیان شده دلایل کافی بر این امر هستند که مقابله با این تهدید فرایند دشواری است.سیسکو دامنه ها، IP ها و hash فایل های مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکت های Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاع رسانی شده است.
توصیه ها
انجام موارد زیر از طرف سیسکو توصیه شده اند:- کاربران روترهای SOHO و دستگاه های NAS، دستگاه های خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله ۲ و ۳ از دستگاه حذف شوند.
- ارائه دهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران راه اندازی مجدد کنند.
- اگر دستگاهی مشکوک به آلوده بودن توسط این بدافزار است، نسبت به بروزرسانی آن به آخرین وصله های ارائه شده توسط سازنده اقدام فوری شود.
- ارائه دهندگان سرویس اینترنت اطمینان حاصل کنند که دستگاه های مشتریان به آخرین نسخه های نرم افزار یا Firmware بروزرسانی شده باشند.
- بدلیل احتمال انجام عملیات مخرب این عامل تهدید روی سایر دستگاه ها، توصیه می شود که موارد فوق برای تمامی دستگاه های SOHO یا NAS مدنظر قرار گیرند.
منبع: کلیک