هشدار فوری: به این فیلترشکن نزدیک نشوید

بدافزار«وی.پی.ان فیلتر» که تاکنون بیش از پانصد هزار قربانی در جهان گرفته، بر اساس هشدار مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای کشور ممکن است تا ساعت های دیگر فضای مجازی ایران را نیز درگیر خود کند.

هشدار فوری: به این فیلترشکن نزدیک نشوید
فرش سال
کپی شد
کدخبر: 394344

بدافزارها کدهایی هستند که توسط برنامه نویسان نوشته می شوند تا بوسیله آن بدون اجازه مالک سیستم، آن را آلوده و اقدام به کارهای ناخواسته یا خرابکارانه کنند.

بدافزار جدید «وی.پی.ان فیلتر»(VPNFilter) نام دارد که تاکنون بیش از نیم میلیون مسیریاب (روتر) و دستگاه های ذخیره سازی شبکه (NAS) مربوط به اینترنت اشیا را در 54 کشور جهان آلوده کرده است.

این بدافزار دارای ماهیت خود تخربی، کنترل دیتای سیستم قربانی، گردآوری اطلاعات، پایش (مانیتور) ترافیک اینترنت دستگاه قربانی و تخریب گواهی معتبر امنیتی است که می تواند دستگاه های آلوده شده را از کار انداخته و غیرقابل استفاده کند.

این بدافزار برخلاف سایر تهدیدات اینترنت اشیا قادر به حفظ حضور دائمی خود در یک دستگاه آلوده حتی بعد از راه اندازی مجدد است و دارای طیف وسیعی از قابلیت ها از جمله جاسوسی بر روی ترافیک از طریق دستگاه های روت شده است.

اکنون مرکز ماهر هشداری فوری درباره رواج احتمالی این بدافزار در فضای مجازی کشور داده است.

مرکز ماهر در هشدار خود آورده است: خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از انتشار احتمالی بدافزاروی.پی.ان فیلتر در ساعات و روزهای آینده در کشور می‌دهد و گزارش‌های موجود حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی در جهان داشته ‌است و این عدد افزایش نیز خواهد داشت.

مرکز ماهر تاکید کرد، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در همه مناطق فعال است.

ارسال دستور از راه دور برای گردآوری اطلاعات سیستم قربانی، مرحله بعدی حمله سایبری توسط این بدافزار است تا محصولات مربوط به اینترنت اشیاء را تحت مدیریت و فرمان خود در آورد.

در مرحله سوم از حمله، نرم افزار پایش (اپلیکیشنِ مانیتورکردن) ترافیکِ اینترنت، روی دستگاه قربانی نصب‌شده و گواهینامه معتبر امنیتی تخریب می‌شود و سپس ارتباطات جدید بین سیستم قربانی و شبکه تور (TOR) برقرار می‌شود.

تور سامانه‌ای است که برای ناشناس ماندن کاربران در محیط اینترنت به کار می‌رود و از نرم‌افزار کارخواه و شبکه‌ای از سرویس دهنده‌ها تشکیل شده و می‌تواند داده‌هایی از کاربران را مانند جایگاه و نشانی پروتکل اینترنت پنهان کند.

نوع دستگاههای آلوده به این بدافزار بیشتر از نوع دستگاههای غیر زیرساختی (بک بون) هستند و قربانیان اصلی این بدافزار نیز کاربران و شرکتهای ISP کوچک و متوسط گزارش شده اند.


در این گزارش شرح مختصری از شیوه عمل این بدافزار و روشهای مقابله با آن ارائه خواهد شد:

تشریح بدافزار:

VPNFilter یک بدافزار چندمرحله است که توانایی جمع آوری داده از دستگاه قربانی و انجام حملات مخرب را دارد. درمرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می آورد. برخلاف بسیاری از بدافزارها روی دستگاههایIOT که با راه اندازی مجدد دستگاه از بین می روند، این بدافزار با راه اندازی مجدد از میان نخواهد رفت.

هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است. درمرحله اول، دستورات مختلفی و در برخی اوقات تکراری، جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه می شود. در این مرحله آدرسIP دستگاه جهت استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار می گیرد.

شناسایی قربانیان:

براساس بررسی های انجام شده توسط آزمایشگاه ها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار درتمامی مناطق فعال است.

دستگاههای قربانیان پس از آلودگی شروع به پویش روی درگاههای ۲۳، ۸۰ و ۲۰۰۰ و ۸۰۸۰ پروتکل TCP می کنند و از این طریق قابل شناسایی است. دستگاههایی که مداوم این ۴ پورت را پایش می کنند مشکوک به آلودگی هستند .

مقابله با آلودگی:

به خاطر ماهیت دستگاههای آلوده شده و هم به سبب نوع آلودگی چندمرحله ای که امکان پاک کردن آن را دشوار می کند ، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است.

مشکل از آنجا آغاز می شود که بیشتر این دستگاهها بدون هیچ دیواره آتش (فایروال) یا ابزار امنیتی به اینترنت متصل هستند. دستگاههای آلوده شده دارای قابلیتهای ضدبدافزار داخلی نیز نیستند.

برهمین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه پژوهشی Talos حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که می تواند جهت جلوگیری از انتشار این آلودگی به دستگاههای شناخته شده مورد استفاده قرار گیرد.

پیشنهادات:

۱. در صورت آلودگی، بازگردانی تنظیمات به حالت پیش فرض کارخانه منجر به حذف کدهای غیرمقیم می شود.

۲. میان افزار و لیست تجهیزاتی که در این گزارش قید شده اند حتما به روزرسانی شوند.

۳. شرکتهای ارائه دهنده سرویسهای اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده را اطلاع رسانی کنند.

۴. مسدود سازی ارتباطات با دامنه ها و آدرس های آپی که در تحلیل های امینتی و گزارشات به آنها اشاره شده است.

۵. با توجه به مقیم بودن مرحله یک بدافزار و احتمال انجام اعمال خرابکارانه مانند پاک کردن میان افزار، عدم اقدام به موقع و سهل انگاری در این زمینه ممکن است باعث عدم پایداری شبکه قربانی شود.

جمع بندی:

VPNFilter یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت درحال رشد است .

این بدافزار ساختاری پیمانه ای دارد که به آن امکان افزودن قابلیت های جدید و سوء استفاده از ابزارهای کاربران را فراهم می کند . با توجه به استفاده بسیار زیاد از دستگاه هایی مورد حمله و دستگاههای اینترنت اشیا ( IOT ) ، عدم توجه به این تهدید ممکن است منجر به اختلال فلج کننده در بخش هایی از سرویسها و خدمات شود.

در بدترین حالت این بدافزار قادر به از کار انداختن دستگاههای متصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز مجدد این دستگاهها خواهد بود. توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاه های آلوده نیست.

منبع: ایسنا/مهر/نود اقتصادی

729

کلینیک دلخند
شبکه‌های اجتماعی
پیوندها
دیدگاهتان را بنویسید

اخبار جنگ
GSM pay
نوین هاست
رایتل موبایل
زبان ایران
تازه‌ها
اخبار، تحلیل و مذاکرات
پربازدید‌ها
دیروزبان - تاریخ و ادبیات
پیشنهاد سردبیر