تحقیقات جدید بر روی VPNFilter نشان می دهد که دستگاههای بیشتری توسط این بدافزار مخرب آسیب دیده اند و می تواند باعث راه اندازی مجدد و بازگردانی روتر شود.
براساس تحقیقات انجام شده توسط گروه Talos Intelligence سیسکو، در انتهای این مقاله لیستی از روترهایی که در معرض خطر بدافزار VPNFilter هستند ارائه خواهد شد.
با 56 مدل اضافه تر و 5 وندور جدید، به احتمال زیاد این تعداد افزایش خواهد یافت. پس این نکته حائز اهمیت است که شما باید اقدامات لازم را بدون در نظر گرفتن مدل یا سازنده روتر خود انجام دهید.
چه اتفاقی رخ داده است ؟
صدها هزار روتر در بیش از 50 کشور توسط بدافزاری به نام VPNFilter آسیب دیده اند. هنگامی که این بدافزار در یک روتر قرار می گیرد، می تواند در ترافیک عبوری از طریق روتر جاسوسی کند. بدافزار همچنین می تواند دستگاه را به طور کامل غیرفعال نماید.
مانند بسیاری از بدافزارها، VPNFilter به صورت ماژولار می باشد و می تواند از طریق اینترنت با یک سیستم C2 ارتباط برقرار نموده و ماژول های اضافه تری را دانلود نماید.
روترها سه مکان برای ذخیره سازی دارند : حافظه منظم (Regular memory) که ناپایدار است و با خاموش شدن روتر اطلاعات آن پاک می شود. حافظه پایدار، که محتویات آن حتی در صورت خاموش شدن روتر نیز از بین نمی رود و Firmware که تغییر اطلاعات آن نسبتا دشوار می باشد.
بسیاری از کدهای VPNFilter در حافظه موقت قرار میگیرد و با خاموش شدن یا راه اندازی مجدد روتر از بین می روند به همین دلیل است که متخصصان امنیتی به عنوان یک راهکار از شما میخواهند که روتر خود را خاموش کرده و پس از چند ثانیه مجددا روشن نمایید.
با این حال با راه اندازی مجدد ممکن است برخی از کدهایی که بدافزار بروی حافظه پایدار نوشته است، از بین نروند، برای حذف این کدها نیاز به ریست کردن دستگاه است.
مراحل بعدی، به روز رسانی Firmware روتر به آخرین نسخه، تغییر پسوردهای پیش فرض ادمین و غیر فعال کردن دسترسی از راه دور ادمین هستند.
اولین سوالی که از سوی برخی از کاربران مطرح می شود این است که آیا روتر دارند یا خیر؟ پاسخ این سوال کمی پیچیده تر از چیزی است که فکر می کنید، در بسیاری از خانه ها و دفاتر کوچک دستگاههایی برای انتقال اینترنت به رایانه ها، گوشی های هوشمند، تبلت ها، تلویزیون ها و … وجود دارد.
این انتقال می تواند به صورت بی سیم از طریق Wi Fi یا با سیم از طریق کابل های اترنت و به وسیله سوییچ باشد. سیگنال از ISP شما ممکن است لازم باشد از طریق یک مودم قبل از روتر، به دستگاه ارسال شود. نمودار زیر می تواند نشان دهنده این شرایط باشد.
خوشبختانه اما گاهی گمراه کننده، تمام این قابلیت ها را می توان در یک دستگاه داشت که ممکن است روتر نامیده نشود در حالیکه بسیاری از قابلیت های یک روتر را داراست. ( حتی ممکن است بی سیم باشد در حالیکه آنتن ندارد – مانند شکل زیر )
امیدواریم این توضیحات ابتدایی به شما کمک کند که بتوانید تنظیمات فعلی خود را شناسایی کرده و دستگاه خود را مجددا راه اندازی نمایید. در واقع چنانچه شما از یک دستگاه چندکاره استفاده می کنید خاموش کردن و مجددا روشن کردن آن آسیبی نخواهد داشت همچنین می توانید با ISP خود برای توضیحات بیشتر تماس بگیرید.
منظور ما این نیست که این تهدید را ساده بگیرید، بدیهی است VPNFilter بدافزاری مخرب است و باعث بروز حملات MITM هم می شود. بدین معنا که نه تنها می تواند ترافیک را از طریق یک روتر آسیب دیده رصد کرده و به اطلاعاتی مانند رمزعبوری که برای ورود به حساب بانکی خود استفاده می کنید دسترسی پیدا کند بلکه می تواند اطلاعاتی که برای شما نیز ارسال می شود را دستکاری نموده و تغییر دهد، مانند نمایش اشتباه مانده حساب شما.
نکته مهم برای شبکه های بزرگ
گزارش هایی که در مورد این بدافزار و کاربران خانگی و دفاتر کوچک وجود دارد به این معنا نیست که خطری برای شبکه های بزرگ ایجاد نخواهد کرد. تجربه به ما می گوید احتمالا برخی از این دستگاهها در اغلب شبکه های بزرگ و شبکه های متصل به آنها استفاده می شود. در دفاتر شعب که استفاده از چنین دستگاههای ممنوعیت ندارد و یا کارمندانی که از راه دور وارد شبکه ی داخلی شده و به سرورها برای بررسی و نگهداری دسترسی دارند. پس در این صورت بهتر است در مورد این بدافزار اطلاعات لازم را داشته باشید.
دستگاههای شناسایی شده در معرض خطر
Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
Huawei: HG8245
Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5
Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
QNAP: TS251, TS439 Pro, Other QNAP NAS devices running QTS software
TP-Link: R600VPN, TL-WR741ND, TL-WR841N
Ubiquiti: NSM2, PBE M5
Upvel: بر طبق بررسیها این برند جزو برندهای در معرض خطر محسوب می شود اما گزارشی از مدلهای خاصی از آن اعلام نشده است.
