نماد سایت اتاق خبر شبکه گستر

VPNFilter و چند پرسش و پاسخ

دوم خرداد، شرکت سیسکو در گزارشی از شناسایی شبکه مخرب (Botnet) عظیمی، متشکل از روترها و تجهیزات ذخیره‌ساز متصل به شبکه (NAS) هک شده‌ای خبر داد که به باور برخی محققان هدف از تشکیل آن اجرای حمله سایبری گسترده‌ای بر ضد اوکراین بوده است.

این روترها و تجهیزات ذخیره‌ساز متصل به شبکه به بدافزاری با نام VPNFilter آلوده شده‌اند.

در مقایسه با سایر بدافزارهای ویژه دستگاه‌های موسوم به اینترنت اشیاء، VPNFilter، بدافزاری بسیار پیچیده محسوب می‌شود که قابلیت‌های خاص و پیشرفته‌ای نظیر پویش ارتباطات برای یافتن دستگاه‌های کنترل صنعتی SCADA را در سطح شبکه داراست.

به گزارش شرکت مهندسی شبکه گستر، مدتی کوتاه پس از انتشار گزارش شرکت سیسکو، پلیس فدرال آمریکا (FBI) با مجوز دادگاهی در این کشور، کنترل سرور فرماندهی این شبکه مخرب عظیم را در اختیار گرفت.

در اطلاعیه‌ای که این نهاد آمریکایی منتشر کرده، از صاحبان دستگاه‌های مشکوک به آلودگی به VPNFilter خواسته شده که در اولین فرصت نسبت به راه‌اندازی مجدد دستگاه خود اقدام کنند.

 

VPNFilter چیست؟

VPNFilter بدافزاری است که پس از آلوده نمودن دستگاه‌های روتر و تجهیزات ذخیره‌ساز متصل به شبکه، در فرآیندی سه مرحله‌ای بستری را به منظور سرقت اطلاعات و شنود ترافیک شبکه برای مهاجمان فراهم می‌کند. این سه مرحله به‌شرح زیر است:

کدام دستگاه ها ممکن است به این بدافزار آلوده شده باشند؟

فهرست اعلامی توسط شرکت سیسکو به‌شرح زیر است:

باید توجه داشت که فهرست مذکور شامل دستگاه ‌هایی است که تا کنون نمونه‌ای از آلودگی بر روی آنها توسط شرکت سیسکو شناسایی شده و بنابراین تضمینی نیست که دامنه آلودگی‌ها تنها محدود به تجهیزاتی با مشخصات فوق باشد.

 

آیا با راه اندازی مجدد دستگاه مشکل حل می شود؟

در حالی که مرحله اول، ماندگار بوده و حتی پس از راه‌اندازی مجدد شدن دستگاه اجرا می‌شود، مراحل دوم و سوم فاقد چنین قابلیتی هستند. سرور مصادره شده توسط FBI میزبان نشانی ToKnowAll[.]com است که بدافزار VPNFilter با اتصال به آن اقدام به اجرای مراحل دوم و سوم می‌کند. به‌همین خاطر پس از این اقدام FBI، با راه‌اندازی مجدد دستگاه، هر چند مرحله اول مجددا فعال می‌شود اما مراحل دوم و سوم که مسئول اجرای اکثر قابلیت‌های مخرب بدافزار هستند از کار می‌افتند. نکته مهم اینجاست که آنچه که مهاجمان را پیش‌تر قادر به تسخیر این دستگاه‌ها کرده – نظیر رمزعبور ضعیف، وجود آسیب‌پذیری امنیتی در ثابت‌افزار دستگاه و یا … – همچنان بر روی دستگاه وجود دارند و بنابراین مهاجمان می‌توانند با بهره‌گیری از این اشکالات امنیتی بار دیگر کنترل دستگاه را در اختیار بگیرند.

 

مطمئن‌ترین راهکار برای پاکسازی کامل دستگاه‌های آلوه به این بدافزار چیست؟

1- راه اندازی مجدد دستگاه و یا ترجیحا بازگرداندان تنظیمات کارخانه‌ای آن (در صورت امکان)
توجه! بازگرداندن تنظیمات کارخانه‌ای منجر به تغییر کلیه اطلاعات دستگاه به حالت پیش‌فرض اولیه می‌شود. پیش از انجام این مرحله از در دسترس بودن تنظمیات صحیح اطمینان حاصل شود.
2- تغییر رمزعبور پیش‌فرض به رمزعبوری پیچیده
3- به‌روزرسانی ثابت‌افزار دستگاه
4- اطمینان از غیرفعال بودن قابلیت Remote Administration

 

این بدافزار با چه نامی شناسایی می شود؟

 بدافزار VPNFilter با نام های زیر توسط محصولات امنیتی ضدویروس قابل شناسایی می‌باشد:

   – Trojan.Linux.VPNFilter.A
   – Trojan.Linux.VPNFilter.B
   – Trojan.Linux.VPNFilter.C

   – Linux/VPNFilter
   – Linux/VPNFilter.a

   – Linux/VPNFilt-A
   – Linux/VPNFilt-B
   – Linux/VPNFilt-C

این بدافزار از چه نشانی های اینترنتی استفاده می کند؟

فهرست نشانی‌های استفاده شده توسط شبکه مخرب تحت سیطره VPNFilter به شرح زیر می‌باشد:

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
91.200.13[.]76
91.214.203[.]144

6b57dcnonk2edf5a[.]onion/bin32/update.php
tljmmy4vmkqbdof4[.]onion/bin32/update.php
zuh3vcyskd4gipkm[.]onion/bin32/update.php
6b57dcnonk2edf5a[.]onion/bin32/update.php

خروج از نسخه موبایل