ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

تکنولوژی

آلودگی بیش از نیم میلیون روتر به بد افزار VPNFilter؛ با نحوه کارکرد و رفع آن آشنا شوید

در اوایل خرداد سیسکو اعلام کرد که بیش از 500 هزار روتر و تجهیزات شبکه به بد افزار VPNFilter آلوده شده اند، اکنون مشخص شده است این بد افزار که روسیه در توسعه آن دست داشته، ...

علی باقرزاده
نوشته شده توسط علی باقرزاده | ۲۰ خرداد ۱۳۹۷ | ۲۰:۱۵

در اوایل خرداد سیسکو اعلام کرد که بیش از 500 هزار روتر و تجهیزات شبکه به بد افزار VPNFilter آلوده شده اند، اکنون مشخص شده است این بد افزار که روسیه در توسعه آن دست داشته، خطرناک تر از آن است که تصور می شد.

به تازگی محققان تیم امنیتی سیسکو اعلام کرده اند که این بد افزار مدل های متنوع تری از تجهیزات شبکه را تحت تأثیر قرار داده اند؛ مدل هایی که پیش از این تصور می شد آلوده نمی شوند.

پلاگین های VPNFilter کدام ها هستند؟

این بدافزار پلاگین های متنوعی دارد که در ادامه به آنها اشاره می کنیم:

  • ssler که اِسلِر خوانده می شود برای ردیابی و دستکاری ترافیک وب روی پورت 80 و به منظور حمله مرد میانی به کار می رود که در ادامه در مورد آن بیشتر توضیح می دهیم.
  • dstr که پلاگینی برای بازنویسی فایل های فرم ویر دستگاه است. سیسکو دریافته بود که VPNFilter می تواند فرم ویر دستگاه را پاک کند با این حال اکنون مشخص شده که این قابلیت به مرحله سوم حمله اختصاص دارد که این موضوع را نیز در ادامه بیشتر تشریح خواهیم کرد.
  •  ps پلاگینی است که می تواند پکت های شبکه را شنود کرده و برخی از انواع ترافیک شبکه را حذف کند. سیسکو معتقد است این پلاگین می تواند برای پکت های ویژه مودباس  به کار روند که به طور ویژه در نرم افزارهای صنعتی تجهیزات اسکادا کاربرد دارند. با این حال اخیراً شواهدی دال بر کاربرد این پلاگین در نظارت بر تجهیزات صنعتی از طریق VPN روی روتر تی پی-لینک R600 مشاهده شده است.
  • tor که پلاگینی برای استفاده توسط بات های VPNFilter به منظور ارتباط با سرورها از طریق شبکه های tor است.

اصلی ترین قابلیت VPNFilter  چگونه عمل می کند؟

در بین قابلیت های VPNFilter که به تازگی کشف شده، ماژول ssler قابل توجه ترین آنها است که ترافیک های دریافتی از وب را تحت تأثیر قرار می دهد. هکرها می توانند در میانه مسیرِ تبادل اطلاعات قرار گرفته و اطلاعات مخرب مورد نظر خود را به ترافیک تزریق کنند و از مسیر روتر آلوده شده عبور دهند.

این اطلاعات مخرب می توانند به گونه ای طراحی شوند که یک دستگاه خاص که به روتر آلوده متصل شده را هدف قرار دهند. اسلر همچنین می تواند برای دستکاری داده های تحویل داده شده توسط وبسایت ها به کار رود.

VPNFilter

اسلر همچنین به گونه ای طراحی شده که می تواند داده های حساسی که توسط یک دستگاه انتهایی متصل و خارج از اینترنت رد و بدل می شود را سرقت کند. این ماژول به طور فعال آدرس های وب را بررسی می کند تا پسوردها و دیگر اطلاعات حساس رد و بدل شده را بیابد و آنها را به سرورهای مورد نظر حمله کنندگان (حتی اکنون که بیش از دو هفته از بسته شدن سرورهای مورد نظر هکرها می گذرد) ارسال کند.

به منظور دور زدن رمزنگاری TLS که در واقع برای مقابله با چنین حملاتی طراحی شده، اسلر تلاش می کند اتصالات پروتکل رمز نگاری شده HTTPS را به ترافیک متن ساده مبتنی بر HTTP (بدون رمزگذاری) تنزل دهد. پس از آن هِدر درخواست بسته داده را به گونه ای تغییر می دهد که نقطه نهایی اتصال قادر به استفاده از ارتباط رمزنگاری شده نباشد.

همه ترافیک شبکه متعلق به VPNFilter است

تا پیش از این تصور می شد هدف VPNFilter برای حمله به روترهای خانگی-اداری، سوییچ ها و دستگاه های ذخیره سازی متصل به شبکه است. در حالی که اکنون (در روش هایی که در بالا توضیح داده شد) مشخص شده که هدف اصلی این بد افزار حمله به مالکان روترها است.

VPNFilter

بنا بر گفته «کرِگ ویلیامز» مدیر ارشد فناوری در شرکت امنیتی تالوس (از زیر مجموعه های سیسکو)، بدافزار مورد بحث می تواند موجودی حساب بانکی شما را تغییر دهد و حتی هر داده ای که از دستگاه شما خارج می شود یا با آن دریافت می کنید را دستکاری کند.

چه دستگاه هایی در مقابل VPNFilter آسیب پذیر هستند؟

شرکت تالوس اعلام کرده دستگاه هایی که در مقابل VPNFilter آسیب پذیر هستند متنوع تر از آن است که پیش از این تصور می شد. تخمین زده شده که به تعداد 200 هزار عدد روتر دیگر نیز به تعداد 500 هزار قبلی اضافه شوند. در ادامه می توانید لیست تمامی دستگاه هایی که تاکنون آسیب پذیر تشخیص داده شده اند را مشاهده کنید:

دستگاه های ایسوس:

RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U

دستگاه های دی-لینک:

DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N

دستگاه های هواوی:

HG8245

دستگاه های لینکسیس:

E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N

دستگاه های میکروتیک:

CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5

دستگاه های نت گیِر:

DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50

دستگاه های کیونَپ:

TS251
TS439 Pro

سایر دستگاه های ذخیره سازی متصل به شبکه کیونپ که نرم افزار QTS را اجرا می کنند

دستگاه های تیپی-لینک:

R600VPN
TL-WR741ND
TL-WR841N

دستگاه های یوبیکیوتی:
NSM2
PBE M5

دستگاه های آپوِل:
یک مدل نامشخص

دستگاه های زد تی ای:
ZXHN H108N

بد افزار جدید کاملاً هدفمند عمل می کند

در یکی از بررسی ها مشخص شده که ترافیکِ داده های سیستم های کنترلی ویژه ای که به شبکه VPN روتر تی پی-لینک R600 متصل بوده اند مورد پایش قرار گرفته اند. علاوه بر این ماژول شنود مورد بحث در پی اتصالات آدرس های IP تخصیص داده شده بوده. همچنین بسته های داده ای که 150 بایت یا بیشتر حجم داشته اند، توسط بد افزار مورد نظارت قرار گرفته اند.

VPNFilter

ویلیامز در این باره معتقد است که آنها (هکرها) به دنبال موارد بسیار خاصی هستند و قصد ندارند هر چه می توانند را از شبکه جمع کند و در واقع در پی مواردی از جمله پسوردها و گواهینامه ها هستند. او اعلام کرده که در حال حاضر تلاش می کنند دریابند که چه کسانی از این بدافزار بهره می برند.

مراحل عملکرد VPNFilter

در گزارش به جزئیات ماژول خود تخریبی اشاره شده که می تواند به صورت خودکار ردپای VPNFilter را از دستگاه حذف کند. پیش از این اشاره شده بود که می توان با ریبوت کردن روترها، از فعالیت VPNFilter جلوگیری کرد، ولی گزارش ها نشان می دهند که بات نت (شبکه هایی متشکل از مجموعه ای از کامپیوترها که توسط مهاجمان برای انجام فعالیت های مخرب به کار می روند) مرتبط با آن هنوز فعال است.

ویلیامز عقیده دارد که دلیل این موضوع به طراحی عمداً تقسیم بندی شده بد افزار باز می گردد؛ در مرحله اول به عنوان یک درب پشتی عمل می کند و یکی از معدود بخش های شناخته شده آن می تواند از فرایند ریبوت شدن روتر نیز جان به در ببرد. مراحل دوم و سوم نیز قابلیت های پیشرفته ای را برای حملات مرد میانی و قابلیت خود تخریبی فراهم می کنند که به این ترتیب با هر بار روبوت شدن روتر مجدداً فرایند نصب بد افزار آغاز می شود.

VPNFilter

به منظور تطبیق با این محدودیت، مرحله اول به مکانیزم پیچیده ای برای یافتن سرورهایی تکیه می کند که اطلاعات مورد نظر برای مراحل دوم و سوم در آنها موجود هستند. ابتدا این اطلاعات در وبسایتی قرار داده شده بود که پس از مسدود شدن آن، VPNFilter از یک وبسایت جایگزین استفاده کرد.

با این حال دستگاه هایی که پیش از مسدود شدن وبسایت اولیه در مرحله اول آلوده شده بودند، می توانند توسط هکرها مورد سوء استتفاده قرار گرفته و به صورت دستی VPNFilter روی روتر نصب شود. به این ترتیب می توان گفت که صدها هزار روتر همچنان به مرحله های اول و شاید دوم و سوم آلوده هستند.

آیا راهی برای اطلاع از آلوده بودن احتمالی روتر و حذف بد افزار وجود دارد؟

متأسفانه راه ساده ای برای این موضوع وجود ندارد. یک روش این است که در بین لاگ های ثبت شده در روتر جستجو کنید تا نمونه ای از مواردی که در گزارش سیسکو به آن اشاره شده را بیابید.

مورد دیگر مهندسی معکوس فرم ویر روتر یا حداقل دریافت ایمیج آن از روی روتر و مقایسه آن با نمونه مجاز است تا به این ترتیب تغییرات احتمالی آن مشخص شود. هر دو این روش ها از عهده بسیاری از مالکان روترها خارج است. باید اشاره کرد که محققان هنوز نمی دانند که روترها چگونه در مرحله اول آلوده شده اند.

مراحل پاکسازی کامل دستگاه بسته به مدل متفاوت است. در برخی مدل ها ممکن است با فشردن کلید ریست در پشت دستگاه و بازگشت به تنظیمات کارخانه، اطلاعات مرتبط با مرحله اول پاک شود. به این منظور توجه داشته باشید که در بسیاری از روترها فشردن سریع این کلید تنها دستگاه را ریست می کند و برای بازگشت به تنظیمات کارخانه باید آن را بیشتر و به میزانی که در دفترچه روتر به آن اشاره شده، نگه دارید (مثلا بیش از 5 یا 10 ثانیه).

VPNFilter

در برخی مدل ها باید روتر را ریبوت کرده و به سرعت آخرین نسخه رسمی فرم ویر را روی آن نصب کنید. شاید هم در نهایت مجبور شوید یک روتر جدید خریداری کنید.

جمع بندی

کاربران روترها باید همواره پسوردهای پیش فرض روتر خود را تعویض کرده و در صورت امکان دسترسی ادمین از راه دور را نیز غیر فعال کنند. علاوه بر این می توان از یک فایروال قبل از روتر استفاده کرد تا به این ترتیب امنیت بالاتری فراهم شود. ویلیامز اعلام کرده که هنوز شواهدی مبنی بر آلودگی فرم ویرهای شخصی سازی شده Tomato و Merlin WRT و DD-WRT توسط VPNFilter مشاهده نشده البته احتمال آلودگی آنها منتفی نیست.

پیش از این FBI اعلام کرده بود که با ریبوت کردن روترها، VPNFilter  غیر فعال می شود، ولی با توجه به گزارش اخیر، ویلیامز معتقد است که FBI حس امنیت غلطی را القا کرده و VPNFilter  همچنان عملیاتی است و دستگاه های بیشتری از آنچه در ابتدا تصور می شد را آلوده کرده است.

دیدگاه‌ها و نظرات خود را بنویسید
مجموع نظرات ثبت شده (2 مورد)
  • ?️
    ?️ | ۲۰ خرداد ۱۳۹۷

    کاربران روترها باید همواره پسوردهای پیش فرض روتر خود را تعویض کرده و در صورت امکان دسترسی ادمین از راه دور را نیز غیر فعال کنند.

  • ?️
    ?️ | ۲۰ خرداد ۱۳۹۷

    انگار عملی شدن فیلم‌های علمی_تخیلی که هکرها کل اینترنت را هک می کنند چندان ناممکن و غیر واقعی نیست!

مطالب پیشنهادی