بیش از نیم میلیون مسیریاب و دستگاههای ذخیرهسازی در دهها کشور به بدافزاری باتنت اینترنت اشیاء آلوده شدهاند که گفته میشود مشابه باتنتی است که توسط عوامل دولت روسیه طراحی شدهاند. محققان سیسکو تالوس این بدافزار با نام VPNFilter را شناسایی کردند. این بدافزار با قابلیتهای چندمنظوره و برای جمعآوری اطلاعات، ایجاد اختلال در ارتباطات اینترنتی و اجرای سایر عملیات مخرب طراحی شده است.
این بدافزار تاکنون توانسته است بیش از ۵۰۰ هزار مسیریاب و دستگاههای ذخیرهسازی متصل به اینترنت را در بیش از ۵۴ کشور آلوده کند. دستگاههایی که تحت تاثیر قرار گرفتهاند عبارتند از Linksys، MikroTik، NETGEAR و TP-Link. این بدافزار یک بدافزار چندمرحلهای و ماژولار است که میتواند گواهینامههای وبسایتها را به سرقت برده و سیستمهای SCADA را کنترل کند مانند سیستمهایی که در شبکههای توزیع برق و سایر کارخانهها وجود دارد.
ارتباطات این بدافزار با سرور دستور و کنترل از طریق شبکهی گمنامی Tor صورت میگیرد و برای زمانیکه میخواهد بهطور عمدی عملیات خود را بر روی مسیریابها خاتمه دهد، دارای سوئیچ مرگ (KillSwitch) است. برخلاف سایر بدافزارهای حوزهی اینترنت اشیاء، VPNFilter کار خود را با راهاندازی مجدد آغاز میکند، با عملیات ویژهای بر روی دستگاه قربانی به سازوکار ماندگاری دست پیدا میکند و در نهایت شرایط را برای استقرار بدافزار مرحلهی دوم آماده میکند.
بدافزار پوشهای را در مسیر (/var/run/vpnfilterw) ایجاد کرده و فایلهای خود را برای مخفی کردن در آن ذخیره میکند و این مسیر دلیل نامگذاری بدافزار VPNFilter است. بررسی بر روی این بدافزار هنوز در حال انجام است و محققان تالوس در مورد اینکه چگونه بهرهبرداری صورت گرفته و سیستم به این بدافزار آلوده میشود توضیحی ارائه نکردهاند. با این حال محققان اطمینان داده اند که این بدافزار برای آلوده کردن دستگاههای قربانی از آسیبپذیری روز-صفرم بهرهبرداری نمیکند.
این در صورتی است که به نظر میرسد بدافزار دستگاههایی با آسیبپذیریهای عمومی و شناختهشده که در آنها از گواهینامههای پیشفرض استفاده شده را هدف قرار میدهد. محققان اطمینان دارند که دولت روسیه پشت بدافزار VPNFilter قرار دارد چرا که کد این بدافزار جدید با بدافزار BlackEnergy همپوشانی زیادی دارد. بدافزار BlackEnergy حملات وسیعی را علیه دولت اوکراین انجام داد و دولت آمریکا آن را به دولت روسیه نسبت داده بود.
هرچند گفته شده این بدافزار ۵۴ کشور را هدف قرار داده ولی بیشترین آلودگی به این بدافزار در اوکراین بوده است. این بدافزار دارای ویژگی تخریبکننده است بهطوری که میتواند دستگاه آلوده را بلااستفاده کند و میتواند در دسترسی صدها تا هزاران کاربر در سراسر جهان اختلال ایجاد کند. در صورتیکه به این بدافزار آلوده شدید، دستگاههای خود را به تنظیمات کارخانه بازنشانی کرده و هرچه سریعتر ثابتافزارهای دستگاههای خود را بهروزرسانی کنید.
همچنین توصیه میشود برای جلوگیری از آلوده شدن به چنین بدافزارهایی، پسوردهای پیشفرض دستگاهها را حتما تغییر دهید. اگر هم دستگاه شما قدیمی بوده و قابل بهروزرسانی نیست، کلا آن را دور انداخته و دستگاه جدید خریداری کنید. همچنین توصیه میشود دستگاههای خود را پشت دیوارهی آتش قرار داده و تا زمانیکه نیاز ندارید، قبلیتهای مدیریت از راه دور را غیرفعال کنید.