۱۰۰ کشور هدف حمله بدافزار «VPN فیلتر»
مرکز مدیریت راهبردی افتای ریاست جمهوری با بررسی بدافزار مخرب «VPNFilter» که ۵۰۰ هزار دستگاه در بیش از ۵۴ کشور را آلوده کرده، اعلام کرد که ۱۰۰ کشور هدف حمله این نرم افزار مخرب هستند.
خبرگزاری مهر: مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری با اشاره به گزارش منتشر شده توسط Cisco Talos، اعلام کرد که بدافزار جدید «وی پی ان فیلتر» با ویژگیهای منحصر به فردی دستگاهها و روترهای اینترنت اشیاء (IoT ) را مورد هدف قرار داده است. طبق اعلام سیسکو، تحقیقات صورت گرفته روی این بدافزار هنوز به پایان نرسیده اما به دلیل مخاطرات تاثیرگذار این بدافزار، یافتههای کنونی به صورت عمومی به اشتراک گذاشته شده تا دستگاهها و قربانیان تحت تاثیر قرار گرفته بتوانند محافظتها و اقدامات لازم را انجام دهند.
طبق تحقیقات صورت گرفته، کدهای این بدافزار با بدافزار BlackEnergy که حملات گستردهای را روی دستگاههای مستقر در کشور اکراین انجام داده، همپوشانی و اشتراک دارد. در حال حاضر نیز، بدافزار VPNFilter به سرعت در حال انتشار در کشور اکراین است و همچنین از یک سرور C&C (C۲) مستقر در این کشور نیز بهره میبرد.
بر اساس گزارشهای ارائه شده، وسعت حملات و قابلیتهای این بدافزار نگرانکننده است. به طور کلی تخمین زده میشود که حداقل ۵۰۰ هزار دستگاه در ۵۴ کشور مختلف آلوده شدهاند.
این تحقیقات نشان می دهد که تاکنون، دستگاههای Linksys، MikroTik، NETGEAR، تجهیزات شبکهای دفاتر کوچک و منازل (SOHO) TP-Link و دستگاههای ذخیرهسازی متصل به شبکه (NAS) QNAP هدف این بدافزار بودهاند. با توجه به تحقیقات فعلی سیسکو، هیچ دستگاهی از شرکتهای دیگر از جمله سیسکو تاکنون توسط VPNFilter آلوده نشدهاند.
بدافزار VPNFilter دارای ویژگیهای بسیار مخربی است، بطوریکه اجزاء این بدافزار میتواند اطلاعات مربوط به احراز هویت وبسایتها را به سرقت ببرد و بر پروتکلهای Modbus SCADA نظارت کند. علاوه براین، این بدافزار میتواند دستگاههای آلوده را کاملا از کار بیاندازد و دسترسی هزاران قربانی در سطح جهان را از اینترنت قطع کند.
به دلیل نوع دستگاههای مورد هدف، محافظت در برابر این بدافزار مشکل است. این نوع دستگاهها در محیط شبکه هستند و دارای سیستم محافظت نفوذ (IPS) نیز نیستند. همچنین این دستگاهها سیستم محافظت مبتنی بر میزبان مانند بسته های آنتیویروس نیز ندارند.
مرکز افتا با ارائه یافتههای فنی در مورد این بدافزار، روشهای مقابله با این تهدید و نحوه مدیریت دستگاه آلوده شده را اعلام کرد.
VPNFilter، بدافزاری چند مرحلهای
بدافزار VPNFilter یک بدافزار چند مرحلهای، با ساختار ماژولار و دارای قابلیتهای مختلف است که میتواند عملیات جمعآوری اطلاعات و حملات سایبری را پشتیبانی کند.
بدافزار در مرحله اول، نسبت به راه اندازی مجدد دستگاه اقدام میکند، فرایندی که این بدافزار را با سایر بدافزارهای دستگاههای IoT متمایز میکند. زیرا به طور معمول یک بدافزار پس از راهاندازی مجدد دستگاه، در آن باقی نمیماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیاده سازی مرحله دوم فراهم شود.
در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده میکند. این امر باعث میشود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیشبینی زیرساختهای سرورهای C&C مقاوم باشد.
قابلیتهای بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمعآوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخههای بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد. بطوریکه با بدست گرفتن کنترل بخش حیاتی Firmware دستگاه و راه اندازی مجدد آن، باعث از کار افتادن دستگاه میشود.
در مرحله سوم، ماژولهای مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل میکنند. این پلاگینها قابلیتهای بیشتری به بدافزار مرحله دوم اضافه میکنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که عبارتند از یک packet sniffer که روی ترافیک شبکه نظارت میکند تا اطلاعات احراز هویت سایتها را به سرقت ببرد و روی پروتکلهای Modbus SCADA نظارت کند و دوم یک ماژول ارتباطی که برای بدافزار مرحله دوم امکان ارتباط از طریق Tor را فراهم میکند.
سیسکو با اطمینان زیادی ادعا کرده است که ماژولهای دیگری نیز موجود هستند که هنوز قادر به کشف آنها نشدهاند.
فعالیتهای بدافزار
به دنبال تحقیقات صورت گرفته توسط سیسکو به منظور مشخص شدن ابعاد این تهدید و رفتار دستگاههای آلوده، این گروه تحلیلهای نظارتی را در دستور کار خود قرار داده است. نتایج حاکی از آن است که این تهدید، جهانی و وسیع است و به دنبال گسترش خود است.
در اوایل ماه می میلادی اسکنهای TCP فراوانی روی پورتهای ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ دستگاههای آلوده مشاهده شده است. اسکن این پورتها نشان میدهد که مهاجمان به دنبال دستگاههای NAS مربوط به QNAP و Mikrotik هستند. این اسکنها دستگاههای بیش از ۱۰۰ کشور مختلف را مورد هدف قرار داده است.
در تاریخ ۸ ماه می، فعالیتهای این بدافزار گسترش یافته است و تقریبا تمامی قربانیان جدید از کشور اوکراین بوده است. همچنین، در تاریخ ۱۷ می، قربانیان جدیدی از کشور اوکراین نیز مشاهده شدند که اهمیت این مخاطره جدی را بیان میکند.
وابستگی حملات
طبق بررسیهای صورت گرفته، ارتباطاتی میان حملات انجام شده از طریق بدافزار VPNFilter و گروه Sofacy یا FancyBear مشخص شده است. گروه Sofacy پیشتر در حملات سایبری بینالمللی علیه امریکا و سایر کشورها از طرف دولت روسیه نقش داشته است. این گروه با عناوین apt۲۸، sandworm، x-agent، pawn storm، fancy bear و sednit نیز شناخته میشود.
محافظت در برابر این تهدید
به دلیل ماهیت دستگاههای آلوده، محافظت در برابر این تهدید بسیار مشکل است. اکثر دستگاهها به اینترنت متصل هستند و هیچ لایه امنیتی میان آنها و مهاجمان وجود ندارد. علاوه بر این، اغلب دستگاههای آلوده دارای آسیبپذیریهای شناختهشده هستند و اعمال وصله برای آنها برای کاربران معمولی دشوار است. از طرفی، بیشتر این دستگاهها قابلیتهای ضد بدافزار نیز ندارند. سه مورد بیان شده دلایل کافی بر این امر هستند که مقابله با این تهدید فرایند دشواری است.
با این وجود سیسکو از زوایای مختلفی، محافظتهایی برای این تهدید ارائه کرده است. در همین راستا بیش از ۱۰۰ امضای Snort برای آسیبپذیری دستگاههای مربوط به این تهدید منتشر شده است. این قوانین بصورت عمومی منتشر شدهاند تا همه بتوانند از آنها استفاده کنند. بعلاوه، سیسکو دامنهها، IPها و hash فایلهای مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکتهای Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاعرسانی شده است.
توصیهها
انجام موارد زیر از طرف سیسکو توصیه شدهاند:
• کاربران روترهای SOHO و دستگاههای NAS، دستگاههای خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله ۲ و ۳ از دستگاه حذف شوند.
• ارائه دهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران راهاندازی مجدد کنند.
• اگر دستگاهی مشکوک به آلوده بودن توسط این بدافزار است، نسبت به بروزرسانی آن به آخرین وصلههای ارائه شده توسط سازنده اقدام فوری شود.
• ارائه دهندگان سرویس اینترنت اطمینان حاصل کنند که دستگاههای مشتریان به آخرین نسخههای نرمافزار یا Firmware بروزرسانی شده باشند.
• بدلیل احتمال انجام عملیات مخرب این عامل تهدید روی سایر دستگاهها، توصیه میشود که موارد فوق برای تمامی دستگاههای SOHO یا NAS مدنظر قرار گیرند.
تبلیغات متنی
-
دبیرکل سابق فدراسیون فوتبال به کما رفت و برگشت
-
شراره رخام: مدام ناراحتم و بغض دارم
-
افتتاح شعبه جدید اکسیراز؛ گسترش عرضه شمش طلای ۲۴ عیار در تهران
-
تفاوت برنزر و کانتور چیست؟ آموزش نحوه استفاده از هریک
-
رسانهها نفس ندارند؛ «گوگل دیسکاور» را برگردانید
-
معیارهایی که در انتخاب بهترین صرافی ارز دیجیتال باید جدی بگیریم
-
دانشجویان آسیبدیده در جنگ وام میگیرند
-
صداوسیما: میزان مخاطبان ما به ۷۶ درصد رسید
-
آمار عجیب صادرات زعفران ایران توسط افغانستان!
-
اینفانتینیو میلیاردر از فیفا میرود!
-
نیکزاد: تنگه هرمز به شرایط قبل از جنگ باز نمیگردد
-
امام جمعه رشت: دمار از روزگار بیحجابها درمیآوریم!
-
خالکوبی جدید علیرضا بیرانوند جلبتوجه کرد
-
غرق شدن یک خانواده ۵نفره در استخر کشاورزی
-
اقدام خودسرانه شهرداری تهران خبرساز شد
-
رسانهها نفس ندارند؛ «گوگل دیسکاور» را برگردانید
-
آمار عجیب صادرات زعفران ایران توسط افغانستان!
-
نیکزاد: تنگه هرمز به شرایط قبل از جنگ باز نمیگردد
-
اقدام خودسرانه شهرداری تهران خبرساز شد
-
تصاویر وداع با ۱۴ شهید خنثیسازی مهمات در زنجان
-
انتقاد شدید یک رسانه به اتفاقات ساحل کیش
-
فیلم ضد ایرانیِ عربستان با بودجه کلان شکست خورد
-
سازمان اطلاعات سپاه در توئیتر به ترامپ پیام داد
-
تظاهرات گسترده علیه کابینه نتانیاهو در اسرائیل
-
تشکیل پرونده برای سازندگان کلیپ جنجالیِ کیش
-
دریاچه مشهور ایران بعد از سالها قابل قایقسواری شد
-
قیمت سکه همچنان بالای ۲۰۰میلیون باقی ماند
-
اتفاقات خبرساز امارات به روایت رسانههای ایرانی
-
عکاس مشهور کافههای تهران، خانهنشین شد!
-
خودروی لاکچری یک راننده اسنپ در تهران سوژه شد
-
پخش یک صحنه کمسابقه در گزارش خبری صداوسیما
-
خبر قرارگاه خاتمالانبیا درباره احتمال جنگ مجدد
-
شمایل جدید شبکه افق صداوسیما بحثبرانگیز شد
-
خبر ناامیدکننده امیرحسین ثابتی درباره اینترنت!
-
ماجرای خبر عجیب جدایی شارجه از امارات!
-
۱۴ نیروی سپاه امروز در زنجان شهید شدند
-
اظهارات ترامپ درباره ایران ۱۸۰درجه تغییر کرد!
-
اولین واکنش کنگره به نامه ترامپ درباره ایران
-
جنگ از تنگه هرمز به سوپرمارکتها و مراکز خرید رسید
-
داستان یک بیلبورد که آینده قالیباف را پیشبینی کرد
-
حرکات عجیب ترامپ در سخنرانی دیشب سوژه شد
-
مجری فاکسنیوز سلاح جدید انتحاری ایران را معرفی کرد
-
تورم در ایران حتی برای فلافل هم جانشین پیدا کرد!
-
نامه ترامپ به کنگره درباره پایان جنگ با ایران
-
اسامی و تصاویر ۱۴ تن از شهدای دیروز زنجان
بانک اطلاعات مشاغل تهران و کرج
-
سالن های آرایش و زیبایی
-
پزشکان پوست و مو
-
آموزشگاه آشپزی در تهران
-
گالری پوشاک
-
اخذ ویزا
-
کاشت ناخن
-
محصولات پزشکی
-
تدریس خصوصی
-
مزون و شوی لباس
-
اعزام دانشجو
-
خدمات آرایشی و زیبایی
-
خدمات درمانی
-
مدارس
-
طلا و جواهر و زیورآلات
-
صرافی
-
محصولات آرایش و زیبایی
-
خدمات حیوانات خانگی
-
مهد کودک
-
مبلمان
-
سیسمونی و نوزاد
-
مراکز درمانی
-
پت شاپ
-
رستوران و تهیه غذا
-
تعمیرات مبل در تهران
-
خدمات تفریح و سرگرمی
-
پزشکان متخصص
-
باشگاه های ورزشی
-
فست فودهای تهران
-
سرویس خواب
-
موبایل
-
دکتر زنان در تهران
-
فروشگاه ها و لوازم ورزشی
-
کافی شاپ و سفره خانه
-
دکوراسیون داخلی
-
لوازم خانگی
-
دندانپزشکان
-
آموزشگاه ها
-
صنایع غذایی
-
تزیینات داخلی
-
خدمات منزل
-
دندانپزشکی کودک
-
آموزشگاه زبان در تهران
-
تشریفات و موسسه پذیرایی
-
خدمات ساختمان
-
فروش و خدمات خودرو
-
پزشکان زیبایی و لاغری
-
آموزشگاه موسیقی
-
خدمات مجالس
-
قالیشویی در تهران
-
سایر خدمات
-
جراحی بینی و زیبایی
-
آموزشگاه هنری
-
آتلیه عکاسی
-
آژانس مسافرتی و هتل
نظر کاربران
ازچاله افتاده ایم توی چاه.
همه فیلتر شکن دارند.تلگرام تهدید است درست،فیلتر شکن ها هم اضافه شد
ازچاله افتاده ایم توی چاه.
همه فیلتر شکن دارند.تلگرام تهدید است درست،فیلتر شکن ها هم اضافه شد
حالا شد بد افزار
دیگه باورژن جدید آبروی براتون نمونده ازدیروز باپروکسیها ۴۳میلیون کاربرتلگرام جولان میدن
اصلا چند فیلتر شکن ملی معرفی کنید .
یا بهترین فیلتر شکن کدومه .