بدافزار VPNFilter و آلوده شدن بیش از ۵۰۰ هزار دستگاه اینترنت اشیاء

 

بیش از نیم میلیون مسیریاب و دستگاه‌های ذخیره‌سازی در ده‌ها کشور به بدافزاری بات‌نت اینترنت اشیاء آلوده شده‌اند که گفته می‌شود مشابه بات‌نتی است که توسط عوامل دولت روسیه طراحی شده‌اند. محققان سیسکو تالوس این بدافزار با نام VPNFilter را شناسایی کردند. این بدافزار با قابلیت‌های چندمنظوره و برای جمع‌آوری اطلاعات، ایجاد اختلال در ارتباطات اینترنتی و اجرای سایر عملیات مخرب طراحی شده است.


این بدافزار تاکنون توانسته است بیش از ۵۰۰ هزار مسیریاب و دستگاه‌های ذخیره‌سازی متصل به اینترنت را در بیش از ۵۴ کشور آلوده کند. دستگاه‌هایی که تحت تاثیر قرار گرفته‌اند عبارتند از Linksys، MikroTik، NETGEAR و TP-Link. این بدافزار یک بدافزار چندمرحله‌ای و ماژولار است که می‌تواند گواهی‌نامه‌های وب‌سایت‌ها را به سرقت برده و سیستم‌های SCADA را کنترل کند مانند سیستم‌هایی که در شبکه‌های توزیع برق و سایر کارخانه‌ها وجود دارد.


ارتباطات این بدافزار با سرور دستور و کنترل از طریق شبکه‌ی گمنامی Tor صورت می‌گیرد و برای زمانی‌که می‌خواهد به‌طور عمدی عملیات خود را بر روی مسیریاب‌ها خاتمه دهد، دارای سوئیچ مرگ (KillSwitch) است. برخلاف سایر بدافزارهای حوزه‌ی اینترنت اشیاء، VPNFilter کار خود را با راه‌اندازی مجدد آغاز می‌کند، با عملیات ویژه‌ای بر روی دستگاه قربانی به سازوکار ماندگاری دست پیدا می‌کند و در نهایت شرایط را برای استقرار بدافزار مرحله‌ی دوم آماده می‌کند.


بدافزار پوشه‌ای را در مسیر (/var/run/vpnfilterw) ایجاد کرده و فایل‌های خود را برای مخفی کردن در آن ذخیره می‌کند و این مسیر دلیل نام‌گذاری بدافزار VPNFilter است. بررسی بر روی این بدافزار هنوز در حال انجام است و محققان تالوس در مورد اینکه چگونه بهره‌برداری صورت گرفته و سیستم به این بدافزار آلوده می‌شود توضیحی ارائه نکرده‌اند. با این حال محققان اطمینان داده اند که این بدافزار برای آلوده کردن دستگاه‌های قربانی از آسیب‌پذیری روز-صفرم بهره‌برداری نمی‌کند.


این در صورتی است که به نظر می‌رسد بدافزار دستگاه‌هایی با آسیب‌پذیری‌های عمومی و شناخته‌شده که در آن‌ها از گواهی‌نامه‌های پیش‌فرض استفاده شده را هدف قرار می‌دهد. محققان اطمینان دارند که دولت روسیه پشت بدافزار VPNFilter قرار دارد چرا که کد این بدافزار جدید با بدافزار BlackEnergy هم‌پوشانی زیادی دارد. بدافزار BlackEnergy حملات وسیعی را علیه دولت اوکراین انجام داد و دولت آمریکا آن را به دولت روسیه نسبت داده بود.


هرچند گفته شده این بدافزار ۵۴ کشور را هدف قرار داده ولی بیشترین آلودگی به این بدافزار در اوکراین بوده است. این بدافزار دارای ویژگی تخریب‌کننده است به‌طوری که می‌تواند دستگاه آلوده را بلااستفاده کند و می‌تواند در دسترسی صدها تا هزاران کاربر در سراسر جهان اختلال ایجاد کند. در صورتی‌که به این بدافزار آلوده شدید، دستگاه‌های خود را به تنظیمات کارخانه بازنشانی کرده و هرچه سریع‌تر ثابت‌افزارهای دستگاه‌های خود را به‌روزرسانی کنید. 


همچنین توصیه می‌شود برای جلوگیری از آلوده شدن به چنین بدافزارهایی، پسوردهای پیش‌فرض دستگاه‌ها را حتما تغییر دهید. اگر هم دستگاه شما قدیمی بوده و قابل به‌روزرسانی نیست، کلا آن را دور انداخته و دستگاه جدید خریداری کنید. همچنین توصیه می‌شود دستگاه‌های خود را پشت دیواره‌ی آتش قرار داده و تا زمانی‌که نیاز ندارید، قبلیت‌های مدیریت از راه دور را غیرفعال کنید.
 

منبع

پست‌های مشابه

Leave a Comment