بدافزار VPN FILTER تا این لحظه در ایران قربانی نداشته است

بدافزار VPN FILTER تا این لحظه در ایران قربانی نداشته اما خبرهای دریافتی و رصد و پایش انجام گرفته از احتمال بروز آن در فضای سایبری کشور در روزهای آینده در کشور می دهد.
 
 
به گزارش مرکز ماهر، گزارش‌های موجود حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی در جهان داشته‌است و این عدد نیز افزایش خواهد داشت.
 
لازم به ذکر است که قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال می‌باشد.
 
تجهیزات و دستگاه‌های برندهای مختلف شامل Linksys،Mikrotik ، NETGEAR و TP-Link و همچنین تجهیزات ذخیره‌سازی QNAP در صورت عدم بروز رسانی مستعد آلوده شدن به این بدافزار هستند. با توجه به استفاده‌ی بالای برندهای فوق در کشور، هشدار حاضر ارائه دهندگان سرویسها، مدیران شبکه‌ها و کاربران را مخاطب قرار می دهد که نسبت به جلوگیری از آلودگی و ایمن‌سازی، اقدامات لازم را که در ادامه به آنها اشاره شده‌است در دستور کار قراردهند. لازم به ذکر است نوع دستگاه‌های آلوده به این بد‌افزار بیشتر از نوع دستگاه‌های غیر Backbone هستند و قربانیان اصلی این بد‌افزار، کاربران و شرکت‌های ISP کوچک و متوسط می‌باشند. در این گزارش شرح مختصری از شیوه عمل این بد‌افزار و روش‌های مقابله با آن ارایه خواهد شد.
 
تشریح بدافزار:
 
VPNFilter یک بدافزار چند مرحله است که توانایی جمع‌آوری داده از دستگاه‌ قربانی و انجام حملات مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می‌آورد. بر خلاف بسیاری از بد‌افزارها روی دستگاه‌های IOT که با راه‌اندازی مجدد دستگاه از بین می‌روند، این بد‌افزار با راه‌اندازی مجدد از میان نخواهد رفت! هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است. در مرحله اول، دستورات مختلفی (و در برخی اوقات تکراری) جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه می‌شود. در این مرحله آدرس IP دستگاه جهت استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار می‌گیرد.  شکل زیر نمایی از چرخه حیات و ارتباطات بدافزار را نشان می دهد.
 
شناسایی قربانیان:
 
بر اساس بررسی‌های انجام شده توسط آزمایشگاه‌ها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال بوده است. دستگاه‌های قربانیان پس از آلودگی شروع به پویش بر روی درگاه‌های23, 80, 2000 و 8080  پروتکل TCP می‌کنند و از این طریق قابل شناسایی است (دستگاه‌هایی که مداوم این ۴ پورت را پایش می‌کنند مشکوک به آلودگی هستند).
 
مقابله با آلودگی:
 
به خاطر ماهیت دستگاه‌های آلوده شده و هم به سبب نوع آلودگی چندمرحله‌ای که امکان پاک کردن آن ‌را دشوار می‌کند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار می‌باشد، مشکل از آنجا آغاز می‌شود که بیشتر این دستگاه‌ها بدون هیچ دیواره‌ی آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاه‌های آلوده شده دارای قابلیت‌های ضد‌بد‌افزار داخلی نیز نیستند.
 
بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه‌ پژوهشی Talos حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که می‌تواند جهت جلوگیری از انتشار این آلودگی به دستگاه‌های شناخته‌شده مورد استفاده قرار گیرد.
 
بر اساس این گزارش، به کاربران پیشنهاد می شود که در صورت آلودگی، بازگردانی تنظیمات به حالت پیش‌فرض کارخانه منجر به حذف کدهای غیرمقیم  می‌شود ، میان‌افزار و لیست تجهیزاتی که در ادامه گزارش قید شده‌اند حتما به‌روز‌ رسانی  شوند و شرکت‌های ارائه دهنده‌ی سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده را اطلاع رسانی کنند.
 
مسدود سازی ارتباطات با دامنه ها و آدرس های آپی که در تحلیل های امینتی و گزارشات به آنها اشاره شده است.
 
این گزارش حاکی است، VPNFilter یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به‌کارگیری منابع قربانی است که به شدت در حال رشد است. این بد‌افزار ساختاری پیمانه‌ای  دارد که به آن امکان افزودن قابلیت‌های جدید و سوء استفاده از ابزارهای کاربران را فراهم می‌کند. با توجه به استفاده بسیار زیاد از دستگاه‌هایی مورد حمله و دستگاه‌های IOT عدم توجه به این تهدید ممکن است منجر به اختلال فلج کننده در بخش‌هایی از سرویس‌ها و خدمات گردد. در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه‌های متصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز مجدد این دستگاه‌ها شود. توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاه‌های آلوده نمی‌باشد.