פרסומת

נתב, התקן רשת ואינטרנט זדוני זדוני נפוץ יותר ויותר. מרביתם מתמקדים בהדבקת מכשירים פגיעים והוספתם לביוטי בוט חזקים. נתבים ומכשירי Internet of Things (IoT) תמיד מופעלים, תמיד מקוונים ומחכים להוראות. מספוא בוטנט מושלם, אם כן.

אך לא כל התוכנות הזדוניות זהות.

VPNFilter הוא איום הרסני של תוכנות זדוניות על נתבים, מכשירי IoT ואפילו על כמה מכשירי אחסון המחוברים לרשת (NAS). איך אתה בודק אם יש זיהום זדוני VPNFilter? ואיך אתה יכול לנקות את זה? בואו נסתכל מקרוב על VPNFilter.

מה זה VPNFilter?

VPNFilter הוא גרסה מתקדמת מודולרית מתוחכמת הממוקדת בעיקר במכשירי רשת ממגוון רחב של יצרנים, כמו גם למכשירי NAS. תחילה נמצא VPNFilter במכשירי רשת Linksys, MikroTik, NETGEAR ו- TP-Link, כמו גם במכשירי QNAP NAS, עם כ -500,000 זיהומים ב -54 מדינות.

ה צוות שחשף את VPNFilter, סיסקו טאלוס, פרטים שעודכנו לאחרונה ביחס לתוכנה הזדונית, המציין כי ציוד רשת מיצרנים כמו ASUS, D-Link, Huawei, Ubiquiti, UPVEL ו- ZTE מציג כעת זיהומי VPNFilter. עם זאת, בעת כתיבתם, אין התקני רשת של סיסקו מושפעים.

התוכנה הזדונית אינה דומה לרוב הזדוניות האחרות הממוקדות ב- IoT מכיוון שהיא נמשכת לאחר אתחול מחדש של המערכת, ומקשה על מיגורו. מכשירים המשתמשים בתעודות הכניסה שלהם כברירת מחדל או עם נקודות תורפה ידועות לאפס יום שלא קיבלו עדכוני קושחה פגיעים במיוחד.

instagram viewer

מה עושה VPNFilter?

אז VPNFilter הוא "פלטפורמה מודולרית רב-שלבית" עלול לגרום נזק הרסני למכשירים. יתר על כן, זה יכול לשמש גם כאיום איסוף נתונים. VPNFilter עובד במספר שלבים.

שלב 1: VPNFilter שלב 1 מקים ראש חוף במכשיר, יוצר קשר עם שרת הפקודה והבקרה שלו (C&C) כדי להוריד מודולים נוספים ולחכות להוראות. בשלב 1 יש גם יתירות מובנות מרובות לאיתור C & C של שלב 2 למקרה של שינוי תשתיות במהלך הפריסה. התוכנה הזדונית VPNFilter שלב 1 מסוגלת גם לשרוד אתחול מחדש, מה שהופך אותה לאיום חזק.

שלב 2: VPNFilter Stage 2 לא נמשך דרך אתחול מחדש, אך הוא מגיע עם מגוון רחב יותר של יכולות. שלב 2 יכול לאסוף נתונים פרטיים, לבצע פקודות ולהפריע לניהול מכשירים. כמו כן, ישנן גרסאות שונות לשלב 2 בטבע. גרסאות מסוימות מצוידות במודול הרסני המחליף מחיצה של קושחת המכשיר, ואז מבצע הפעלה מחדש כדי להפוך את המכשיר לבלתי שמיש (התוכנה הזדונית מלבנת את הנתב, IoT או מכשיר NAS, בעיקרון).

שלב 3: VPNFilter שלב 3 מודולים עובדים כמו תוספים לשלב 2, ומרחיבים את הפונקציונליות של VPNFilter. מודול אחד פועל כמרחרח מנות שאוסף תנועה נכנסת במכשיר וגונב אישורים. אפשרות אחרת מאפשרת לתוכנה זדונית שלב 2 לתקשר באופן מאובטח באמצעות Tor. סיסקו טאלוס מצאה גם מודול אחד שמחדיר תוכן זדוני לתנועה העוברת במכשיר, כלומר ההאקר יכול לספק ניצולים נוספים להתקנים מחוברים אחרים דרך נתב, IoT או NAS התקן.

בנוסף, מודולי VPNFilter "מאפשרים גניבה של אישורי אתר ומעקב אחר פרוטוקולי Modbus SCADA."

Meta שיתוף תמונות

תכונה מעניינת נוספת (אך לא התגלתה לאחרונה) של תוכנות זדוניות VPNFilter היא השימוש שלה בשירותי שיתוף תמונות מקוונים כדי למצוא את כתובת ה- IP של שרת ה- C&C שלה. ניתוח Talos מצא כי התוכנה הזדונית מצביעה על סדרה של כתובות אתרים של Photobucket. התוכנה הזדונית מורידה את תמונה ראשונה בגלריה, כתובת האתר מפנה ומוציאה כתובת IP של השרת המוחבאת בתוך התמונה מטא נתונים.

כתובת ה- IP "מופקת משישה ערכי מספר שלם עבור קו רוחב ואורך GPS במידע EXIF." אם זה נכשל, תוכנה זדונית שלב 1 נופלת חזרה לתחום רגיל (toknowall.com - עוד על זה למטה) כדי להוריד את התמונה ולנסות את אותה הדבר תהליך.

תשתית שרת זדוניות של סיסקו טאלוס vpnfilter

מריחת מנות ממוקדת

הדו"ח המעודכן של טלוס חשף כמה תובנות מעניינות במודול ההרחה של מנות VPNFilter. במקום רק לרחף את הכל, יש לו מערכת כללים נוקשה למדי שמכוונים לסוגים מסוימים של תנועה. באופן ספציפי, תנועה ממערכות בקרה תעשייתיות (SCADA) המתחברות באמצעות TP-Link R600 VPN, חיבורים לרשימה של כתובות IP מוגדרות מראש (מה שמצביע על ידע מתקדם ברשתות אחרות ותעבורה רצויה), וכן חבילות נתונים של 150 בתים ומעלה.

קרייג וויליאם, מנהיג טכנולוגי בכיר ומנהל תחום ההשקעות הגלובלי בטאלוס, אמר לארס, "הם מחפשים דברים מאוד ספציפיים. הם לא מנסים לאסוף כמה שיותר תנועה. הם אחרי דברים קטנים מאוד כמו אישורים וסיסמאות. אין לנו הרבה אינטל בנושא זה מלבד שזה נראה ממוקד להפליא ומתוחכם להפליא. אנחנו עדיין מנסים להבין במי הם משתמשים בזה. "

מאיפה הגיע VPNFilter?

VPNFilter נחשב להיות העבודה של קבוצת פריצות בחסות המדינה. כי גל הזיהום הראשוני של ה- VPNFilter הורגש בעיקר ברחבי אוקראינה, אצבעות ראשוניות הצביעו על טביעות האצבעות המגובות ברוסיה וקבוצת הפריצה, Fancy Bear.

עם זאת, כזה הוא התחכום של התוכנה הזדונית אין בראשית ברורה ואף קבוצת פריצה, מדינת לאום או אחרת, לא התקדמה לטעון לתוכנה הזדונית. בהתחשב בכללים המפורטים והמיקוד של תוכנות זדוניות של SCADA ופרוטוקולים אחרים של מערכות תעשייתיות, נראה כי ככל הנראה, שחקן מדינת לאום.

בלי קשר לדעתי, ה- FBI מאמין ש- VPNFilter הוא יצירה של דובי מפואר. במאי 2018, ה- FBI תפס תחום—ToKnowAll.com — נחשב כי שימש להתקנה ולפקודה של תוכנות זדוניות שלב 2 ושלב 3 VPNFilter. התקף הדומיין בהחלט עזר לעצירת ההתפשטות המיידית של VPNFilter, אך לא ניתק את העורק הראשי; ה- SBU האוקראיני הוריד התקפה של VPNFilter על מפעל לעיבוד כימי ביולי 2018.

VPNFilter נושא גם דמיון לתוכנה הזדונית BlackEnergy, טרויאנית APT המשמשת נגד מגוון רחב של יעדים אוקראינים. שוב, בעוד שזה רחוק מראיות מלאות, המיקוד המערכתי לאוקראינה נובע בעיקר מקבוצות פריצות עם קשרים רוסיים.

האם אני נדבק ב- VPNFilter?

רוב הסיכויים שהנתב שלך לא מכיל את התוכנה הזדונית VPNFilter. אבל תמיד עדיף להיות בטוח מאשר להצטער:

  1. בדוק רשימה זו עבור הנתב שלך. אם אינך ברשימה, הכל בסדר.
  2. אתה יכול לפנות אל אתר בדיקת VPNFilter של סימנטק. סמן את תיבת התנאים והקש ולאחר מכן לחץ על הפעל את VPNFilter Check כפתור באמצע. הבדיקה מסתיימת תוך שניות.
אתר בדיקת זיהום vpnfilter סימנטק זדוני

אני נדבק ב- VPNFilter: מה עלי לעשות?

אם בדיקת Symantec VPNFilter Check מאשרת שהנתב שלך נגוע, יש לך דרך פעולה ברורה.

  1. אפס את הנתב שלך, והפעל שוב את בדיקת VPNFilter.
  2. אפס את הנתב להגדרות היצרן.
  3. הורד את הקושחה האחרונה לנתב שלך, והשלם התקנת קושחה נקייה, רצוי מבלי שהנתב יוצר חיבור מקוון במהלך התהליך.

בהמשך לכך, עליך להשלים סריקות מערכת מלאות בכל התקן המחובר לנתב הנגוע.

עליך תמיד לשנות את אישורי הכניסה המוגדרים כברירת מחדל של הנתב שלך, כמו גם לכל מכשירי IoT או NAS (מכשירי IoT אינם מקלים על המשימה הזו מדוע האינטרנט של הדברים הוא הסיוט הביטחוני הגדול ביותריום אחד אתה מגיע הביתה מהעבודה לגלות שמערכת האבטחה הביתית המותאמת לענן שלך נפרצה. איך זה יכל לקרות? באמצעות Internet of Things (IoT), תוכלו לגלות את הדרך הקשה. קרא עוד ) אם בכלל אפשרי. כמו כן, למרות שיש עדויות לכך ש- VPNFilter יכול להתחמק מחומות חומת אש, לאחר התקנה והגדרת כראוי 7 טיפים פשוטים לאבטחת הנתב ורשת ה- Wi-Fi שלך תוך דקותהאם מישהו מרחרח וצותק בתעבורת ה- Wi-Fi שלך, גונב את הסיסמאות ומספרי כרטיסי האשראי שלך? האם היית יודע אם מישהו היה? כנראה שלא, אז אבטח את הרשת האלחוטית שלך באמצעות 7 השלבים הפשוטים האלה. קרא עוד יעזור להרחיק הרבה דברים מגעילים אחרים מהרשת שלך.

היזהר מתוכנות זדוניות של נתב!

תוכנות זדוניות לנתב נפוצות יותר ויותר. תוכנות זדוניות ופגיעויות של IoT נמצאות בכל מקום, ועם מספר המכשירים שיגיעו לרשת, רק יחמירו. הנתב שלך הוא נקודת המוקד לנתונים בביתך. עם זאת הוא לא זוכה לתשומת לב רבה ככל האפשר של מכשירים אחרים.

פשוט שים, הנתב שלך אינו מאובטח כמו שאתה חושב 10 דרכים הנתב שלך אינו מאובטח כמו שאתה חושבלהלן עשר דרכים בהן ניתן לנצל את הנתב על ידי האקרים וחוטפי הכונן באמצעות כוננים אלחוטיים. קרא עוד .

גבין הוא סופר בכיר ב- MUO. הוא גם עורך ומנהל SEO של אתר האחות הממוקדת בקריפטו של MakeUseOf, Blocks Decoded. הוא בעל תואר ראשון (Hons) בכתיבה עכשווית עם פרקטיקות באמנות דיגיטלית, הנדנדה מגבעות דבון, וכן ניסיון של למעלה מעשור של כתיבה מקצועית. הוא נהנה מכמויות תה רבות.