با وجود فورپاشی زیرساخت باتنت VPNFilter هنوز هم عوامل این بدافزار مسیریابهای واقع در اوکراین را هدف قرار میدهند. این باتنت ماه قبل توسط محققان سیسکو تالوس معرفی شد و نزدیک به ۵۰۰ هزار مسیریاب و دستگاههای ذخیرهسازی مبتنی بر شبکه در ۵۴ کشور را هدف قرار داده بود.
این بدافزار میتواند بر روی دستگاه آلوده به شنود اطلاعات بپردازد، بر روی ارتباطات مبتنی بر پروتکل Modbus SCADA نظارت داشته و اثرات مخربی بر روی دستگاه آسیبپذیر داشته باشد بهطور که دستگاه هدف میتواند بالااستفاده شود. در مرحلهی اول از فرآیند آلودگی، این بدافزار وقتی مقداردهیهای اولیهی خود را کامل کرد، تلاش میکند تا از آدرسهای IP مربوط به تصاویری که بر روی سرویس Photobucket میزبانی میشوند، یکی را بدست آورد. اگر این رویه با شکست مواجه شد، تلاش میکند تا آدرس IP را از تصاویر موجود بر روی دامنهی پشتیبان toknowall.com کسب کند. این آدرس IP به سروری اشاره میکند که بار دادهی مرحلهی دوم بدافزار را میزبانی میکند.
سرویس Photobucket حساب کاربری که در این حملات مورد استفاده قرار میگرفت را بست و FBI نیز دامنهی پشتیبان toknowall.com را از کار انداخت و در نهایت عملیات این باتنت متوقف شد. هرچند این بدافزار طوری طراحی شده است که اگر دامنهی پشتیبان از کار بیفتد، یک شنودکننده ایجاد کرده و منتظر بستهی تریگر خاص باقی میماند. این طراحی به مهاجمان اجازه میدهد تا همچنان بتوانند برای مولفهی مرحلهی دوم آدرس IP تهیه کنند.
هرچند هنوز بهطور کامل مشخص نیست که کارشناسان امنیتی و FBI برای متوقف کردن این بدافزار از چه روشهایی استفاده کردهاند ولی گزارشهای حاکی از آن است که باتنت VPNFilter حتی پس از انتشار گزارش مربوط به سیسکو تالوس و جمعآوری دامنهی پشتیبان toknowall.com همچنان به کار خود ادامه داده و مسیریابها در اوکراین را هدف قرار میدهد.
محققان اسکن آدرسهای IP بر روی پورت شمارهی ۲۰۰۰ را مشاهده کردهاند و به نظر میرسد مهاجمان به دنبال مسیریابهای آسیبپذیر MikroTik واقع در اوکراین هستند. آدرس IP مبدا ای اسکنها در روسیه، برزیل، آمریکا و سوئیس ردیابی شده است. گفتهها حاکی از آن است که حملهی بدافزار VPNFilter توسط روسیه و گروه نفوذ APT28 اجرا میشود و هدف اصلی آن کشور اوکراین است. این بدافزار دستگاههای متعلق به شرکتهای Linksys، MikroTik ،Netgear، TP-Link and ،QNAP را هدف قرار داده است.
محققان توصیه میکنند برای حذف موقتی این بدافزار، قربانیان دستگاههای آسیبپذیر خود را مجددا راهاندازی (ریبوت) کنند هرچند این بدافزار برخلاف بدافزارهای دیگر با راهاندازی مجدد از کار نیفتاده و دارای سازوکار ماندگاری بر روی سیستم قربانی است و مولفهی مرحلهی اول آن در برابر راهاندازی مجدد دستگاه مقاومت میکند.