کمیته رکن چهارم – شرکت سیسکو از شناسایی شبکه مخرب (Botnet) عظیمی، متشکل از روترهای هک شده خبر داده که بهنظر میرسد قرار است از آن در اجرای حمله سایبری گستردهای بر ضد اوکراین استفاده شود.
این روترها به بدافزاری با نام VPNFilter آلوده شدهاند.
در مقایسه با سایر بدافزارهای ویژه دستگاههای موسوم به اینترنت اشیاء، VPNFilter، بدافزاری بسیار پیچیده محسوب می شود که ضمن ماندگار کردن خود بر روی دستگاه، قادر به انجام امور زیر نیز می باشد:
- شنود و بررسی ترافیک شبکه
- پویش ارتباطات برای یافتن دستگاههای کنترل صنعتی SCADA
- برقراری ارتباط با سرور فرماندهی از طریق شبکه ناشناس Tor
- توانایی حذف و از کارانداختن ثابتافزار دستگاههای آلوده
محققان سیسکو این احتمال را مطرح کردهاند که گردانندگان این بدافزار ماژولهای دیگری را نیز توسعه دادهاند که هنوز در این بدافزار لحاظ نشدهاند.
بیش از نیممیلیون روتر ساخت شرکتهای لینکسیز، میکروتیک، نتگیر و تیپیلینک، در حداقل ۵۴ کشور در فهرست دستگاههای آلوده به VPNFilter به چشم میخورند. ضمن اینکه نمونههایی از آلودگی تجهیزات NAS شرکت کیونپ به بدافزار مذکور گزارش شده است.
بهنظر میرسد روش رخنه به این دستگاهها، نه با بهرهجویی از آسیبپذیری(های) روز صفر که با سواستفاده از آن دسته از ضعفهای امنیتی صورت گرفته که پیشتر جزییات آنها بهصورت عمومی منتشر شده بوده. ضمن اینکه پیشفرض یا غیرپیچیده بودن رمزعبور بسیاری از این تجهیزات هک شده نیز محتمل است.
بررسی محققان سیسکو نشان میدهد که کدهای بکار رفته در VPNFilter با بدافزار BlackEnergy که در فاصله سالهای ۲۰۱۵ و ۲۰۱۶ موجب بروز اختلالهای گسترده در شبکه برق اوکراین شد همخوانی دارد.
وزارت امنیت داخله آمریکا، جاسوسان روسی را مسئول ساخت BlackEnergy معرفی کرده است.
علاوه بر BlackEnergy، روسیه متهم به توسعه و توزیع باجافزارهای NotPetya و Bad Rabbit نیز بر ضد اوکراین است.
اکنون برخی محققان امنیتی بر این باورند که روسیه، با بهرهگیری از این لشکر تجهیزات هک شده در تدارک حمله سایبری دیگری بر علیه اوکراین است.
روز گذشته، سرویس مخفی اوکراین اقدام به انتشار اطلاعیهای در خصوص VPNFilter کرد.
مشروح گزارش سیسکو در لینک زیر قابل دریافت و مطالعه است:
https://blog.talosintelligence.com/2018/05/VPNFilter.html
منبع : شبکه گستر
