VPNFilter و چند پرسش و پاسخ

دوم خرداد، شرکت سیسکو در گزارشی از شناسایی شبکه مخرب (Botnet) عظیمی، متشکل از روترها و تجهیزات ذخیره‌ساز متصل به شبکه (NAS) هک شده‌ای خبر داد که به باور برخی محققان هدف از تشکیل آن اجرای حمله سایبری گسترده‌ای بر ضد اوکراین بوده است.

این روترها و تجهیزات ذخیره‌ساز متصل به شبکه به بدافزاری با نام VPNFilter آلوده شده‌اند.

در مقایسه با سایر بدافزارهای ویژه دستگاه‌های موسوم به اینترنت اشیاء، VPNFilter، بدافزاری بسیار پیچیده محسوب می‌شود که قابلیت‌های خاص و پیشرفته‌ای نظیر پویش ارتباطات برای یافتن دستگاه‌های کنترل صنعتی SCADA را در سطح شبکه داراست.

به گزارش شرکت مهندسی شبکه گستر، مدتی کوتاه پس از انتشار گزارش شرکت سیسکو، پلیس فدرال آمریکا (FBI) با مجوز دادگاهی در این کشور، کنترل سرور فرماندهی این شبکه مخرب عظیم را در اختیار گرفت.

در اطلاعیه‌ای که این نهاد آمریکایی منتشر کرده، از صاحبان دستگاه‌های مشکوک به آلودگی به VPNFilter خواسته شده که در اولین فرصت نسبت به راه‌اندازی مجدد دستگاه خود اقدام کنند.

VPNFilter چیست؟

VPNFilter بدافزاری است که پس از آلوده نمودن دستگاه‌های روتر و تجهیزات ذخیره‌ساز متصل به شبکه، در فرآیندی سه مرحله‌ای بستری را به منظور سرقت اطلاعات و شنود ترافیک شبکه برای مهاجمان فراهم می‌کند. این سه مرحله به‌شرح زیر است:

• مرحله اول – در این مرحله، بدافزار حضور خود را بر روی دستگاه دائمی می‌کند. همچنین با بهره‌گیری از چندین مکانیزم کنترلی وارد مرحله دوم بدافزار می‌شود.
• مرحله دوم – در این مرحله مهاجمان قادر به اجرای فرامین و سرقت داده‌ها می‌شوند. یکی از قابلیت‌های قابل استفاده توسط مهاجمان در این مرحله – در برخی از نمونه‌ها –، از کاراندازی روتر و در نتیجه غیرفعال کردن ارتباطات شبکه‌ای است.
• مرحله سوم – در این مرحله، بدافزار مجهز به افزونه‌های مخرب متعددی می‌شود که قابلیت‌هایی نظیر شنود ارتباطات شبکه‌ای، رصد ارتباطات SCADA و برقراری ارتباط از طریق شبکه ناشناس Tor را برای مهاجمان فراهم می‌کند.

کدام دستگاه ها ممکن است به این بدافزار آلوده شده باشند؟

فهرست اعلامی توسط شرکت سیسکو به‌شرح زیر است:

• Linksys E1200
• Linksys E2500
• LinkSys WRVS4400N
• Mikrotik RouterOS Versions for Cloud Core Routers: 1016, 1036, 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Other QNAP NAS devices running QTS software
• TP-Link R600VPN

باید توجه داشت که فهرست مذکور شامل دستگاه ‌هایی است که تا کنون نمونه‌ای از آلودگی بر روی آنها توسط شرکت سیسکو شناسایی شده و بنابراین تضمینی نیست که دامنه آلودگی‌ها تنها محدود به تجهیزاتی با مشخصات فوق باشد.

آیا با راه اندازی مجدد دستگاه مشکل حل می شود؟

در حالی که مرحله اول، ماندگار بوده و حتی پس از راه‌اندازی مجدد شدن دستگاه اجرا می‌شود، مراحل دوم و سوم فاقد چنین قابلیتی هستند. سرور مصادره شده توسط FBI میزبان نشانی ToKnowAll[.]com است که بدافزار VPNFilter با اتصال به آن اقدام به اجرای مراحل دوم و سوم می‌کند. به‌همین خاطر پس از این اقدام FBI، با راه‌اندازی مجدد دستگاه، هر چند مرحله اول مجددا فعال می‌شود اما مراحل دوم و سوم که مسئول اجرای اکثر قابلیت‌های مخرب بدافزار هستند از کار می‌افتند. نکته مهم اینجاست که آنچه که مهاجمان را پیش‌تر قادر به تسخیر این دستگاه‌ها کرده – نظیر رمزعبور ضعیف، وجود آسیب‌پذیری امنیتی در ثابت‌افزار دستگاه و یا … – همچنان بر روی دستگاه وجود دارند و بنابراین مهاجمان می‌توانند با بهره‌گیری از این اشکالات امنیتی بار دیگر کنترل دستگاه را در اختیار بگیرند.

مطمئن‌ترین راهکار برای پاکسازی کامل دستگاه‌های آلوه به این بدافزار چیست؟

1- راه اندازی مجدد دستگاه و یا ترجیحا بازگرداندان تنظیمات کارخانه‌ای آن (در صورت امکان)
توجه! بازگرداندن تنظیمات کارخانه‌ای منجر به تغییر کلیه اطلاعات دستگاه به حالت پیش‌فرض اولیه می‌شود. پیش از انجام این مرحله از در دسترس بودن تنظمیات صحیح اطمینان حاصل شود.
2- تغییر رمزعبور پیش‌فرض به رمزعبوری پیچیده
3- به‌روزرسانی ثابت‌افزار دستگاه
4- اطمینان از غیرفعال بودن قابلیت Remote Administration

این بدافزار با چه نامی شناسایی می شود؟

 بدافزار VPNFilter با نام های زیر توسط محصولات امنیتی ضدویروس قابل شناسایی می‌باشد:

• Bitdefender

   – Trojan.Linux.VPNFilter.A
   – Trojan.Linux.VPNFilter.B
   – Trojan.Linux.VPNFilter.C

• McAfee

   – Linux/VPNFilter
   – Linux/VPNFilter.a

• Sophos

   – Linux/VPNFilt-A
   – Linux/VPNFilt-B
   – Linux/VPNFilt-C

این بدافزار از چه نشانی های اینترنتی استفاده می کند؟

فهرست نشانی‌های استفاده شده توسط شبکه مخرب تحت سیطره VPNFilter به شرح زیر می‌باشد:

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
91.200.13[.]76
91.214.203[.]144

6b57dcnonk2edf5a[.]onion/bin32/update.php
tljmmy4vmkqbdof4[.]onion/bin32/update.php
zuh3vcyskd4gipkm[.]onion/bin32/update.php
6b57dcnonk2edf5a[.]onion/bin32/update.php