«نماینده» / گزارشهای موجود حاکی از آن است که این بدافزار تاکنون بیش از ۵۰۰ هزار قربانی در جهان داشته است و این عدد نیز افزایش خواهد داشت.
لازم به ذکر است که قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال است.
تجهیزات و دستگاههای برندهای مختلف شامل NETGEAR Mikrotik Linksys و TP- Link و همچنین تجهیزات ذخیرهسازی QNAP در صورت عدم بروزرسانی مستعد آلوده شدن به این بدافزار هستند.
با توجه به استفاده بالای برندهای فوق در کشور، هشدار حاضر ارائهدهندگان سرویسها، مدیران شبکهها و کاربران را مخاطب قرار میدهد که نسبت به جلوگیری از آلودگی و ایمنسازی، اقدامات لازم را که در ادامه به آنها اشاره شده است در دستور کار قرار دهند.
لازم به ذکر است نوع دستگاههای الوده به این بدافزار بیشتر از نوع دستگاههای غیر Backbone هستند و قربانیان اصلی این بدافزار، کاربران و شرکتهای ISP کوچک و متوسط هستند.
در این گزارش شرح مختصری از شیوه عمل این بدافزار و روشهای مقابله با آن ارائه خواهد شد.
تشریح بدافزار
VPNFilter یک بدافزار چند مرحله است که توانایی جمعآوری داده از دستگاه قربانی و انجام حملات مخرب را دارد؛ در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست میآورد.
بر خلاف بسیاری از بدافزارها روی دستگاههای IoT که با راهاندازی مجدد دستگاه از بین میروند، این بدافزار با راهاندازی مجدد از میان نخواهد رفت! هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است.
در مرحله اول، دستورات مختلفی (و در برخی اوقات تکراری) جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه میشود. در این مرحله آدرس IP دستگاه جهت استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار میگیرد.
شناسایی قربانیان
بر اساس بررسیهای انجام شده توسط آزمایشگاهها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص
تعلق ندارند و این بدافزار در تمامی مناطق فعال بوده است.
دستگاههای قربانیان پس از آلودگی شروع به پویش بر روی درگاههای ۲۰۰۰ ,۸۰ ,۲۳ و ۸۰۸۰ پروتکل TCP میکنند و از این طریق قابل شناسایی است (دستگاههایی که مداوم این چهار پورت را پایش میکنند مشکوک به آلودگی هستند.)
مقابله با آلودگی
به خاطر ماهیت دستگاههای الوده شده و هم به سبب نوع آلودگی چند مرحلهای که امکان پاک کردن آن را دشوار میکند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است، مشکل از آنجا آغاز میشود که بیشتر این دستگاهها بدون هیچ دیوارهی آتش با ابزار امنیتی به اینترنت متصل هستند.
دستگاههای آلوده شده دارای قابلیتهای ضدبدافزار داخلی نیز نیستند.
بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود؛ گروه پژوهشی Talos حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که میتواند جهت جلوگیری از انتشار این آلودگی به دستگاههای شناخته شده مورد استفاده قرار گیرد.
پیشنهادات
در صورت آلودگی، بازگردانی تنظیمات به حالت پیش قرض کارخانه منجر به حذف کدهای غیرمقیم میشود؛ میانافزار و لیست تجهیزاتی که در ادامه گزارش قید شدهاند حتما بروز رسانی شوند؛ شرکتهای ارائهدهندهی سرویسهای اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده را اطلاعرسانی نمایند؛ مسدودسازی ارتباطات با دامنهها و آدرسهای آبی که در تحلیلهای امینتی و گزارشات به آنها اشاره شده است.
با توجه به مقیم بودن مرحله ۱ بدافزار و احتمال انجام اعمال خرابکارانه مانند پاک کردن میان افزار، عدم اقدام به موقع و سهل انگاری در این زمینه ممکن است باعث عدم پایداری شبکه قربانی شود.
جمعبندی
VPNFilter یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت در حال رشد است. این بدافزار ساختاری پیمانهای دارد که به آن امکان افزودن قابلیتهای جدید و سوءاستفاده از ابزارهای کاربران را فراهم میکند.
با توجه به استفاده بسیار زیاد از دستگاههای مورد حمله و IOT عدم توجه به این تهدید ممکن است منجر به اختلال فلج کننده در بخشهایی از سرویسها و خدمات شود.
در بدترین حالت این بدافزار قادر به از کار انداختن دستگاههای متصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز مجدد این دستگاهها شود؛ توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاههای آلوده نیست.