دوم خرداد، شرکت سیسکو در گزارشی از شناسایی شبکه مخرب (Botnet) عظیمی، متشکل از روترها و تجهیزات ذخیرهساز متصل به شبکه (NAS) هک شدهای خبر داد که به باور برخی محققان هدف از تشکیل آن اجرای حمله سایبری گستردهای بر ضد اوکراین بوده است.
این روترها و تجهیزات ذخیرهساز متصل به شبکه به بدافزاری با نام VPNFilter آلوده شدهاند.
در مقایسه با سایر بدافزارهای ویژه دستگاههای موسوم به اینترنت اشیاء، VPNFilter، بدافزاری بسیار پیچیده محسوب میشود که قابلیتهای خاص و پیشرفتهای نظیر پویش ارتباطات برای یافتن دستگاههای کنترل صنعتی SCADA را در سطح شبکه داراست.
به گزارش شرکت مهندسی شبکه گستر، مدتی کوتاه پس از انتشار گزارش شرکت سیسکو، پلیس فدرال آمریکا (FBI) با مجوز دادگاهی در این کشور، کنترل سرور فرماندهی این شبکه مخرب عظیم را در اختیار گرفت.
در اطلاعیهای که این نهاد آمریکایی منتشر کرده، از صاحبان دستگاههای مشکوک به آلودگی به VPNFilter خواسته شده که در اولین فرصت نسبت به راهاندازی مجدد دستگاه خود اقدام کنند.
VPNFilter چیست؟
VPNFilter بدافزاری است که پس از آلوده نمودن دستگاههای روتر و تجهیزات ذخیرهساز متصل به شبکه، در فرآیندی سه مرحلهای بستری را به منظور سرقت اطلاعات و شنود ترافیک شبکه برای مهاجمان فراهم میکند. این سه مرحله بهشرح زیر است:
- مرحله اول – در این مرحله، بدافزار حضور خود را بر روی دستگاه دائمی میکند. همچنین با بهرهگیری از چندین مکانیزم کنترلی وارد مرحله دوم بدافزار میشود.
- مرحله دوم – در این مرحله مهاجمان قادر به اجرای فرامین و سرقت دادهها میشوند. یکی از قابلیتهای قابل استفاده توسط مهاجمان در این مرحله – در برخی از نمونهها –، از کاراندازی روتر و در نتیجه غیرفعال کردن ارتباطات شبکهای است.
- مرحله سوم – در این مرحله، بدافزار مجهز به افزونههای مخرب متعددی میشود که قابلیتهایی نظیر شنود ارتباطات شبکهای، رصد ارتباطات SCADA و برقراری ارتباط از طریق شبکه ناشناس Tor را برای مهاجمان فراهم میکند.
کدام دستگاه ها ممکن است به این بدافزار آلوده شده باشند؟
فهرست اعلامی توسط شرکت سیسکو بهشرح زیر است:
- Linksys E1200
- Linksys E2500
- LinkSys WRVS4400N
- Mikrotik RouterOS Versions for Cloud Core Routers: 1016, 1036, 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Other QNAP NAS devices running QTS software
- TP-Link R600VPN
باید توجه داشت که فهرست مذکور شامل دستگاه هایی است که تا کنون نمونهای از آلودگی بر روی آنها توسط شرکت سیسکو شناسایی شده و بنابراین تضمینی نیست که دامنه آلودگیها تنها محدود به تجهیزاتی با مشخصات فوق باشد.
آیا با راه اندازی مجدد دستگاه مشکل حل می شود؟
در حالی که مرحله اول، ماندگار بوده و حتی پس از راهاندازی مجدد شدن دستگاه اجرا میشود، مراحل دوم و سوم فاقد چنین قابلیتی هستند. سرور مصادره شده توسط FBI میزبان نشانی ToKnowAll[.]com است که بدافزار VPNFilter با اتصال به آن اقدام به اجرای مراحل دوم و سوم میکند. بههمین خاطر پس از این اقدام FBI، با راهاندازی مجدد دستگاه، هر چند مرحله اول مجددا فعال میشود اما مراحل دوم و سوم که مسئول اجرای اکثر قابلیتهای مخرب بدافزار هستند از کار میافتند. نکته مهم اینجاست که آنچه که مهاجمان را پیشتر قادر به تسخیر این دستگاهها کرده – نظیر رمزعبور ضعیف، وجود آسیبپذیری امنیتی در ثابتافزار دستگاه و یا … – همچنان بر روی دستگاه وجود دارند و بنابراین مهاجمان میتوانند با بهرهگیری از این اشکالات امنیتی بار دیگر کنترل دستگاه را در اختیار بگیرند.
مطمئنترین راهکار برای پاکسازی کامل دستگاههای آلوه به این بدافزار چیست؟
1- راه اندازی مجدد دستگاه و یا ترجیحا بازگرداندان تنظیمات کارخانهای آن (در صورت امکان)
توجه! بازگرداندن تنظیمات کارخانهای منجر به تغییر کلیه اطلاعات دستگاه به حالت پیشفرض اولیه میشود. پیش از انجام این مرحله از در دسترس بودن تنظمیات صحیح اطمینان حاصل شود.
2- تغییر رمزعبور پیشفرض به رمزعبوری پیچیده
3- بهروزرسانی ثابتافزار دستگاه
4- اطمینان از غیرفعال بودن قابلیت Remote Administration
این بدافزار با چه نامی شناسایی می شود؟
بدافزار VPNFilter با نام های زیر توسط محصولات امنیتی ضدویروس قابل شناسایی میباشد:
- Bitdefender
– Trojan.Linux.VPNFilter.A
– Trojan.Linux.VPNFilter.B
– Trojan.Linux.VPNFilter.C
- McAfee
– Linux/VPNFilter
– Linux/VPNFilter.a
- Sophos
– Linux/VPNFilt-A
– Linux/VPNFilt-B
– Linux/VPNFilt-C
این بدافزار از چه نشانی های اینترنتی استفاده می کند؟
فهرست نشانیهای استفاده شده توسط شبکه مخرب تحت سیطره VPNFilter به شرح زیر میباشد:
photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com
91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
91.200.13[.]76
91.214.203[.]144
6b57dcnonk2edf5a[.]onion/bin32/update.php
tljmmy4vmkqbdof4[.]onion/bin32/update.php
zuh3vcyskd4gipkm[.]onion/bin32/update.php
6b57dcnonk2edf5a[.]onion/bin32/update.php