وی‌پی‌ان فیلتر

وی‌پی‌ان فیلتر یک بدافزار طراحی شده برای آلوده کردن روترها است. تا تاریخ ۲۴ ماه مه ۲۰۱۸ چنین تخمین زده می‌شود که این بدافزار حدود ۵۰۰۰۰۰ تا ۱۰۰۰۰۰۰ دستگاه رهیاب را آلوده کرده باشد.[۱] این بدافزار قابلیت سرقت اطلاعات را برای مجریان حمله فراهم کرده، و همچنین با داشتن قابلیت کلید مرگ یا «kill switch» این امکان را به شخص حمله کننده می‌دهد که دستگاه رهیاب را از کار انداخته و غیرقابل استفاده نماید.[۲][۳]پلیس فدرال آمریکا این احتمال را می‌دهد که این بدافزار توسط گروه حملات سایبری Fancy Bear (Pawn Storm) ایجاد و گسترش داده شده باشد.

دستگاه‌های آسیب‌پذیرویرایش

بررسی بدافزار وی‌پی‌ان فیلتر نشان می‌دهد که قابلیت آلوده سازی روترهای صنعتی و همچنین روترهای خانگی و اداری تولید شده توسط شرکتهای Linksys, MikroTik, Netgear، و TP-Link را دارا می‌باشد. لیست زیر شامل دستگاهایی می‌باشد که آسیب‌پذیری آنها تأیید شده‌است:[۲]

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS devices running QTS software
  • TP-Link R600VPN

سازوکار بدافزارویرایش

این بدافزار شامل یه مرحله کلی می‌شود. در مرحله اول بدافزار با استفاده از شناسه کاربری و رمز شناخته شده دستگاه، یا با استفاده از آسیب‌پذیری‌های شناخته شده برای دستگاه (استفاده از آسیب‌پذیری‌های روز صفر تأیید نشده‌است) وارد دستگاه شده و روی آن نصب می‌شود و در همین مرحله یک اتصال با کانال فرمان و کنترل (Command and Control Infrastructure(C&C)) برای دریافت فرامین بعدی برقرار می‌نماید. مرحله دوم کد اصلی حمله یا Payload اصلی را بارگذاری می‌کند که توانایی جمع‌آوری فایل از ترافیک، اجرای فرامین، استخراج داده، و کنترل دستگاه را برای حمله کننده فراهم می‌کند. این کار با دریافت یک دستور از C&C و اجرای آن روی دستگاه و سپس ریبوت کردن آن به شکل خودکار انجام می‌شود. در مرحله سوم برخی افزونه‌ها برای حملات مرحله دوم معرفی و بارگذاری می‌شوند. به عنوان مثال یک اسنیفر به منظور سرقت اطلاعات از ترافیک و به خصوص مانیتورینگ داده‌های پروتکل‌های Modbus SCADA به روتر اضافه می‌شوند. یکی دیگر از افزونه‌ها مرحله سوم قابلیت ارتباط با مرکز کنترل (C&C) از طریق شبکه Tor را فراهم می‌کند.[۲]

پیشگیریویرایش

راهکار اصلی پیشگیری این حمله بازگرداندن رهیاب به تنظیمات اصلی کارخانه و تنظیم دیواره آتش به منظور جلوگیری از نفوذ به دستگاه و همچنین حذف قابلیت کنترل از راه دور به منظور جلوگیری از نفوذ مجدد به روتر می‌باشد. همچنین می‌بایست رمز عبور پیشفرض روتر تغیر کرده و سطح دسترسی‌ها کنترل شوند.[۴]

منابعویرایش

https://en.wikipedia.org/wiki/VPNFilter

  1. https://blog.talosintelligence.com/2018/05/VPNFilter.html
  2. ۲٫۰ ۲٫۱ ۲٫۲ https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware
  3. https://www.us-cert.gov/ncas/current-activity/2018/05/23/VPNFilter-Destructive-Malware
  4. «نسخه آرشیو شده». بایگانی‌شده از اصلی در ۲۸ مه ۲۰۱۸. دریافت‌شده در ۲۸ مه ۲۰۱۸.