ایران در معرض خطر حمله یک بدافزار جدید

گروه دانش و فن  مرجان محمدی

مرکز ماهر از خطر احتمالی بدافزار VPNFilter در روزها و ساعات آینده در کشور خبر داده که تاکنون بیش از ۵۰۰ هزار قربانی در جهان داشته‌ است. مرکز ماهر مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌یی وزارت ارتباطات و فناوری اطلاعات از خطر احتمالی بدافزار VPNFilter در روزها و ساعات آینده در کشور خبر داده است. بنابراعلام این مرکز، خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از انتشار احتمالی بدافزار VPNFilter در ساعات و روزهای آینده در کشور می‌دهد. گزارش‌های موجود حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی در جهان داشته‌است و این عدد نیز افزایش خواهد داشت. قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال است. تجهیزات و دستگاه‌های برندهای مختلف شامل NETGEAR، Mikrotik، Linksys و TP-Link و همچنین تجهیزات ذخیره‌سازیQNAP در صورت عدم بروز رسانی مستعد آ‌لوده شدن به این بدافزار هستند. با توجه به استفاده بالای برندهای فوق در کشور، هشدار حاضر ارائه‌دهندگان سرویس‌ها، مدیران شبکه‌ها و کاربران را مخاطب قرار می‌دهد که نسبت به جلوگیری از آلودگی و ایمن‌سازی، اقدامات لازم را در دستور کار قراردهند. نوع دستگاه‌های آلوده به این بدافزار بیشتر از نوع دستگاه‌های غیرBackbone هستند و قربانیان اصلی این بدافزار، کاربران و شرکت‌هایISP کوچک و متوسط هستند. VPNFilter یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت در حال رشد است. این بدافزار ساختاری پیمانه‌یی دارد که به آن امکان افزودن قابلیت‌های جدید و سوءاستفاده از ابزارهای کاربران را فراهم می‌کند. با توجه به استفاده بسیار زیاد از دستگاه‌هایی مورد حمله و دستگاه هایIOT عدم توجه به این تهدید ممکن است منجر به اختلال فلج‌کننده در بخش‌هایی از سرویس‌ها و خدمات شود. در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه‌های متصل به اینترنت کشور و هزینه بسیار زیاد برای تجهیز مجدد این دستگاه‌ها شود. توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاه‌های آلوده نیست. مرکز مدیریت راهبردی افتای ریاست‌جمهوری با بررسی بدافزار مخرب «VPNFilter» که ۵۰۰ هزار دستگاه در بیش از ۵۴ کشور را آلوده کرده، اعلام کرد که ۱۰۰ کشور هدف حمله این نرم افزار مخرب هستند.

 حمله به روترهای اینترنت اشیا

 مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست‌جمهوری با اشاره به گزارش منتشر شده توسط Cisco Talos، اعلام کرد که بدافزار جدید VPNFilter با ویژگی‌های منحصربه‌فردی دستگاه‌ها و روترهای اینترنت اشیا (IoT) را مورد هدف قرار داده است. طبق اعلام سیسکو، تحقیقات صورت گرفته روی این بدافزار هنوز به پایان نرسیده اما به دلیل مخاطرات تاثیرگذار این بدافزار، یافته‌های کنونی به صورت عمومی به اشتراک گذاشته شده تا دستگاه‌ها و قربانیان تحت تاثیر قرار گرفته بتوانند محافظت‌ها و اقدامات لازم را انجام دهند.

طبق تحقیقات صورت گرفته، کدهای این بدافزار با بدافزار BlackEnergy که حملات گسترده‌یی را روی دستگاه‌های مستقر در کشور اکراین انجام داده، همپوشانی و اشتراک دارد. در حال حاضر نیز، بدافزار VPNFilter به سرعت در حال انتشار در کشور اکراین است و همچنین از یک سرور C&C (C2) مستقر در این کشور نیز بهره می‌برد. بر اساس گزارش‌های ارائه شده، وسعت حملات و قابلیت‌های این بدافزار نگران‌کننده است. به‌طور کلی تخمین زده می‌شود که حداقل ۵۰۰ هزار دستگاه در ۵۴ کشور مختلف آلوده شده‌اند.

این تحقیقات نشان می‌دهد که تاکنون، دستگاه‌های Linksys، MikroTik، NETGEAR، تجهیزات شبکه‌یی دفاتر کوچک و منازل (SOHO TP-Link) و دستگاه‌های ذخیره‌سازی متصل به شبکه (NAS QNAP) هدف این بدافزار بوده‌اند. با توجه به تحقیقات فعلی سیسکو، هیچ دستگاهی از شرکت‌های دیگر از جمله سیسکو تاکنون توسط VPNFilter آلوده نشده‌اند. بدافزار VPNFilter دارای ویژگی‌های بسیار مخربی است، به‌طوریکه اجزاء این بدافزار می‌تواند اطلاعات مربوط به احراز هویت وبسایت‌ها را به سرقت ببرد و بر پروتکل‌های Modbus SCADA نظارت کند. علاوه براین، این بدافزار می‌تواند دستگاه‌های آلوده را کاملا از کار بیاندازد و دسترسی هزاران قربانی در سطح جهان را از اینترنت قطع کند. به دلیل نوع دستگاه‌های مورد هدف، محافظت در برابر این بدافزار مشکل است. این نوع دستگاه‌ها در محیط شبکه هستند و دارای سیستم محافظت نفوذ (IPS) نیز نیستند. همچنین این دستگاه‌ها سیستم محافظت مبتنی بر میزبان مانند بسته‌های آنتی‌ویروس نیز ندارند.

مرکز افتا با ارائه یافته‌های فنی در مورد این بدافزار، روش‌های مقابله با این تهدید و نحوه مدیریت دستگاه آلوده شده را اعلام کرد.

 بدافزاری با حملات چند مرحله‌ای

بدافزار VPNFilter یک بدافزار چند مرحله‌ای، با ساختار ماژولار و دارای قابلیت‌های مختلف است که می‌تواند عملیات‌ جمع‌آوری اطلاعات و حملات سایبری را پشتیبانی کند.

بدافزار در مرحله اول، نسبت به راه‌اندازی مجدد دستگاه اقدام می‌کند، فرایندی که این بدافزار را با سایر بدافزارهای دستگاه‌های IoT متمایز می‌کند. زیرا به‌طور معمول یک بدافزار پس از راه‌اندازی مجدد دستگاه، در آن باقی نمی‌ماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیاده‌سازی مرحله دوم فراهم شود.

در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده می‌کند. این امر باعث می‌شود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیش‌بینی زیرساخت‌های سرورهای C&C مقاوم باشد. قابلیت‌های بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمع‌آوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخه‌های بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد. به‌طوریکه با بدست گرفتن کنترل بخش حیاتی Firmware دستگاه و راه‌اندازی مجدد آن، باعث از کار افتادن دستگاه می‌شود. در مرحله سوم، ماژول‌های مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل می‌کنند. این پلاگین‌ها قابلیت‌های بیشتری به بدافزار مرحله دوم اضافه می‌کنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که عبارتند از یک packet sniffer که روی ترافیک شبکه نظارت می‌کند تا اطلاعات احراز هویت سایت‌ها را به سرقت ببرد و روی پروتکل‌های Modbus SCADA نظارت کند و دوم یک ماژول ارتباطی که برای بدافزار مرحله دوم امکان ارتباط از طریق Tor را فراهم می‌کند. سیسکو با اطمینان زیادی ادعا کرده است که ماژول‌های دیگری نیز موجود هستند که هنوز قادر به کشف آنها نشده‌اند.

به دنبال تحقیقات صورت گرفته توسط سیسکو به منظور مشخص شدن ابعاد این تهدید و رفتار دستگاه‌های آلوده، این گروه تحلیل‌های نظارتی را در دستور کار خود قرار داده است. نتایج حاکی از آن است که این تهدید، جهانی و وسیع است و به دنبال گسترش خود است. در اوایل ماه می‌میلادی اسکن‌های TCP فراوانی روی پورت‌های ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ دستگاه‌های آلوده مشاهده شده است. اسکن این پورت‌ها نشان می‌دهد که مهاجمان به دنبال دستگاه‌های NAS مربوط به QNAP و Mikrotik هستند. این اسکن‌ها دستگاه‌های بیش از ۱۰۰ کشور مختلف را مورد هدف قرار داده است. در تاریخ ۸ ماه می، فعالیت‌های این بدافزار گسترش یافته است و تقریبا تمامی قربانیان جدید از کشور اوکراین بوده است. همچنین، در تاریخ ۱۷ می، قربانیان جدیدی از کشور اوکراین نیز مشاهده شدند که اهمیت این مخاطره جدی را بیان می‌کند. طبق بررسی‌های صورت گرفته، ارتباطاتی میان حملات انجام شده از طریق بدافزار VPNFilter و گروه Sofacy یا FancyBear مشخص شده است. گروه Sofacy پیش‌تر در حملات سایبری بین‌المللی علیه آمریکا و سایر کشورها از طرف دولت روسیه نقش داشته است. این گروه با عناوین apt۲۸، sandworm، x-agent، pawn storm، fancy bear و sednit نیز شناخته می‌شود.

 محافظت در برابر تهدیدهای بدافزار

به دلیل ماهیت دستگاه‌های آلوده، محافظت در برابر این تهدید بسیار مشکل است. اکثر دستگاه‌ها به اینترنت متصل هستند و هیچ لایه امنیتی میان آنها و مهاجمان وجود ندارد. علاوه بر این، اغلب دستگاه‌های آلوده دارای آسیب‌پذیری‌های شناخته‌شده هستند و اعمال وصله برای آنها برای کاربران معمولی دشوار است. از طرفی، بیشتر این دستگاه‌ها قابلیت‌های ضد بدافزار نیز ندارند. سه مورد بیان شده دلایل کافی بر این امر هستند که مقابله با این تهدید فرایند دشواری است. با این وجود سیسکو از زوایای مختلفی، محافظت‌هایی برای این تهدید ارائه کرده است. در همین راستا بیش از ۱۰۰ امضای Snort برای آسیب‌پذیری دستگاه‌های مربوط به این تهدید منتشر شده است. این قوانین بصورت عمومی منتشر شده‌اند تا همه بتوانند از آنها استفاده کنند. بعلاوه، سیسکو دامنه‌ها، IPها و hash فایل‌های مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکت‌های Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاع‌رسانی شده است.

 توصیه‌های سیسکو

به منظور مقابله با این بدافزار سیسکو توصیه‌هایی را از قبیل اینکه کاربران روترهای SOHO و دستگاه‌های NAS، دستگاه‌های خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله ۲ و ۳ از دستگاه حذف شوند، ارائه‌دهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران راه‌اندازی مجدد کنند، اگر دستگاهی مشکوک به آلوده بودن توسط این بدافزار است، نسبت به بروزرسانی آن به آخرین وصله‌های ارائه شده توسط سازنده اقدام فوری شود.  ارائه‌دهندگان سرویس اینترنت اطمینان حاصل کنند که دستگاه‌های مشتریان به آخرین نسخه‌های نرم‌افزار یا Firmware بروزرسانی شده باشند، بدلیل احتمال انجام عملیات مخرب این عامل تهدید روی سایر دستگاه‌ها، توصیه می‌شود که موارد فوق برای تمامی دستگاه‌های SOHO یا NAS مدنظر قرار گیرند. به کاربران کرده است تا بتوانند در برابر این بدافزار خطرناک آسیب نبینند یا آسیب کمتری ببینند.