انتخاب تاریخ:   /  /   
<stylestyle ویژه‌نامه بی‌قانون منتشر شد آسیاتک قانون بچه‌ها نیشخط پایگاه جامع اطلاع رسانی صنعت فولاد ایران
علم و فن آوری
آخرین خبرها پربیننده‌ترین خبرها
مجوز فعالیت رسمی تماشاخونه صادر شد
تعامل موثر استارت‌آپ‌ها و روابط عمومی استراتژیک
هر آن‌چه که باید درباره رشته ادیولوژی بدانیم
فصل ارتباط داغ آسیاتک ادامه دارد
اپلیکیشن آسیاتک به‌روزرسانی شد
مدیریت مصرف اینترنت با بسته های جدید اینترنت آسیاتک
اثربخشی کارگروه افزایش رضایت مشترکین در آسیاتک
آسیاتک در الکامپ 98 از تلفن‌های Toll-Free رونمایی کرد
تخفیف های میلیونی آسیاتک در بیست و پنجمین نمایشگاه بین المللی الکامپ
مدیریت منابع انسانی در شرکت‌های IT متفاوت‌تر و پیچیده‌تر از تمام کسب و کارهاست
امکان انتخاب و خرید خطوط تلفن رند آسیاتل فراهم شد
آغاز کمپین "عیدانه سازمانی" برترین اپراتور ارتباطات ثابت کشور
آسیاتک موفق به دریافت گواهینامهISO 20000 شد
تحول در مدل همکاری مخابرات و شرکت های FCP نتیجه ایجاد تغییرات ساختاری در کارنامه ۱ سال گذشته مخابرات ایران
کمپین زمستانه آسیاتک، "هیجان یک انتخاب"
هفدهمین دوره جام ملت‌های آسیا با 3+17جایزه جذاب آسیاتکی
تمام فعالیت‌های تلگرامی مجرمانه نیست
سفر انسان به مریخ هیچ نفعی برای جامعه علمی دنیا ندارد
مادر تلسکوپ هابل درگذشت
عصبانيت كاربرها از اينستاگرام
سیستم جدیدی برای مقابله با دانشمندان مجرم
بشر تلاش ۵۰ میلیون ساله طبیعت برای بقا را بی اثر کرد
مرغ، ساختار بیوسفر زمین را بهم ریخته است!
تجربه نزدیک به مرگ خيال یا واقعیت
چرا بعد از گریه کردن احساس خوبی پیدا می‌کنیم
ارسال خاکستر افراد فوت شده به فضا
استفاده از اولتراسونیک برای تشخیص اثر انگشت در گلکسی اس10
سودآوری 40 میلیون دلاری تسلا برای استرالیا
ابداع یک ربات خزنده‌ با توانایی "اسکیت" روی یخ
هوش مصنوعی در برابر حقوق بشر!
مشاهده پدیده همنشینی ماه و کیوان
وقتی ربات‌ها بچه به دنیا می‌آورند!
اسلحه لیزری که هدف را درکسری ازثانیه نابودمیکند
پایش ماهواره ای «کشند سرخ» در خلیج فارس
نخستین قایق الکتریکی تندرو دنیا ساخته شد
تلاش آمريکا براي خفه کردن «هوآوي»
سیاره‌ای با اتمسفری مملو از هلیوم کشف شد
تشکیل کارگروه برای نظارت بر توسعه دولت الکترونیک
گوشی‌های آزادشده به چه کسی می‌رسد؟
جزئیات برگزاری هفته دیجیتال در ایران
مات کننده رنگ نانویی تولید شد
کشف نورون‌های مسؤول تشخیص خطاهای انسانی
مرکزی که با حکم رهبر تاسیس شد
محققان کشور خودروهای معمولی را برقی می کنند
ستاره دنباله دارسبز رنگ ودرخشان ازکنارزمین میگذرد
کاغذ حساس به گرما ابداع شد
مدیر ارشد «هوآوی» بازداشت شد
پردازنده هوش مصنوعی قدرت گوشیها راسه برابرمیکند
ایجاد زیست‌بوم نوآوری در حوزه آب و انرژی ضروری است
سیستم عامل جایگزین اندروید با آیفون سازگار است
بیشتر
کد خبر: 79380 | تاریخ : ۱۳۹۷/۳/۷ - 00:00

100 کشور هدف حمله بدافزار «VPN فیلتر»

100 کشور هدف حمله بدافزار «VPN فیلتر»

مرکز مدیریت راهبردی افتای ریاست جمهوری با بررسی بدافزار مخرب «VPNFilter» که ۵۰۰ هزار دستگاه در بیش از ۵۴ کشور را آلوده کرده، اعلام کرد که ۱۰۰ کشور هدف حمله این نرم افزار مخرب هستند.

قانونمرکز مدیریت راهبردی افتای ریاست جمهوری با بررسی بدافزار مخرب «VPNFilter» که ۵۰۰ هزار دستگاه در بیش از ۵۴ کشور را آلوده کرده، اعلام کرد که ۱۰۰ کشور هدف حمله این نرم افزار مخرب هستند.

به گزارش قانون به نقل از مهر، مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری با اشاره به گزارش منتشر شده توسط Cisco Talos، اعلام کرد که بدافزار جدید «وی پی ان فیلتر» با ویژگیهای منحصر به فردی دستگاه‌ها و روترهای اینترنت اشیاء (IoT ) را مورد هدف قرار داده است. طبق اعلام سیسکو، تحقیقات صورت گرفته روی این بدافزار هنوز به پایان نرسیده اما به دلیل مخاطرات تاثیرگذار این بدافزار، یافته‌های کنونی به صورت عمومی به اشتراک گذاشته شده تا دستگاه‌ها و قربانیان تحت تاثیر قرار گرفته بتوانند محافظت‌ها و اقدامات لازم را انجام دهند.

طبق تحقیقات صورت گرفته، کدهای این بدافزار با بدافزار BlackEnergy که حملات گسترده‌ای را روی دستگاه‌های مستقر در کشور اکراین انجام داده، همپوشانی و اشتراک دارد. در حال حاضر نیز، بدافزار VPNFilter به سرعت در حال انتشار در کشور اکراین است و همچنین از یک سرور C&C (C۲) مستقر در این کشور نیز بهره می‌برد.

بر اساس گزارش‌های ارائه شده، وسعت حملات و قابلیت‌های این بدافزار نگران‌کننده است. به طور کلی تخمین زده می‌شود که حداقل ۵۰۰ هزار دستگاه در ۵۴ کشور مختلف آلوده شده‌اند.

این تحقیقات نشان می دهد که تاکنون، دستگاه‌های Linksys، MikroTik، NETGEAR، تجهیزات شبکه‌ای دفاتر کوچک و منازل (SOHO) TP-Link و دستگاه‌های ذخیره‌سازی متصل به شبکه (NAS) QNAP هدف این بدافزار بوده‌اند. با توجه به تحقیقات فعلی سیسکو، هیچ دستگاهی از شرکت‌های دیگر از جمله سیسکو تاکنون توسط VPNFilter آلوده نشده‌اند.

بدافزار VPNFilter دارای ویژگی‌های بسیار مخربی است، بطوریکه اجزاء این بدافزار می‌تواند اطلاعات مربوط به احراز هویت وبسایت‌ها را به سرقت ببرد و بر پروتکل‌های Modbus SCADA نظارت کند. علاوه براین، این بدافزار می‌تواند دستگاه‌های آلوده را کاملا از کار بیاندازد و دسترسی هزاران قربانی در سطح جهان را از اینترنت قطع کند.

به دلیل نوع دستگاه‌های مورد هدف، محافظت در برابر این بدافزار مشکل است. این نوع دستگاه‌ها در محیط شبکه هستند و دارای سیستم محافظت نفوذ (IPS) نیز نیستند. همچنین این دستگاه‌ها سیستم محافظت مبتنی بر میزبان مانند بسته های آنتی‌ویروس نیز ندارند.

مرکز افتا با ارائه یافته‌های فنی در مورد این بدافزار، روش‌های مقابله با این تهدید و نحوه مدیریت دستگاه آلوده شده را اعلام کرد.

VPNFilter، بدافزاری چند مرحله‌ای

بدافزار VPNFilter یک بدافزار چند مرحله‌ای، با ساختار ماژولار و دارای قابلیت‌های مختلف است که می‌تواند عملیات‌ جمع‌آوری اطلاعات و حملات سایبری را پشتیبانی کند.

بدافزار در مرحله اول، نسبت به راه اندازی مجدد دستگاه اقدام می‌کند، فرایندی که این بدافزار را با سایر بدافزارهای دستگاه‌های IoT متمایز می‌کند. زیرا به طور معمول یک بدافزار پس از راه‌اندازی مجدد دستگاه، در آن باقی نمی‌ماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیاده سازی مرحله دوم فراهم شود.

در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده می‌کند. این امر باعث می‌شود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیش‌بینی زیرساخت‌های سرورهای C&C مقاوم باشد.

قابلیت‌های بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمع‌آوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخه‌های بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد. بطوریکه با بدست گرفتن کنترل بخش حیاتی Firmware دستگاه و راه اندازی مجدد آن، باعث از کار افتادن دستگاه می‌شود.

در مرحله سوم، ماژول‌های مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل می‌کنند. این پلاگین‌ها قابلیت‌های بیشتری به بدافزار مرحله دوم اضافه می‌کنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که عبارتند از یک packet sniffer که روی ترافیک شبکه نظارت می‌کند تا اطلاعات احراز هویت سایت‌ها را به سرقت ببرد و روی پروتکل‌های Modbus SCADA نظارت کند و دوم یک ماژول ارتباطی که برای بدافزار مرحله دوم امکان ارتباط از طریق Tor را فراهم می‌کند.

سیسکو با اطمینان زیادی ادعا کرده است که ماژول‌های دیگری نیز موجود هستند که هنوز قادر به کشف آنها نشده‌اند.  

فعالیت‌های بدافزار

به دنبال تحقیقات صورت گرفته توسط سیسکو به منظور مشخص شدن ابعاد این تهدید و رفتار دستگاه‌های آلوده، این گروه تحلیل‌های نظارتی را در دستور کار خود قرار داده است. نتایج حاکی از آن است که این تهدید، جهانی و وسیع است و به دنبال گسترش خود است.

در اوایل ماه می میلادی اسکن‌های TCP فراوانی روی پورت‌های ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ دستگاه‌های آلوده مشاهده شده است. اسکن این پورت‌ها نشان می‌دهد که مهاجمان به دنبال دستگاه‌های NAS مربوط به QNAP و Mikrotik هستند. این اسکن‌ها دستگاه‌های بیش از ۱۰۰ کشور مختلف را مورد هدف قرار داده است.

در تاریخ ۸ ماه می، فعالیت‌های این بدافزار گسترش یافته است و تقریبا تمامی قربانیان جدید از کشور اوکراین بوده است. همچنین، در تاریخ ۱۷ می، قربانیان جدیدی از کشور اوکراین نیز مشاهده شدند که اهمیت این مخاطره جدی را بیان می‌کند.

وابستگی حملات

طبق بررسی‌های صورت گرفته، ارتباطاتی میان حملات انجام شده از طریق بدافزار VPNFilter و گروه Sofacy یا FancyBear مشخص شده است. گروه Sofacy پیش‌تر در حملات سایبری بین‌المللی علیه امریکا و سایر کشورها از طرف دولت روسیه نقش داشته است. این گروه با عناوین apt۲۸، sandworm، x-agent، pawn storm، fancy bear و sednit نیز شناخته می‌شود.

محافظت در برابر این تهدید

به دلیل ماهیت دستگاه‌های آلوده، محافظت در برابر این تهدید بسیار مشکل است. اکثر دستگاه‌ها به اینترنت متصل هستند و هیچ لایه امنیتی میان آنها و مهاجمان وجود ندارد. علاوه بر این، اغلب دستگاه‌های آلوده دارای آسیب‌پذیریهای شناخته‌شده هستند و اعمال وصله برای آنها برای کاربران معمولی دشوار است. از طرفی، بیشتر این دستگاه‌ها قابلیت‌های ضد بدافزار نیز ندارند. سه مورد بیان شده دلایل کافی بر این امر هستند که مقابله با این تهدید فرایند دشواری است.

با این وجود سیسکو از زوایای مختلفی، محافظت‌هایی برای این تهدید ارائه کرده است. در همین راستا بیش از ۱۰۰ امضای Snort برای آسیب‌پذیری دستگاه‌های مربوط به این تهدید منتشر شده است. این قوانین بصورت عمومی منتشر شده‌اند تا همه بتوانند از آنها استفاده کنند. بعلاوه، سیسکو دامنه‌ها، IPها و hash فایل‌های مخرب را در لیست سیاه خود قرار داده است. همچنین به شرکت‌های Linksys، Mikrotik، Netgear، TP-Link و QNAP نسبت به این تهدید اطلاع‌رسانی شده است.

توصیه‌ها

انجام موارد زیر از طرف سیسکو توصیه شده‌اند:

•  کاربران روترهای SOHO و دستگاه‌های NAS، دستگاه‌های خود را به تنظیمات کارخانه برگردانند تا بدافزارهای مرحله ۲ و ۳ از دستگاه حذف شوند.

•  ارائه دهندگان سرویس اینترنت، روترهای SOHO را به جای کاربران راه‌اندازی مجدد کنند.

•  اگر دستگاهی مشکوک به آلوده بودن توسط این بدافزار است، نسبت به بروزرسانی آن به آخرین وصله‌های ارائه شده توسط سازنده اقدام فوری شود.

•  ارائه دهندگان سرویس اینترنت اطمینان حاصل کنند که دستگاه‌های مشتریان به آخرین نسخه‌های نرم‌افزار یا Firmware بروزرسانی شده باشند.

• بدلیل احتمال انجام عملیات مخرب این عامل تهدید روی سایر دستگاه‌ها، توصیه می‌شود که موارد فوق برای تمامی دستگاه‌های SOHO یا NAS مدنظر قرار گیرند.

عضویت در کانال تلگرام قانون

ارسال دیدگاه شما

  • دیدگاه های ارسالی، پس از تایید مدیر سایت منتشر خواهد شد.
  • پیام هایی که حاوی تهمت یا افترا باشند منتشر نخواهد شد.
  • پیام هایی که به غیر از زبان پارسی باشند منتشر نخواهد شد.