به گزارش ایرنا، از سازمان فناوری اطلاعات ایران، گزارشهای جهانی حاکی از آن است که این بدافزار تاکنون بیش از ۵۰۰ هزار قربانی داشتهاست و این عدد نیز افزایش خواهد داشت.
گزارش سازمان فناوری اطلاعات ایران نشان می دهد تجهیزات و دستگاههای مدل های های مختلف شامل Linksys ،Mikrotik ، NETGEAR و TP-Link و همچنین تجهیزات ذخیرهسازی QNAP در صورت بروز رسانی نشدن، مستعد آلودگی به این بدافزار هستند.
سازمان فناوری اطلاعات اعلام کرد: با توجه به استفاده بالای مدل های های پیش گفته در کشور، ارائه دهندگان سرویسها، مدیران شبکهها و کاربران نسبت به جلوگیری از آلودگی و ایمنسازی، اقدام های لازم را به عمل آورند.
براساس این گزارش، نوع دستگاههای آلوده به این بدافزار بیشتر از نوع دستگاههای بک بون (Backbone) هستند و قربانیان اصلی این بدافزار، کاربران و شرکتهای رساننده خدمات اینترنتی«آی.اس.پی»( ISP )کوچک و متوسط است.
«بک بون» خطوط ارتباطی اینترنت در فواصل زیاد است که برای وصل شدن به خطوط با ظرفیت کمتر طراحی شده اند.
*تشریح عملکرد بدافزار
وی.پی.ان فیلتر(VPNFilter) یک بدافزار چند مرحله ای است که توانایی جمعآوری داده از دستگاه قربانی و انجام حملات مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست میآورد و بر خلاف بسیاری از بدافزارها روی دستگاههای آی.او.تی اینترنت اشیا (IOT) که با راهاندازی مجدد دستگاه از بین میروند، این بدافزار با راهاندازی مجدد از میان نخواهد رفت. هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است.
در مرحله اول، دستورات مختلف و گاهی تکراری برای استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه میشود. در این مرحله آدرس آی پی (IP) دستگاه برای استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار میگیرد.
*شناسایی قربانیان
سازمان فناوری اطلاعات اعلام کرد: بر اساس بررسیهای انجام شده توسط آزمایشگاهها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در همه مناطق فعال بوده است.
دستگاههای قربانیان پس از آلودگی شروع به پویش روی درگاههای۲۳, ۸۰, ۲۰۰۰ و ۸۰۸۰ پروتکل تی.سی.پی(TCP) میکنند و از این طریق قابل شناسایی است؛ دستگاههایی که مداوم این ۴ پورت را پایش میکنند مشکوک به آلودگی هستند.
* مقابله با آلودگی
گزارش سازمان فناوری اطلاعات تاکید دارد: به خاطر ماهیت دستگاههای آلوده شده و هم به سبب نوع آلودگی چندمرحلهای که امکان پاک کردن آن را دشوار میکند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است؛ مشکل از آنجا آغاز میشود که بیشتر این دستگاهها بدون هیچ دیواره آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاههای آلوده شده دارای قابلیتهای ضد بدافزار داخلی نیز نیستند.
بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه پژوهشی تالوس(Talos) حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که میتواند برای جلوگیری از انتشار این آلودگی به دستگاههای شناخته شده مورد استفاده قرار گیرد.
بر اساس این گزارش، به کاربران پیشنهاد می شود که در صورت آلودگی، بازگردانی تنظیمات به حالت پیشفرض کارخانه منجر به حذف کدهای غیرمقیم میشود.
همچنین باید میان افزارها و برخی تجهیزات به روز رسانی شوند و شرکتهای ارائه دهنده سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدام های لازم را اطلاع رسانی کنند.
این گزارش حاکیست، وی.پی.ان فیلتر یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت در حال رشد است. این بدافزار ساختاری پیمانهای دارد که به آن امکان افزودن قابلیتهای جدید و سوء استفاده از ابزارهای کاربران را فراهم میکند. با توجه به استفاده بسیار زیاد از دستگاههایی مورد حمله و دستگاههای اینترنت اشیا (IOT) بی توجهی به این تهدید ممکن است منجر به اختلال فلج کننده در بخشهایی از سرویسها و خدمات شود.
در بدترین حالت این بدافزار قادر به از کار انداختن دستگاههای متصل به اینترنت کشور بوده و هزینه بسیار زیاد برای تجهیز مجدد این دستگاهها تحمیل می کند.
سازمان فناوری اطلاعات تاکید دارد که این بدافزار به راحتی قابل پاک کردن از دستگاههای آلوده نیست.
- 11
- 1