ITanalyze

ایران با وجود انتشار بد افزار جدید وی.پی.ان فیلتر در سطح جهانی، بنا به اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای هنوز قربانی آن نشده است اما احتمال آلوده شدن به این نرم افزار مخرب وجود دارد.

به گزارش سازمان فناوری اطلاعات ایران، گزارش‌های جهانی حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی داشته‌است و این عدد نیز افزایش خواهد داشت.
گزارش سازمان فناوری اطلاعات ایران نشان می دهد تجهیزات و دستگاه‌های مدل های های مختلف شامل Linksys ،Mikrotik ، NETGEAR و TP-Link و همچنین تجهیزات ذخیره‌سازی QNAP در صورت بروز رسانی نشدن، مستعد آلودگی به این بدافزار هستند.
سازمان فناوری اطلاعات اعلام کرد: با توجه به استفاده‌ بالای مدل های های پیش گفته در کشور، ارائه دهندگان سرویسها، مدیران شبکه‌ها و کاربران نسبت به جلوگیری از آلودگی و ایمن‌سازی، اقدام های لازم را به عمل آورند.
براساس این گزارش، نوع دستگاه‌های آلوده به این بد‌افزار بیشتر از نوع دستگاه‌های بک بون (Backbone) هستند و قربانیان اصلی این بد‌افزار، کاربران و شرکت‌های رساننده خدمات اینترنتی«آی.اس.پی»( ISP )کوچک و متوسط است.
«بک بون» خطوط ارتباطی اینترنت در فواصل زیاد است که برای وصل شدن به خطوط با ظرفیت کمتر طراحی شده اند.

*تشریح عملکرد بدافزار
وی.پی.ان فیلتر(VPNFilter) یک بدافزار چند مرحله ای است که توانایی جمع‌آوری داده از دستگاه‌ قربانی و انجام حملات مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می‌آورد و بر خلاف بسیاری از بد‌افزارها روی دستگاه‌های آی.او.تی اینترنت اشیا (IOT) که با راه‌اندازی مجدد دستگاه از بین می‌روند، این بد‌افزار با راه‌اندازی مجدد از میان نخواهد رفت. هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است.
در مرحله اول، دستورات مختلف و گاهی تکراری برای استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه می‌شود. در این مرحله آدرس آی پی (IP) دستگاه برای استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار می‌گیرد.

*شناسایی قربانیان
سازمان فناوری اطلاعات اعلام کرد: بر اساس بررسی‌های انجام شده توسط آزمایشگاه‌ها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در همه مناطق فعال بوده است.
دستگاه‌های قربانیان پس از آلودگی شروع به پویش روی درگاه‌های23, 80, 2000 و 8080 پروتکل تی.سی.پی(TCP) می‌کنند و از این طریق قابل شناسایی است؛ دستگاه‌هایی که مداوم این 4 پورت را پایش می‌کنند مشکوک به آلودگی هستند.

* مقابله با آلودگی
گزارش سازمان فناوری اطلاعات تاکید دارد: به خاطر ماهیت دستگاه‌های آلوده شده و هم به سبب نوع آلودگی چندمرحله‌ای که امکان پاک کردن آن ‌را دشوار می‌کند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است؛ مشکل از آنجا آغاز می‌شود که بیشتر این دستگاه‌ها بدون هیچ دیواره‌ آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاه‌های آلوده شده دارای قابلیت‌های ضد ‌بد‌افزار داخلی نیز نیستند.
بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه‌ پژوهشی تالوس(Talos) حدود 100 امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که می‌تواند برای جلوگیری از انتشار این آلودگی به دستگاه‌های شناخته ‌شده مورد استفاده قرار گیرد.
بر اساس این گزارش، به کاربران پیشنهاد می شود که در صورت آلودگی، بازگردانی تنظیمات به حالت پیش‌فرض کارخانه منجر به حذف کدهای غیرمقیم می‌شود.
همچنین باید میان ‌افزارها و برخی تجهیزات به روز رسانی شوند و شرکت‌های ارائه دهنده‌ سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدام های لازم را اطلاع رسانی کنند.
این گزارش حاکیست، وی.پی.ان فیلتر یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به‌ کارگیری منابع قربانی است که به شدت در حال رشد است. این بد‌افزار ساختاری پیمانه‌ای دارد که به آن امکان افزودن قابلیت‌های جدید و سوء استفاده از ابزارهای کاربران را فراهم می‌کند. با توجه به استفاده بسیار زیاد از دستگاه‌هایی مورد حمله و دستگاه‌های اینترنت اشیا (IOT) بی توجهی به این تهدید ممکن است منجر به اختلال فلج کننده در بخش‌هایی از سرویس‌ها و خدمات شود.
در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه‌های متصل به اینترنت کشور بوده و هزینه بسیار زیاد برای تجهیز مجدد این دستگاه‌ها تحمیل می کند.
سازمان فناوری اطلاعات تاکید دارد که این بدافزار به راحتی قابل پاک کردن از دستگاه‌های آلوده نیست.