به نقل از «مهر»

۱۰۰ کشور هدف حمله بدافزار «VPN فیلتر»/ نحوه محافظت در برابر تهدید

تاریخ انتشار: ۶ خرداد ۱۳۹۷ | کد خبر: ۱۸۷۹۹۲۶۶

به گزارش خبرنگار مهر، مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری با اشاره به گزارش منتشر شده توسط Cisco Talos، اعلام کرد که بدافزار جدید «وی پی ان فیلتر» با ویژگیهای منحصر به فردی دستگاه‌ها و روترهای اینترنت اشیاء (IoT ) را مورد هدف قرار داده است. طبق اعلام سیسکو، تحقیقات صورت گرفته روی این بدافزار هنوز به پایان نرسیده اما به دلیل مخاطرات تاثیرگذار این بدافزار، یافته‌های کنونی به صورت عمومی به اشتراک گذاشته شده تا دستگاه‌ها و قربانیان تحت تاثیر قرار گرفته بتوانند محافظت‌ها و اقدامات لازم را انجام دهند.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

طبق تحقیقات صورت گرفته، کدهای این بدافزار با بدافزار BlackEnergy که حملات گسترده‌ای را روی دستگاه‌های مستقر در کشور اکراین انجام داده، همپوشانی و اشتراک دارد. در حال حاضر نیز، بدافزار VPNFilter به سرعت در حال انتشار در کشور اکراین است و همچنین از یک سرور C&C (C۲) مستقر در این کشور نیز بهره می‌برد.

بر اساس گزارش‌های ارائه شده، وسعت حملات و قابلیت‌های این بدافزار نگران‌کننده است. به طور کلی تخمین زده می‌شود که حداقل ۵۰۰ هزار دستگاه در ۵۴ کشور مختلف آلوده شده‌اند.

این تحقیقات نشان می دهد که تاکنون، دستگاه‌های Linksys، MikroTik، NETGEAR، تجهیزات شبکه‌ای دفاتر کوچک و منازل (SOHO) TP-Link و دستگاه‌های ذخیره‌سازی متصل به شبکه (NAS) QNAP هدف این بدافزار بوده‌اند. با توجه به تحقیقات فعلی سیسکو، هیچ دستگاهی از شرکت‌های دیگر از جمله سیسکو تاکنون توسط VPNFilter آلوده نشده‌اند.

بدافزار VPNFilter دارای ویژگی‌های بسیار مخربی است، بطوریکه اجزاء این بدافزار می‌تواند اطلاعات مربوط به احراز هویت وبسایت‌ها را به سرقت ببرد و بر پروتکل‌های Modbus SCADA نظارت کند. علاوه براین، این بدافزار می‌تواند دستگاه‌های آلوده را کاملا از کار بیاندازد و دسترسی هزاران قربانی در سطح جهان را از اینترنت قطع کند.

به دلیل نوع دستگاه‌های مورد هدف، محافظت در برابر این بدافزار مشکل است. این نوع دستگاه‌ها در محیط شبکه هستند و دارای سیستم محافظت نفوذ (IPS) نیز نیستند. همچنین این دستگاه‌ها سیستم محافظت مبتنی بر میزبان مانند بسته های آنتی‌ویروس نیز ندارند.

مرکز افتا با ارائه یافته‌های فنی در مورد این بدافزار، روش‌های مقابله با این تهدید و نحوه مدیریت دستگاه آلوده شده را اعلام کرد.

VPNFilter، بدافزاری چند مرحله‌ای

بدافزار VPNFilter یک بدافزار چند مرحله‌ای، با ساختار ماژولار و دارای قابلیت‌های مختلف است که می‌تواند عملیات‌ جمع‌آوری اطلاعات و حملات سایبری را پشتیبانی کند.

بدافزار در مرحله اول، نسبت به راه اندازی مجدد دستگاه اقدام می‌کند، فرایندی که این بدافزار را با سایر بدافزارهای دستگاه‌های IoT متمایز می‌کند. زیرا به طور معمول یک بدافزار پس از راه‌اندازی مجدد دستگاه، در آن باقی نمی‌ماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیاده سازی مرحله دوم فراهم شود.

در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده می‌کند. این امر باعث می‌شود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیش‌بینی زیرساخت‌های سرورهای C&C مقاوم باشد.

قابلیت‌های بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمع‌آوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخه‌های بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد. بطوریکه با بدست گرفتن کنترل بخش حیاتی Firmware دستگاه و راه اندازی مجدد آن، باعث از کار افتادن دستگاه می‌شود.

در مرحله سوم، ماژول‌های مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل می‌کنند. این پلاگین‌ها قابلیت‌های بیشتری به بدافزار مرحله دوم اضافه می‌کنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که عبارتند از یک packet sniffer که روی ترافیک شبکه نظارت می‌کند تا اطلاعات احراز هویت سایت‌ها را به سرقت ببرد و روی پروتکل‌های Modbus SCADA نظارت کند و دوم یک ماژول ارتباطی که برای بدافزار مرحله دوم امکان ارتباط از طریق Tor را فراهم می‌کند.

سیسکو با اطمینان زیادی ادعا کرده است که ماژول‌های دیگری نیز موجود هستند که هنوز قادر به کشف آنها نشده‌اند.  

فعالیت‌های بدافزار

به دنبال تحقیقات صورت گرفته توسط سیسکو به منظور مشخص شدن ابعاد این تهدید و رفتار دستگاه‌های آلوده، این گروه تحلیل‌های نظارتی را در دستور کار خود قرار داده است. نتایج حاکی از آن است که این تهدید، جهانی و وسیع است و به دنبال گسترش خود است.

در اوایل ماه می میلادی اسکن‌های TCP فراوانی روی پورت‌های ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ دستگاه‌های آلوده مشاهده شده است. اسکن این پورت‌ها نشان می‌دهد که مهاجمان به دنبال دستگاه‌های NAS مربوط به QNAP و Mikrotik هستند. این اسکن‌ها دستگاه‌های بیش از ۱۰۰ کشور مختلف را مورد هدف قرار داده است.

در تاریخ ۸ ماه می، فعالیت‌های این بدافزار گسترش یافته است و تقریبا تمامی قربانیان جدید از کشور اوکراین بوده است. همچنین، در تاریخ ۱۷ می، قربانیان جدیدی از کشور اوکراین نیز مشاهده شدند که اهمیت این مخاطره جدی را بیان می‌کند.

وابستگی حملات

طبق بررسی‌های صورت گرفته، ارتباطاتی میان حملات انجام شده از طریق بدافزار VPNFilter و گروه Sofacy یا FancyBear مشخص شده است. گروه Sofacy پیش‌تر در حملات سایبری بین‌المللی علیه امریکا و سایر کشورها از طرف دولت روسیه نقش داشته است. این گروه با عناوین apt۲۸، sandworm، x-agent، pawn storm، fancy bear و sednit نیز شناخته می‌شود.

محافظت در برابر این تهدید

به دلیل ماهیت دستگاه‌های آلوده، محافظت در برابر این تهدید بسیار مشکل است. اکثر دستگاه‌ها به اینترنت متصل هستند و هیچ لایه امنیتی میان آنها و مهاجمان وجود ندارد. علاوه بر این، اغلب دستگاه‌های آلوده دارای آسیب‌پذیریهای شناخته‌شده هستند و اعمال وصله برای آنها برای کاربران معمولی دشوار است. از طرفی، بیشتر این دستگاه‌ها قابلیت‌های ضد بدافزار نیز ندارند. سه مورد بیان شده دلایل کافی بر این امر هستند که مقابله با این تهدید فرایند دشواری است.

با این وجود سیسکو از زوایای مختلفی، محافظت‌هایی برای این تهدید ارائه کرده است. در همین راستا بیش از ۱۰۰ امضای Snort برای آسیب‌پذیری دستگاه‌های مربوط به این تهدید منتشر شده است. این قوانین بصورت عمومی منتشر شده‌اند تا همه بتوانند از آنها استفاده کنند. بعلاوه، سیسکو دامنه‌ها، IPها و hash فایل‌های مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکت‌های Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاع‌رسانی شده است.

توصیه‌ها

انجام موارد زیر از طرف سیسکو توصیه شده‌اند:

•  کاربران روترهای SOHO و دستگاه‌های NAS، دستگاه‌های خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله ۲ و ۳ از دستگاه حذف شوند.

•  ارائه دهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران راه‌اندازی مجدد کنند.

•  اگر دستگاهی مشکوک به آلوده بودن توسط این بدافزار است، نسبت به بروزرسانی آن به آخرین وصله‌های ارائه شده توسط سازنده اقدام فوری شود.

•  ارائه دهندگان سرویس اینترنت اطمینان حاصل کنند که دستگاه‌های مشتریان به آخرین نسخه‌های نرم‌افزار یا Firmware بروزرسانی شده باشند.

• بدلیل احتمال انجام عملیات مخرب این عامل تهدید روی سایر دستگاه‌ها، توصیه می‌شود که موارد فوق برای تمامی دستگاه‌های SOHO یا NAS مدنظر قرار گیرند.

کد خبر 4307302 معصومه بخشی پور

منبع: مهر

کلیدواژه: بد افزار حملات سایبری نوآوری معاونت علمی و فناوری ریاست جمهوری تحقیقات علمی امنیت اطلاعات وزارت ارتباطات و فناوری اطلاعات محمد جواد آذری جهرمی گوگل اینترنت فناوری فضایی فضای مجازی سخت افزار ایالات متحده آمریکا فناوری نانو هوشمندسازی

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت www.mehrnews.com دریافت کرده‌است، لذا منبع این خبر، وبسایت «مهر» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۸۷۹۹۲۶۶ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

جنجال مراسم «چهارمین عروسی» فرمانده طالبـان | او ایران را به حمله نظامی تهدید کرده! | فیلم

انتشار تصاویری از کاروان ماشین‌های گران‌قیمت در مراسم عروسی عبدالحمید خراسانی، فرمانده حامی طالبان در شبکه‌های اجتماعی واکنش‌برانگیز شده است.

به گزارش فرارو، افزون بر کاربران مخالف طالبان، شماری از کاربران حامی طالبان هم به شدت از او و تجمل‌گرایی در این مراسم انتقاد کردند. شماری از آن‌ها با منتشر کردن این ویدیو‌ها به کنایه نوشته‌اند: ما برای همین مبارزه کردیم؟

گفته شده که این چهارمین ازدواج عبدالحمید خراسانی است. او در گفتگو با شماری از رسانه‌ها این خبر را تایید کرده است. این در حالی است که رهبر طالبان چند سال پیش با صدور فرمانی اعضای ارشد و فرماندهان این گروه را ترغیب به کنار گذاشتن رسم تعدد همسران کرده بود.

عبدالحمید خراسانی یک روز پس از مراسم خبرساز و در واکنش به انتقاد‌های تازه به او، ویدیویی منتشر کرد و گفت که تمام این خودرو‌ها که در مراسم عروسی او دیده شده، مال او نیست.

اما در تصاویر دیده می‌شود که شمار زیادی از این خودرو‌ها -هرچند به شکل غیررسمی- پلاک «خراسانی» دارند.

او در پیام ویدیویی منتقدان خود را در حکومت طالبان متعصبین خواند و گفت: دیروز محفل عروسی ما طبق سنت نبوی بود. دوستان و بزرگان و مجاهدین امارت ... آمده بودند. اقارب و دوستان لطف کرده بودند. یک کاروان بزرگ از دوستان به وجود آمد... خراسانی چه کاره است که این قدر لندکروزر داشته باشد و اینقدر افراد مسلح داشته باشد؟ دوستان است، اقارب است و مجاهدین است. جنازه هم اگر باشد پنجاه موتر (ماشین) دوست و اقارب می‌آید.

عبدالحمید خراسانی از فرماندهان خبرساز حامی طالبان است. او سال گذشته در جریان درگیری‌های مرزی میان افغانستان و ایران، ایران را تهدید به حمله کرده بود.