با وجود فروپاشی زیرساخت VPNFilter، هنوز هم مسیریاب‌ها در اوکراین هدف حمله‌ی این بدافزار قرار می‌گیرند

 

با وجود فورپاشی زیرساخت بات‌نت VPNFilter هنوز هم عوامل این بدافزار مسیریاب‌های واقع در اوکراین را هدف قرار می‌دهند. این بات‌نت ماه قبل توسط محققان سیسکو تالوس معرفی شد و نزدیک به ۵۰۰ هزار مسیریاب و دستگاه‌های ذخیره‌سازی مبتنی بر شبکه در ۵۴ کشور را هدف قرار داده بود. 


این بدافزار می‌تواند بر روی دستگاه آلوده به شنود اطلاعات بپردازد، بر روی ارتباطات مبتنی بر پروتکل Modbus SCADA نظارت داشته و اثرات مخربی بر روی دستگاه آسیب‌پذیر داشته باشد به‌طور که دستگاه هدف می‌تواند بالااستفاده شود. در مرحله‌ی اول از فرآیند آلودگی، این بدافزار وقتی مقداردهی‌های اولیه‌ی خود را کامل کرد، تلاش می‌کند تا از آدرس‌های IP مربوط به تصاویری که بر روی سرویس Photobucket میزبانی می‌شوند، یکی را بدست آورد. اگر این رویه با شکست مواجه شد، تلاش می‌کند تا آدرس IP را از تصاویر موجود بر روی دامنه‌ی پشتیبان toknowall.com کسب کند. این آدرس IP به سروری اشاره می‌کند که بار داده‌ی مرحله‌ی دوم بدافزار را میزبانی می‌کند.


سرویس Photobucket حساب کاربری که در این حملات مورد استفاده قرار می‌گرفت را بست و FBI نیز دامنه‌ی پشتیبان toknowall.com را از کار انداخت و در نهایت عملیات این بات‌نت متوقف شد. هرچند این بدافزار طوری طراحی شده است که اگر دامنه‌ی پشتیبان از کار بیفتد، یک شنودکننده ایجاد کرده و منتظر بسته‌ی تریگر خاص باقی می‌ماند. این طراحی به مهاجمان اجازه می‌دهد تا همچنان بتوانند برای مولفه‌ی مرحله‌ی دوم آدرس IP تهیه کنند.


هرچند هنوز به‌طور کامل مشخص نیست که کارشناسان امنیتی و FBI برای متوقف کردن این بدافزار از چه روش‌هایی استفاده کرده‌اند ولی گزارش‌های حاکی از آن است که بات‌نت VPNFilter حتی پس از انتشار گزارش مربوط به سیسکو تالوس و جمع‌آوری دامنه‌ی پشتیبان toknowall.com همچنان به کار خود ادامه داده و مسیریاب‌ها در اوکراین را هدف قرار می‌دهد.


محققان اسکن آدرس‌های IP بر روی پورت شماره‌ی ۲۰۰۰ را مشاهده کرده‌اند و به نظر می‌رسد مهاجمان به دنبال مسیریاب‌های آسیب‌پذیر MikroTik واقع در اوکراین هستند. آدرس IP مبدا ای اسکن‌ها در روسیه، برزیل، آمریکا و سوئیس ردیابی شده است. گفته‌ها حاکی از آن است که حمله‌ی بدافزار VPNFilter توسط روسیه و گروه نفوذ APT28 اجرا می‌شود و هدف اصلی آن کشور اوکراین است. این بدافزار دستگاه‌های متعلق به شرکت‌های Linksys، MikroTik ،Netgear، TP-Link and ،QNAP را هدف قرار داده است. 

محققان توصیه می‌کنند برای حذف موقتی این بدافزار، قربانیان دستگاه‌های آسیب‌پذیر خود را مجددا راه‌اندازی (ری‌بوت) کنند هرچند این بدافزار برخلاف بدافزارهای دیگر با راه‌اندازی مجدد از کار نیفتاده و دارای سازوکار ماندگاری بر روی سیستم قربانی است و مولفه‌ی مرحله‌ی اول آن در برابر راه‌اندازی مجدد دستگاه مقاومت می‌کند.
 

 

منبع

پست‌های مشابه

Leave a Comment