ویپیان فیلتر یک بدافزار طراحی شده برای آلوده کردن روترها است. تا تاریخ ۲۴ ماه مه ۲۰۱۸ چنین تخمین زده میشود که این بدافزار حدود ۵۰۰۰۰۰ تا ۱۰۰۰۰۰۰ دستگاه رهیاب را آلوده کرده باشد.[۱] این بدافزار قابلیت سرقت اطلاعات را برای مجریان حمله فراهم کرده، و همچنین با داشتن قابلیت کلید مرگ یا «kill switch» این امکان را به شخص حمله کننده میدهد که دستگاه رهیاب را از کار انداخته و غیرقابل استفاده نماید.[۲][۳]پلیس فدرال آمریکا این احتمال را میدهد که این بدافزار توسط گروه حملات سایبری Fancy Bear (Pawn Storm) ایجاد و گسترش داده شده باشد.
دستگاههای آسیبپذیر
بررسی بدافزار ویپیان فیلتر نشان میدهد که قابلیت آلوده سازی روترهای صنعتی و همچنین روترهای خانگی و اداری تولید شده توسط شرکتهای Linksys, MikroTik, Netgear، و TP-Link را دارا میباشد. لیست زیر شامل دستگاهایی میباشد که آسیبپذیری آنها تأیید شدهاست:[۲]
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Other QNAP NAS devices running QTS software
- TP-Link R600VPN
سازوکار بدافزار
این بدافزار شامل یه مرحله کلی میشود. در مرحله اول بدافزار با استفاده از شناسه کاربری و رمز شناخته شده دستگاه، یا با استفاده از آسیبپذیریهای شناخته شده برای دستگاه (استفاده از آسیبپذیریهای روز صفر تأیید نشدهاست) وارد دستگاه شده و روی آن نصب میشود و در همین مرحله یک اتصال با کانال فرمان و کنترل (Command and Control Infrastructure(C&C)) برای دریافت فرامین بعدی برقرار مینماید.
مرحله دوم کد اصلی حمله یا Payload اصلی را بارگذاری میکند که توانایی جمعآوری فایل از ترافیک، اجرای فرامین، استخراج داده، و کنترل دستگاه را برای حمله کننده فراهم میکند. این کار با دریافت یک دستور از C&C و اجرای آن روی دستگاه و سپس ریبوت کردن آن به شکل خودکار انجام میشود.
در مرحله سوم برخی افزونهها برای حملات مرحله دوم معرفی و بارگذاری میشوند. به عنوان مثال یک اسنیفر به منظور سرقت اطلاعات از ترافیک و به خصوص مانیتورینگ دادههای پروتکلهای Modbus SCADA به روتر اضافه میشوند. یکی دیگر از افزونهها مرحله سوم قابلیت ارتباط با مرکز کنترل (C&C) از طریق شبکه Tor را فراهم میکند.[۲]
پیشگیری
راهکار اصلی پیشگیری این حمله بازگرداندن رهیاب به تنظیمات اصلی کارخانه و تنظیم دیواره آتش به منظور جلوگیری از نفوذ به دستگاه و همچنین حذف قابلیت کنترل از راه دور به منظور جلوگیری از نفوذ مجدد به روتر میباشد. همچنین میبایست رمز عبور پیشفرض روتر تغیر کرده و سطح دسترسیها کنترل شوند.[۴]
منابع
https://en.wikipedia.org/wiki/VPNFilter