۱۰ تیر ۱۳۹۷

دفاع در برابر بات‌نت جدیدی به نام VPNFilter

/
نظرات0
/

یک بات نت جدید که اخیراً گزارش شده VPNFilter نام دارد، و محیط سامانه های کنترل صنعتی را هدف قرار می دهد. این بات نت پروتکل های MODBUS SCADA را زیر نظر گرفته و اعتبارنامه وبسایت را بیرون می کشد.

تا کنون بالای ۵۰۰ هزار روتر و سرورهای متصل به شبکه تحت حمله VPNFilter قرار گرفته اند. این بات نت دارای مؤلفه ای است که قادر است تنها یک دستگاه هدف را بی استفاده سازد و یا بطور همزمان طی یک حمله گسترده، تمامی دستگاههای آلوده را بی استفاده سازد.

تیم تحقیق خطرات امنیتتی "تالوس" در سیسکو اخیراً طی ارتباطی با اتحادیه تهدیدات سایبری (CTA) به آنها درباره کشف این بات نت گزارش داده است. هشدار زودهنگام و به اشتراک گذاری اطلاعات درباره این خطر، دقیقاً همان عملی است که CTA به منظور ارائه آن ایجاد شده است. این کار به همه واحدهای امنیتی این امکان را می دهد که خطرات جدید را شناخته و پیش از انتشار عمومی جزئیات آن بتوانند اقدامات لازم در جهت حفظ امنیت در مقابل آن را انجام دهند.

تحقیقات اولیه درباره VPNFilter نشان می دهد که یک سیستم بدافزاری ماژولار و پیشرفته تحت حمایت دولت است که بطور ساکت و مخفیانه توانسته روترهای خانگی و نیز روتر کسب و کارهای کوچک و نیز دستگاههای ذخیره سازی وابسته به شبکه (NAS) را آلوده سازد.

فعالیت این گروه در ابتدا در حملاتی هدفمند در کشور اوکراین مشاهده شد، اما اطلاعات بدست آمده حاکی از آن هستند که دستگاه هایی در بیشتر از ۱۰۰ کشور در حال اسکن شدن روی پورت های ۲۳ ، ۸۰ ، ۲۰۰۰ و ۸۰۸۰ هستند، که نشان دهنده اسکن اضافی برای دستگاه های ذخیره سازی وابسته به شبکه آسیب پذیر میکروتیک و QNAP است.

عملیات VPNFilter طی سه مرحله صورت می گیرد:
  • مرحله اول روی ماندگاری و افزونگی تمرکز دارد و می تواند طی یک راه اندازی مجدد فعال شود.
  • مرحله دوم شامل واکشی اطلاعات، اجرای دستور، جمع آوری فایل و مدیریت دستگاه می باشد. همچنین در برخی نسخه ها در این مرحله ماژول خودتخریبی نیز وجود دارد.
  • مرحله سوم شامل ماژول هایی است که وظایف مختلفی بر عهده دارند. در حال حاظر سه ماژول شناسایی شده، اما احتمال می رود ماژول های دیگری نیز وجود داشته باشند. ماژول های شناخته شده عبارتند از:
  1. یک شنود بسته برای تحلیل ترافیک و واکشی اطلاعات موجود.
  2. نظارت بر پروتکل های MODBUS SCADA .
  3. ارتباط با آدرس‌های مبهم از طریق TOR .

با این حال بزرگترین خطر ایجاد شده توسط این حمله جدید، انجام خودتخریبی بطور همزمان در تمامی دستگاههای آلوده شده می باشد. در حالیکه هنوز اطلاعات بیشتری درباره تعداد دستگاههای آلوده شده در دست نیست، انجام این عمل خوتخریبی می تواند به قطع اینترنت در یک ناحیه جغرافیایی هدف منجر شود.

بسیاری از دستگاههای حوزه اینترنت اشیا، به ویژه دستگاههای موجود در کسب و کارهای کوچک یا محیط های مسکونی، بطور مستقیم و بدون هیچ رویکرد امنیتی به اینترنت متصل شده اند. از این رو دفاع در برابر این حمله در این گروه از دستگاهها، امر بسیار دشواری است. این بدان معناست که سازندگان دستگاهها باید به روز رسانی هایی برای آنها ارائه دهند.

بدلیل شدت خطر این بدافزار، توصیه می شود که دستگاههای آلوده سریعاً به روز رسانی شوند، و حتی در صورتی که وصله امنیتی برای دستگاهی موجود نباشد، آن دستگاه را جایگزین کرد.

به علاوه برخی توصیه های گروه تالوس در ادامه خواهند آمد.

توصیه‌ها

روترهای SOHO و دستگاههای NAS باید راه اندازی مجدد شوند تا بدافزار بالقوه مخرب در مراحل ۲ و ۳ حذف شود.

ارائه دهندگان سرویس اینترنتی که روترهای SOHO آلوده را به کاربرانشان داده اند، باید روترها را از سمت مشتریان  خود راه اندازی مجدد نمایند.

درصورتیکه نسبت به آلوده شدن دستگاهتان مشکوک هستید، ضروریست که با سازنده آن در ارتباط باشید تا از به روز بودن دستگاهتان به آخرین وصله های ایمنی اطمینان حاصل کنید.

ارائه دهندگان سرویس اینترنت باید اطمینان حاصل کنند که مشتریان آنها از جدیدترین نسخه های نرم افزار و سیستم عامل مربوط به دستگاه هایشان استفاده می کنند.

 

مرجع

[۱]. Defending Against the New VPNFilter Botnet: https://www.fortinet.com/blog/threat-research/defending-against-the-new-vpnfilter-botnet.html