حمله گسترده بدافزارها به مسیریاب‌های اینترنتی

اخیرا بد افزار جدیدی با نام «وی.پی.ان فیلتر»(VPNFilter) بیش از نیم میلیون مسیریاب (روتر) و دستگاه های ذخیره سازی شبکه (NAS) مربوط به اینترنت اشیا را در 54 کشور جهان آلوده کرده است؛ روتر یا مسیریاب، دستگاهی است که داده‌های اینترنتی را در شبکه مسیریابی می‌کند. روتر را می توان کلیدی ترین دستگاه ارتباطی در دنیا شبکه نامید که با اتصال شبکه‌‌های محلی کوچک به یکدیگر و مسیریابی بسته‌های اطلاعاتی، شبکه ای از شبکه‌ها که امروزه به آن اینترنت می‌گوییم را شکل می‌دهد.

این بدافزار دارای ماهیت خود تخریبی، کنترل دیتای سیستم قربانی، گردآوری اطلاعات، پایش (مانیتور) ترافیک اینترنت دستگاه قربانی و تخریب گواهی معتبر امنیتی است که می تواند دستگاه های آلوده شده را از کار انداخته و غیرقابل استفاده کند.

این بدافزار برخلاف سایر تهدیدات اینترنت اشیا قادر به حفظ حضور دایمی خود در یک دستگاه آلوده حتی بعد از راه اندازی مجدد است و دارای طیف وسیعی از قابلیت ها از جمله جاسوسی روی ترافیک از طریق دستگاه های روت شده است.

مرکز ماهر اردیبهشت امسال هشداری فوری درباره رواج احتمالی این بدافزار در فضای مجازی کشور داد و اعلام کرد: خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از انتشار احتمالی بدافزاروی.پی.ان فیلتر در ساعات و روزهای آینده در کشور می‌دهد و گزارش‌های موجود حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی در جهان داشته ‌است و این عدد افزایش نیز خواهد داشت.

مرکز ماهر تاکید کرد، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در همه مناطق فعال است.

ارسال دستور از راه دور برای گردآوری اطلاعات سیستم قربانی، مرحله بعدی حمله سایبری توسط این بدافزار است تا محصولات مربوط به اینترنت اشیاء را تحت مدیریت و فرمان خود در آورد.

در مرحله سوم از حمله، نرم افزار پایش (اپلیکیشنِ مانیتورکردن) ترافیکِ اینترنت، روی دستگاه قربانی نصب‌شده و گواهینامه معتبر امنیتی تخریب می‌شود و سپس ارتباطات جدید بین سیستم قربانی و شبکه تور (TOR) برقرار می‌شود. تور سامانه‌ای است که برای ناشناس ماندن کاربران در محیط اینترنت به کار می‌رود و از نرم‌افزار کارخواه و شبکه‌ای از سرویس دهنده‌ها تشکیل شده و می‌تواند داده‌هایی از کاربران را مانند جایگاه و نشانی پروتکل اینترنت پنهان کند.

حمله گسترده بدافزارها به مسیریاب های اینترنتی کشور

بنا بر اعلام مرکز مدیریت امداد و هماهنگی عملیات رخداد های رایانه ای کشور، به رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه امسال در خصوص آسیب‌پذیری گسترده‌ روترهای ‫میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات هنوز نسبت به بروزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده اند و هم اکنون تعداد زیادی از مسیریاب های داده اینترنتی در کشور (روترهای میکروتیک) به دلیل به روز رسانی نشدن، مورد حمله های گسترده بدافزارها قرار گرفته اند.

این مرکز اعلام کرد: رصد شبکه کشور در روزهای اخیر نشان‌دهنده حملات گسترده به پورت 23 (telnet) از مبداء روترهای میکروتیک آسیب‌پذیر آلوده شده در سطح کشور است؛ آلودگی این روترها به صورت عمده از طریق آسیب‌پذیری اشاره شده اخیر (آسیب‌پذیری پورت 8291 مربوط به سرویس winbox) صورت گرفته است.

مرکز ماهر برای حفاظت از روترهای میکروتیک، توصیه کرد در اسرع وقت به روز رسانی سیستم عامل و مسدودسازی پورت‌های مدیریت تجهیز روی اینترنت اجرا شود.

بر اساس این گزارش، مشاهده های حسگرهای مرکز ماهر در شبکه کشور، در روزهای گذشته حجم حمله های ثبت شده به پورت 23(telnet) افزایش چشمگیری داشته است. براساس بررسی های انجام شده، منشاء این حمله ها به طور عمده تجهیزات اینترنت اشیا (hot) آلوده نظیر مودم های خانگی و به ویژه روترهای میکروتیک بوده و هدف آن نیز شناسایی و آلوده سازی تجهیزات مشابه است.

مرکز ماهر مهمترین راهکار پیشگیری و مقابله با این تهدید را به روزرسانی(firmware) تجهیزات و مسدودسازی دسترسی به پورت های کنترلی از جمله پورت 23و 22 اعلام کرد.

کدام مدل دستگاه‌ها مستعد آلودگی به این بد افزار هستند؟

گزارش سازمان فناوری اطلاعات ایران نشان می‌دهد تجهیزات و دستگاه‌های مدل های های مختلف شامل Linksys ،Mikrotik ، NETGEAR و TP-Link و همچنین تجهیزات ذخیره‌سازی QNAP در صورت بروز رسانی نشدن، مستعد آلودگی به این بدافزار هستند.

سازمان فناوری اطلاعات اعلام کرد: با توجه به استفاده‌ بالای مدل های های پیش گفته در کشور، ارایه دهندگان سرویس‌ها، مدیران شبکه‌ها و کاربران نسبت به جلوگیری از آلودگی و ایمن‌سازی، اقدام های لازم را به عمل آورند.

براساس این گزارش، نوع دستگاه‌های آلوده به این بد‌افزار بیشتر از نوع دستگاه‌های بک بون (Backbone) هستند و قربانیان اصلی این بد‌افزار، کاربران و شرکت‌های رساننده خدمات اینترنتی«آی.اس.پی»( ISP )کوچک و متوسط است. «بک بون» خطوط ارتباطی اینترنت در فواصل زیاد است که برای وصل شدن به خطوط با ظرفیت کمتر طراحی شده اند.

راه های مقابله با آلودگی با این بد افزار چیست؟

گزارش سازمان فناوری اطلاعات تاکید دارد: به خاطر ماهیت دستگاه‌های آلوده شده و هم به سبب نوع آلودگی چندمرحله‌ای که امکان پاک کردن آن ‌را دشوار می‌کند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است؛ مشکل از آنجا آغاز می‌شود که بیشتر این دستگاه‌ها بدون هیچ دیواره‌ آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاه‌های آلوده شده دارای قابلیت‌های ضد ‌بد‌افزار داخلی نیز نیستند.

بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه‌ پژوهشی تالوس(Talos) حدود 100 امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که می‌تواند برای جلوگیری از انتشار این آلودگی به دستگاه‌های شناخته ‌شده مورد استفاده قرار گیرد.

بر اساس این گزارش، به کاربران پیشنهاد می شود که در صورت آلودگی، بازگردانی تنظیمات به حالت پیش‌فرض کارخانه منجر به حذف کدهای غیرمقیم می‌شود.

همچنین باید میان ‌افزارها و برخی تجهیزات به روز رسانی شوند و شرکت‌های ارایه دهنده‌ سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدام های لازم را اطلاع رسانی کنند.

این گزارش حاکیست، وی.پی.ان فیلتر یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به‌ کارگیری منابع قربانی است که به شدت در حال رشد است. این بد‌افزار ساختاری پیمانه‌ای دارد که به آن امکان افزودن قابلیت‌های جدید و سوء استفاده از ابزارهای کاربران را فراهم می‌کند. با توجه به استفاده بسیار زیاد از دستگاه‌هایی مورد حمله و دستگاه‌های اینترنت اشیا (IOT) بی توجهی به این تهدید ممکن است منجر به اختلال فلج کننده در بخش‌هایی از سرویس‌ها و خدمات شود.

در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه‌های متصل به اینترنت کشور بوده و هزینه بسیار زیاد برای تجهیز مجدد این دستگاه‌ها تحمیل می کند. سازمان فناوری اطلاعات تاکید دارد که این بدافزار به راحتی قابل پاک کردن از دستگاه‌های آلوده نیست.

No tags for this post.