محققان امنیتی همچنان بررسی بر روی بدافزار VPNFilter را ادامه داده و قابلیتهای جدیدی در آن شناسایی کردند. همچنین مشخص شده است که این بدافزار دستگاههای بیشتری از آنچه که در ابتدا گزارش شده بود را تحت تاثیر قرار میدهد. در گزارش اولیهای که در مورد این بدافزار توسط سیسکو تالوس منتشر شده بود، ۱۶ مسیریاب و دستگاههای ذخیرهساز مبتنی بر شبکه از شرکتهای Linksys، MikroTik، Netgear، TP-Link و QNAP آسیبپذیر اعلام شده بودند.
به تازگی مشخص شده است که این بدافزار علاوه بر هدف قرار دادن دستگاههای قبلی، میتواند دستگاههایی از شرکتهای ASUS، D-Link، Huawei، Ubiquiti، UPVEL و ZTE را نیز هدف حملات خود قرار دهد. شرکت تالوس در حال حاضر فهرستی از ۵۰ دستگاه آسیبپذیر در برابر این بدافزار را گزارش کرده است. محققان نمونهای از این بدافزار را شناسایی کردند که محصولات UPVEL را هدف قرار داده است ولی دقیقا نمیدانند چه مدلهایی از این دستگاه تحت تاثیر قرار گرفته است.
کارشناسان امنیتی همچنین یک ماژول بهرهبرداری مرحلهی ۳ را شناسایی کردند که هنگام عبور ترافیک از دستگاه آلوده، میتواند محتوای مخرب را در آن ترافیک تزریق کند. این ماژول جدید ssler نام داشته و میتواند دادهها را از دستگاه آلوده به بیرون ارسال کرده و با شنود ترافیک بر روی پورت شماره ۸۰، قابلیت تزریق کدهای جاوا اسکریپت را نیز دارد. وبسایتهایی که بدین صورت آلوده میشوند و مکانهایی که دادههای استخراجی در آن ذخیره میشود، تحت کنترل مهاجمان خواهد بود.
پس از تحلیلهای اولیه یک ماژول مرحلهی ۳ دیگر با نام distr کشف شد که به ماژولهای مرحلهی ۲ اجازه میدهد تا بدافزار را از روی دستگاه آلوده حذف کرده و دستگاه را بهطور کامل بلااستفاده کند. یکی از قابلیتهای جالب در بدافزار VPNFilter نظارت بر ارتباطات شبکه مبتنی بر پروتکل Modbus SCADA است.
در شناسایی اولیهی باتنت VPNFilter گزارش شده بود که این بدافزار توانسته است نزدیک به ۵۰۰ هزار دستگاه را در ۵۴ کشور آلوده کند. هرچند هدف اصلی این بدافزار برای حمله اوکراین و همچنین آمریکاست. در بررسیهای اولیه این بدافزار به کشور روسیه نسبت داده شده است. FBI در تلاش بود با توقیف کردن یکی از دامنههای پشتیبان که از بار دادهی بدافزار میزبانی میکرد، زیرساختهای این باتنت را از کار بیندازد ولی محققان اعلام کردهاند که این بدافزار همچنان به هدف قرار دادن مسیریابها در اوکراین ادامه میدهد.