به گزارش خبرنگار مهر، مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری با اشاره به گزارش منتشر شده توسط Cisco Talos، اعلام کرد که بدافزار جدید «وی پی ان فیلتر» با ویژگیهای منحصر به فردی دستگاهها و روترهای اینترنت اشیاء (IoT ) را مورد هدف قرار داده است. طبق اعلام سیسکو، تحقیقات صورت گرفته روی این بدافزار هنوز به پایان نرسیده اما به دلیل مخاطرات تاثیرگذار این بدافزار، یافتههای کنونی به صورت عمومی به اشتراک گذاشته شده تا دستگاهها و قربانیان تحت تاثیر قرار گرفته بتوانند محافظتها و اقدامات لازم را انجام دهند.
طبق تحقیقات صورت گرفته، کدهای این بدافزار با بدافزار BlackEnergy که حملات گستردهای را روی دستگاههای مستقر در کشور اکراین انجام داده، همپوشانی و اشتراک دارد. در حال حاضر نیز، بدافزار VPNFilter به سرعت در حال انتشار در کشور اکراین است و همچنین از یک سرور C&C (C۲) مستقر در این کشور نیز بهره میبرد.
بر اساس گزارشهای ارائه شده، وسعت حملات و قابلیتهای این بدافزار نگرانکننده است. به طور کلی تخمین زده میشود که حداقل ۵۰۰ هزار دستگاه در ۵۴ کشور مختلف آلوده شدهاند.
این تحقیقات نشان می دهد که تاکنون، دستگاههای Linksys، MikroTik، NETGEAR، تجهیزات شبکهای دفاتر کوچک و منازل (SOHO) TP-Link و دستگاههای ذخیرهسازی متصل به شبکه (NAS) QNAP هدف این بدافزار بودهاند. با توجه به تحقیقات فعلی سیسکو، هیچ دستگاهی از شرکتهای دیگر از جمله سیسکو تاکنون توسط VPNFilter آلوده نشدهاند.
بدافزار VPNFilter دارای ویژگیهای بسیار مخربی است، بطوریکه اجزاء این بدافزار میتواند اطلاعات مربوط به احراز هویت وبسایتها را به سرقت ببرد و بر پروتکلهای Modbus SCADA نظارت کند. علاوه براین، این بدافزار میتواند دستگاههای آلوده را کاملا از کار بیاندازد و دسترسی هزاران قربانی در سطح جهان را از اینترنت قطع کند.
به دلیل نوع دستگاههای مورد هدف، محافظت در برابر این بدافزار مشکل است. این نوع دستگاهها در محیط شبکه هستند و دارای سیستم محافظت نفوذ (IPS) نیز نیستند. همچنین این دستگاهها سیستم محافظت مبتنی بر میزبان مانند بسته های آنتیویروس نیز ندارند.
مرکز افتا با ارائه یافتههای فنی در مورد این بدافزار، روشهای مقابله با این تهدید و نحوه مدیریت دستگاه آلوده شده را اعلام کرد.
VPNFilter، بدافزاری چند مرحلهای
بدافزار VPNFilter یک بدافزار چند مرحلهای، با ساختار ماژولار و دارای قابلیتهای مختلف است که میتواند عملیات جمعآوری اطلاعات و حملات سایبری را پشتیبانی کند.
بدافزار در مرحله اول، نسبت به راه اندازی مجدد دستگاه اقدام میکند، فرایندی که این بدافزار را با سایر بدافزارهای دستگاههای IoT متمایز میکند. زیرا به طور معمول یک بدافزار پس از راهاندازی مجدد دستگاه، در آن باقی نمیماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیاده سازی مرحله دوم فراهم شود.
در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده میکند. این امر باعث میشود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیشبینی زیرساختهای سرورهای C&C مقاوم باشد.
قابلیتهای بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمعآوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخههای بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد. بطوریکه با بدست گرفتن کنترل بخش حیاتی Firmware دستگاه و راه اندازی مجدد آن، باعث از کار افتادن دستگاه میشود.
در مرحله سوم، ماژولهای مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل میکنند. این پلاگینها قابلیتهای بیشتری به بدافزار مرحله دوم اضافه میکنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که عبارتند از یک packet sniffer که روی ترافیک شبکه نظارت میکند تا اطلاعات احراز هویت سایتها را به سرقت ببرد و روی پروتکلهای Modbus SCADA نظارت کند و دوم یک ماژول ارتباطی که برای بدافزار مرحله دوم امکان ارتباط از طریق Tor را فراهم میکند.
سیسکو با اطمینان زیادی ادعا کرده است که ماژولهای دیگری نیز موجود هستند که هنوز قادر به کشف آنها نشدهاند.
فعالیتهای بدافزار
به دنبال تحقیقات صورت گرفته توسط سیسکو به منظور مشخص شدن ابعاد این تهدید و رفتار دستگاههای آلوده، این گروه تحلیلهای نظارتی را در دستور کار خود قرار داده است. نتایج حاکی از آن است که این تهدید، جهانی و وسیع است و به دنبال گسترش خود است.
در اوایل ماه می میلادی اسکنهای TCP فراوانی روی پورتهای ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ دستگاههای آلوده مشاهده شده است. اسکن این پورتها نشان میدهد که مهاجمان به دنبال دستگاههای NAS مربوط به QNAP و Mikrotik هستند. این اسکنها دستگاههای بیش از ۱۰۰ کشور مختلف را مورد هدف قرار داده است.
در تاریخ ۸ ماه می، فعالیتهای این بدافزار گسترش یافته است و تقریبا تمامی قربانیان جدید از کشور اوکراین بوده است. همچنین، در تاریخ ۱۷ می، قربانیان جدیدی از کشور اوکراین نیز مشاهده شدند که اهمیت این مخاطره جدی را بیان میکند.
وابستگی حملات
طبق بررسیهای صورت گرفته، ارتباطاتی میان حملات انجام شده از طریق بدافزار VPNFilter و گروه Sofacy یا FancyBear مشخص شده است. گروه Sofacy پیشتر در حملات سایبری بینالمللی علیه امریکا و سایر کشورها از طرف دولت روسیه نقش داشته است. این گروه با عناوین apt۲۸، sandworm، x-agent، pawn storm، fancy bear و sednit نیز شناخته میشود.
محافظت در برابر این تهدید
به دلیل ماهیت دستگاههای آلوده، محافظت در برابر این تهدید بسیار مشکل است. اکثر دستگاهها به اینترنت متصل هستند و هیچ لایه امنیتی میان آنها و مهاجمان وجود ندارد. علاوه بر این، اغلب دستگاههای آلوده دارای آسیبپذیریهای شناختهشده هستند و اعمال وصله برای آنها برای کاربران معمولی دشوار است. از طرفی، بیشتر این دستگاهها قابلیتهای ضد بدافزار نیز ندارند. سه مورد بیان شده دلایل کافی بر این امر هستند که مقابله با این تهدید فرایند دشواری است.
با این وجود سیسکو از زوایای مختلفی، محافظتهایی برای این تهدید ارائه کرده است. در همین راستا بیش از ۱۰۰ امضای Snort برای آسیبپذیری دستگاههای مربوط به این تهدید منتشر شده است. این قوانین بصورت عمومی منتشر شدهاند تا همه بتوانند از آنها استفاده کنند. بعلاوه، سیسکو دامنهها، IPها و hash فایلهای مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکتهای Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاعرسانی شده است.
توصیهها
انجام موارد زیر از طرف سیسکو توصیه شدهاند:
• کاربران روترهای SOHO و دستگاههای NAS، دستگاههای خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله ۲ و ۳ از دستگاه حذف شوند.
• ارائه دهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران راهاندازی مجدد کنند.
• اگر دستگاهی مشکوک به آلوده بودن توسط این بدافزار است، نسبت به بروزرسانی آن به آخرین وصلههای ارائه شده توسط سازنده اقدام فوری شود.
• ارائه دهندگان سرویس اینترنت اطمینان حاصل کنند که دستگاههای مشتریان به آخرین نسخههای نرمافزار یا Firmware بروزرسانی شده باشند.
• بدلیل احتمال انجام عملیات مخرب این عامل تهدید روی سایر دستگاهها، توصیه میشود که موارد فوق برای تمامی دستگاههای SOHO یا NAS مدنظر قرار گیرند.