VPNFilter
VPNFilter یک بدافزار طراحی شده برای آلوده کردن روترها است. تا تاریخ 24 ماه مه 2018 چنین تخمین زده میشود که این بد افزار حدود 500000 تا 1000000 دستگاه رهیاب را آلوده کرده باشد[۱]. این بد افزار قابلیت سرقت اطلاعات را برای مجریان حمله فراهم کرده، و همچنین با داشتن قابلیت کلید مرگ یا «kill switch» این امکان را به شخص حمله کننده میدهد که دستگاه رهیاب را از کار انداخته و غیر قابل استفاده نماید [۲][۳]. پلیس فدرال آمریکا این احتمال را میدهد که این بدافزار توسط گروه حملات سایبری Fancy Bear (Pawn Storm) ایجاد و گسترش داده شده باشد.
دستگاه های آسیب پذیر[ویرایش]
بررسی بدافزار VPNFilter نشان میدهد که قابلیت آلوده سازی روترهای صنعتی و همچنین روترهای خانگی و اداری تولید شده توسط شرکتهای Linksys، MikroTik، Netgear، و TP-Link را دارا میباشد. لیست زیر شامل دستگاهایی میباشد که آسیب پذیری آنها تایید شده است [۴]:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Other QNAP NAS devices running QTS software
- TP-Link R600VPN
ساز و کار بد افزار[ویرایش]
این بدافزار شامل یه مرحله کلی میشود. در مرحله اول بدافزار با استفاده از شناسه کاربری و رمز شناخته شده دستگاه، یا با استفاده از آسیب پذیری های شناخته شده برای دستگاه (استفاده از آسیب پذیری های روز صفر تایید نشده است) وارد دستگاه شده و روی آن نصب میشود و در همین مرحله یک اتصال با کانال فرمان و کنترل (Command and Control Infrastructure(C&C)) برای دریافت فرامین بعدی برقرار مینماید. مرحله دوم کد اصلی حمله یا Payload اصلی را بارگذاری میکند که توانایی جمع آوری فایل از ترافیک، اجرای فرامین، استخراج داده، و کنترل دستگاه را برای حمله کننده فراهم میکند. این کار با دریافت یک دستور از C&C و اجرای آن روی دستگاه و سپس ریبوت کردن آن به شکل خودکار انجام میشود. در مرحله سوم برخی افزونه ها برای حملات مرحله دوم معرفی و بارگذاری میشوند. به عنوان مثال یک اسنیفر به منظور سرقت اطلاعات از ترافیک و به خصوص مانیتورینگ داده های پروتکل های Modbus SCADA به روتر اضافه میشوند. یکی دیگر از افزونه ها مرحله سوم قابلیت ارتباط با مرکز کنترل (C&C) از طریق شبکه Tor را فراهم میکند.[۵]
پیشگیری[ویرایش]
راهکار اصلی پیشگیری این حمله بازگرداندن رهیاب به تنظیمات اصلی کارخانه و تنظیم دیواره آتش به منظور جلوگیری از نفوذ به دستگاه و همچنین حذف قابلیت کنترل از راه دور به منظور جلوگیری از نفوذ مجدد به روتر میباشد. همچنین میبایست رمز عبور پیشفرض روتر تغیر کرده و سطح دسترسی ها کنترل شوند[۶].
منابع[ویرایش]
https://en.wikipedia.org/wiki/VPNFilter
- ↑ https://blog.talosintelligence.com/2018/05/VPNFilter.html
- ↑ https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware
- ↑ https://www.us-cert.gov/ncas/current-activity/2018/05/23/VPNFilter-Destructive-Malware
- ↑ https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware
- ↑ https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware
- ↑ http://nsec.ir/news/vpnfilter-botnet-malware
This article "VPNFilter" is from Wikipedia. The list of its authors can be seen in its historical and/or the page Edithistory:VPNFilter. Articles copied from Draft Namespace on Wikipedia could be seen on the Draft Namespace of Wikipedia and not main one.