اطلاعات جدید و راه‌های گریز از بدافزار VPNFilter

/در , , , , /توسط
چندی پیش گزارش شد که بدافزار VPNFilter حداقل ۵۰۰ هزار دستگاه شبکه در ۵۴ کشور مختلف را آلوده کرده است. بدافزاری که از آن برای سرقت اطلاعات احراز هویت وب‌سایت‌ها و غیرقابل استفاده کردن دستگاه‌ها استفاده می‌شود.
 
 خرداد امسال بود که مرکز ماهر با اعلام هشداری تاکید کرد که گزارش‌های موجود حاکی از آن است که بدافزار  VPNFilter تاکنون بیش از ۵۰۰ هزار قربانی در جهان داشته است و این عدد نیز افزایش خواهد داشت. همچنین اعلام شد که قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال است. 
 
VPNFilter بدافزار چندمرحله‌ای جدیدی است که مدل‌های زیادی از دستگاه‌های متصل را تحت تاثیر قرار می‌دهد. روترهای Linksys, MikroTik, NETGEAR and TP-Link؛ عمده محصولات آلوده‌شده در ۵۴ کشور جهان بودند که در کنار برخی ابزارهای ذخیره‌سازی شبکه/NAS به این بدافزار آلوده‌ شده‌اند.
 
اکنون گزارش شده که این بدافزار دستگاه‌های بیشتری را مورد هدف قرار داده است تا اکسپلویت‌های مختلف را نصب کند و فرایند ریبوت آن‌ها را از کار بیندازد. بر اساس گزارش‌های منتشره، این بدافزار یک تهدید جهانی است و هدف آن نفوذ به دستگاه‌های شبکه متصل در جهان است.
 
ترند میکرو اعلام کرده که VPNFilter بیش از ۱۰ نام تجاری و ۷۰ مدل دستگاه را تحت تاثیر قرار می‌دهد. همچنین از یکم ژوئن تا ۱۲ جولای، تعداد زیادی از دستگاه‌ها همچنان از Firmwareهای قدیمی استفاده می‌کنند. در واقع ۱۹ آسیب‌پذیری شناخته شده در این Firmwareهای قدیمی وجود دارند که نه تنها VPNFilter می‌تواند از آن‌ها بهره ببرد، بلکه سایر بدافزارها نیز از آنها سوءاستفاده می‌کنند.
 
بر اساس اطلاعات سایت پلیس فتا، در بررسی انجام شده مشاهده شده است که ۳۴ درصد شبکه‌های خانگی دارای حداقل یک دستگاه حاوی یک آسیب‌پذیری شناخته شده هستند و ۹ درصد دستگاه‌های آسیب‌پذیر به طور بالقوه توسط VPNFilter تحت تاثیر قرار می‌گیرند. همانطور که انتظار می‌رود، این ۱۹ آسیب‌پذیری عمدتا برروی روترها تاثیر می‌گذارند.
 
سایر آسیب‌پذیری‌های شناسایی شده، به مهاجمان اجازه می‌دهد تا وضعیت سرویس انکار (DoS) را به وجود آورند و کد دلخواه خود را در سیستم اجرا کنند. برای جلوگیری از آسیب دیدن توسط این نقص‌ها، علاوه بر استفاده از راه‌حلهای امنیتی نرم‌افزاری و سخت‌افزاری، موارد زیر نیز توصیه شده است:
•    به‌روزرسانی Firmware دستگاه‌ها پس از انتشار
•    جلوگیری از اتصال به Wi-Fi عمومی در دستگاه‌های شبکه‌های سازمانی یا خانگی
•    تغییر اطلاعات احرازهویت پیش‌فرض و استفاده از رمزعبورهای قوی
•    اجتناب از بازدید از آدرس‌های اینترنتی مشکوک و عدم دانلود فایل‌های پیوستی ارسال شده از منابع نامعلوم و نامعتبر
 

کشف بدافزار غول‌پیکر و مخرب

/در , , , /توسط
پس از کشف بدافزار بزرگ و خطرناک VPNFilter، پژوهشگران امنیتی در حال حاضر بات‌نت غول‌پیکر دیگری را شناسایی کرده‌اند که بیش از ۴۰۰۰۰ سرور، مودم و دستگاه‌های متصل به اینترنت را که متعلق به تعداد زیادی از سازمان‌ها در سراسر جهان است را تحت تاثیر قرار داده است.
 
این بدافزار که Prowli نام گرفته است، در حال پخش و تزریق بدافزار به سرورها و وب‌سایت‌های مختلف در سراسر جهان است. تکنیک‌های مورد استفاده این بات‌نت شامل اکسپلویت‌ها، حملات brute-force و بهره‌برداری از پیکربندی‌های ضعیف است.
بدافزار Prowli تاکنون بیش از ۴۰۰۰۰ دستگاه قربانی در بیش از ۹۰۰۰ کسب و کار در حوزه‌های مختلف، از جمله مالی، آموزش و سازمان‌های دولتی را مورد حمله قرار داده است.
دستگاه‌ها و سرویس‌هایی که توسط این بدافزار آسیب دیده‌اند:
•    سرورهای Drupal و Wordpress
•    سرورهای جوملا
•    سرورهای پشتیبان‌گیری که نرم‌افزار HP Data Protector را اجرا می‌کنند
•    مودم‌های DSL
•    سرورهایی که پورت SSH آنها باز است
•    PhpMyAdmin
•    سرورهایی که پورت SMB آنها در در دسترس است
•    دستگاه‌های اینترنت اشیا یا IoT آسیب‌پذیر
 
تمامی موارد فوق با استفاده از یک آسیب‌پذیری شناخته شده یا حدس نام‌کاربری و رمزعبور آلوده شده‌اند. مهاجمین همچنین از این بدافزار برای نصب کاوشگر ارز دیجیتالی Monero نیز استفاده می‌کنند.
 
از آنجا که مهاجمان از آسیب‌پذیری‌های شناخته شده مختلف و حدس زدن اطلاعات ورود برای نفوذ به دستگاه‌ها استفاده می‌کنند، کاربران باید مطمئن شوند که سیستم‌های آنها به‌روز هستند و همیشه از گذرواژه‌های قوی برای دستگاه‌های خود استفاده کنند.