ایران در معرض خطر حمله یک بدافزار جدید
گروه دانش و فن مرجان محمدی
مرکز ماهر از خطر احتمالی بدافزار VPNFilter در روزها و ساعات آینده در کشور خبر داده که تاکنون بیش از ۵۰۰ هزار قربانی در جهان داشته است. مرکز ماهر مدیریت امداد و هماهنگی عملیات رخدادهای رایانهیی وزارت ارتباطات و فناوری اطلاعات از خطر احتمالی بدافزار VPNFilter در روزها و ساعات آینده در کشور خبر داده است. بنابراعلام این مرکز، خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از انتشار احتمالی بدافزار VPNFilter در ساعات و روزهای آینده در کشور میدهد. گزارشهای موجود حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی در جهان داشتهاست و این عدد نیز افزایش خواهد داشت. قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال است. تجهیزات و دستگاههای برندهای مختلف شامل NETGEAR، Mikrotik، Linksys و TP-Link و همچنین تجهیزات ذخیرهسازیQNAP در صورت عدم بروز رسانی مستعد آلوده شدن به این بدافزار هستند. با توجه به استفاده بالای برندهای فوق در کشور، هشدار حاضر ارائهدهندگان سرویسها، مدیران شبکهها و کاربران را مخاطب قرار میدهد که نسبت به جلوگیری از آلودگی و ایمنسازی، اقدامات لازم را در دستور کار قراردهند. نوع دستگاههای آلوده به این بدافزار بیشتر از نوع دستگاههای غیرBackbone هستند و قربانیان اصلی این بدافزار، کاربران و شرکتهایISP کوچک و متوسط هستند. VPNFilter یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت در حال رشد است. این بدافزار ساختاری پیمانهیی دارد که به آن امکان افزودن قابلیتهای جدید و سوءاستفاده از ابزارهای کاربران را فراهم میکند. با توجه به استفاده بسیار زیاد از دستگاههایی مورد حمله و دستگاه هایIOT عدم توجه به این تهدید ممکن است منجر به اختلال فلجکننده در بخشهایی از سرویسها و خدمات شود. در بدترین حالت این بدافزار قادر به از کار انداختن دستگاههای متصل به اینترنت کشور و هزینه بسیار زیاد برای تجهیز مجدد این دستگاهها شود. توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاههای آلوده نیست. مرکز مدیریت راهبردی افتای ریاستجمهوری با بررسی بدافزار مخرب «VPNFilter» که ۵۰۰ هزار دستگاه در بیش از ۵۴ کشور را آلوده کرده، اعلام کرد که ۱۰۰ کشور هدف حمله این نرم افزار مخرب هستند.
حمله به روترهای اینترنت اشیا
مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاستجمهوری با اشاره به گزارش منتشر شده توسط Cisco Talos، اعلام کرد که بدافزار جدید VPNFilter با ویژگیهای منحصربهفردی دستگاهها و روترهای اینترنت اشیا (IoT) را مورد هدف قرار داده است. طبق اعلام سیسکو، تحقیقات صورت گرفته روی این بدافزار هنوز به پایان نرسیده اما به دلیل مخاطرات تاثیرگذار این بدافزار، یافتههای کنونی به صورت عمومی به اشتراک گذاشته شده تا دستگاهها و قربانیان تحت تاثیر قرار گرفته بتوانند محافظتها و اقدامات لازم را انجام دهند.
طبق تحقیقات صورت گرفته، کدهای این بدافزار با بدافزار BlackEnergy که حملات گستردهیی را روی دستگاههای مستقر در کشور اکراین انجام داده، همپوشانی و اشتراک دارد. در حال حاضر نیز، بدافزار VPNFilter به سرعت در حال انتشار در کشور اکراین است و همچنین از یک سرور C&C (C2) مستقر در این کشور نیز بهره میبرد. بر اساس گزارشهای ارائه شده، وسعت حملات و قابلیتهای این بدافزار نگرانکننده است. بهطور کلی تخمین زده میشود که حداقل ۵۰۰ هزار دستگاه در ۵۴ کشور مختلف آلوده شدهاند.
این تحقیقات نشان میدهد که تاکنون، دستگاههای Linksys، MikroTik، NETGEAR، تجهیزات شبکهیی دفاتر کوچک و منازل (SOHO TP-Link) و دستگاههای ذخیرهسازی متصل به شبکه (NAS QNAP) هدف این بدافزار بودهاند. با توجه به تحقیقات فعلی سیسکو، هیچ دستگاهی از شرکتهای دیگر از جمله سیسکو تاکنون توسط VPNFilter آلوده نشدهاند. بدافزار VPNFilter دارای ویژگیهای بسیار مخربی است، بهطوریکه اجزاء این بدافزار میتواند اطلاعات مربوط به احراز هویت وبسایتها را به سرقت ببرد و بر پروتکلهای Modbus SCADA نظارت کند. علاوه براین، این بدافزار میتواند دستگاههای آلوده را کاملا از کار بیاندازد و دسترسی هزاران قربانی در سطح جهان را از اینترنت قطع کند. به دلیل نوع دستگاههای مورد هدف، محافظت در برابر این بدافزار مشکل است. این نوع دستگاهها در محیط شبکه هستند و دارای سیستم محافظت نفوذ (IPS) نیز نیستند. همچنین این دستگاهها سیستم محافظت مبتنی بر میزبان مانند بستههای آنتیویروس نیز ندارند.
مرکز افتا با ارائه یافتههای فنی در مورد این بدافزار، روشهای مقابله با این تهدید و نحوه مدیریت دستگاه آلوده شده را اعلام کرد.
بدافزاری با حملات چند مرحلهای
بدافزار VPNFilter یک بدافزار چند مرحلهای، با ساختار ماژولار و دارای قابلیتهای مختلف است که میتواند عملیات جمعآوری اطلاعات و حملات سایبری را پشتیبانی کند.
بدافزار در مرحله اول، نسبت به راهاندازی مجدد دستگاه اقدام میکند، فرایندی که این بدافزار را با سایر بدافزارهای دستگاههای IoT متمایز میکند. زیرا بهطور معمول یک بدافزار پس از راهاندازی مجدد دستگاه، در آن باقی نمیماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیادهسازی مرحله دوم فراهم شود.
در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده میکند. این امر باعث میشود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیشبینی زیرساختهای سرورهای C&C مقاوم باشد. قابلیتهای بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمعآوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخههای بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد. بهطوریکه با بدست گرفتن کنترل بخش حیاتی Firmware دستگاه و راهاندازی مجدد آن، باعث از کار افتادن دستگاه میشود. در مرحله سوم، ماژولهای مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل میکنند. این پلاگینها قابلیتهای بیشتری به بدافزار مرحله دوم اضافه میکنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که عبارتند از یک packet sniffer که روی ترافیک شبکه نظارت میکند تا اطلاعات احراز هویت سایتها را به سرقت ببرد و روی پروتکلهای Modbus SCADA نظارت کند و دوم یک ماژول ارتباطی که برای بدافزار مرحله دوم امکان ارتباط از طریق Tor را فراهم میکند. سیسکو با اطمینان زیادی ادعا کرده است که ماژولهای دیگری نیز موجود هستند که هنوز قادر به کشف آنها نشدهاند.
به دنبال تحقیقات صورت گرفته توسط سیسکو به منظور مشخص شدن ابعاد این تهدید و رفتار دستگاههای آلوده، این گروه تحلیلهای نظارتی را در دستور کار خود قرار داده است. نتایج حاکی از آن است که این تهدید، جهانی و وسیع است و به دنبال گسترش خود است. در اوایل ماه میمیلادی اسکنهای TCP فراوانی روی پورتهای ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ دستگاههای آلوده مشاهده شده است. اسکن این پورتها نشان میدهد که مهاجمان به دنبال دستگاههای NAS مربوط به QNAP و Mikrotik هستند. این اسکنها دستگاههای بیش از ۱۰۰ کشور مختلف را مورد هدف قرار داده است. در تاریخ ۸ ماه می، فعالیتهای این بدافزار گسترش یافته است و تقریبا تمامی قربانیان جدید از کشور اوکراین بوده است. همچنین، در تاریخ ۱۷ می، قربانیان جدیدی از کشور اوکراین نیز مشاهده شدند که اهمیت این مخاطره جدی را بیان میکند. طبق بررسیهای صورت گرفته، ارتباطاتی میان حملات انجام شده از طریق بدافزار VPNFilter و گروه Sofacy یا FancyBear مشخص شده است. گروه Sofacy پیشتر در حملات سایبری بینالمللی علیه آمریکا و سایر کشورها از طرف دولت روسیه نقش داشته است. این گروه با عناوین apt۲۸، sandworm، x-agent، pawn storm، fancy bear و sednit نیز شناخته میشود.
محافظت در برابر تهدیدهای بدافزار
به دلیل ماهیت دستگاههای آلوده، محافظت در برابر این تهدید بسیار مشکل است. اکثر دستگاهها به اینترنت متصل هستند و هیچ لایه امنیتی میان آنها و مهاجمان وجود ندارد. علاوه بر این، اغلب دستگاههای آلوده دارای آسیبپذیریهای شناختهشده هستند و اعمال وصله برای آنها برای کاربران معمولی دشوار است. از طرفی، بیشتر این دستگاهها قابلیتهای ضد بدافزار نیز ندارند. سه مورد بیان شده دلایل کافی بر این امر هستند که مقابله با این تهدید فرایند دشواری است. با این وجود سیسکو از زوایای مختلفی، محافظتهایی برای این تهدید ارائه کرده است. در همین راستا بیش از ۱۰۰ امضای Snort برای آسیبپذیری دستگاههای مربوط به این تهدید منتشر شده است. این قوانین بصورت عمومی منتشر شدهاند تا همه بتوانند از آنها استفاده کنند. بعلاوه، سیسکو دامنهها، IPها و hash فایلهای مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکتهای Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاعرسانی شده است.
توصیههای سیسکو
به منظور مقابله با این بدافزار سیسکو توصیههایی را از قبیل اینکه کاربران روترهای SOHO و دستگاههای NAS، دستگاههای خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله ۲ و ۳ از دستگاه حذف شوند، ارائهدهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران راهاندازی مجدد کنند، اگر دستگاهی مشکوک به آلوده بودن توسط این بدافزار است، نسبت به بروزرسانی آن به آخرین وصلههای ارائه شده توسط سازنده اقدام فوری شود. ارائهدهندگان سرویس اینترنت اطمینان حاصل کنند که دستگاههای مشتریان به آخرین نسخههای نرمافزار یا Firmware بروزرسانی شده باشند، بدلیل احتمال انجام عملیات مخرب این عامل تهدید روی سایر دستگاهها، توصیه میشود که موارد فوق برای تمامی دستگاههای SOHO یا NAS مدنظر قرار گیرند. به کاربران کرده است تا بتوانند در برابر این بدافزار خطرناک آسیب نبینند یا آسیب کمتری ببینند.