Shpjegoi malware VPNfilter


Në maj të vitit 2018, Cisco Talos lëshoi ​​një këshillë publike në blogun e tyre në lidhje me një infeksion global, të përhapur, me një sistem keqdashës modular, të cilit i referohet si “VPNfilter.” Kjo e fundit ishte dhe akoma është e aftë të mbledhë trafik të ndjeshëm në internet nga ruterat e infektuar, të nivelit të konsumatorit, por është gjithashtu i aftë në detyra shumë më të avancuara.

Modelet e ruterit të prekshëm nga kjo përpjekje e hakmarrjes i përkasin disa prej prodhuesve më të suksesshëm, duke përfshirë Asus, Netgear, TP-Link, Linksys, Mikrotik, Huawei, ZTE, D-Link, dhe disa të tjerë. Përveç kësaj, malware u gjet gjithashtu i aftë për të fshirë routerin’firmware, softueri i saj i integruar, duke e bërë atë të padobishëm.

Asnjë firmë nuk çon, por shumë prova

Duke gjykuar nga hetimet e tyre, studiuesit e Cisco-së vlerësuan se qëllimi i është krijimi i një infrastrukture inteligjente të jashtëzakonshme, që nuk mund t’i atribuohet mund të shërbejë për një sërë nevojash për aktorin e kërcënimit. FBI’Raporti arriti në përfundimin se njerëzit që fshihen pas këtij infeksioni i përkasin një grupi rakete të sponsorizuar nga shteti rus, të quajtur Sofacy, i njohur gjithashtu si STRONTIUM, Fancy Bear, dhe APT28. Duke pasur parasysh shkallën dhe kompleksitetin e kërcënimit të malware-it VPNfilter, ne besojmë se është e nevojshme për të kuptuar se si funksionon, çfarë dëmi mund të shkaktojë dhe çfarë mund të bëni për të mbrojtur veten kundër tij.

Në kohën e njoftimit, Cisco po punonte si me agjencitë private të inteligjencës publike, me qëllim vlerësimin e burimit, gravitetit dhe ndarjes teknike të kërcënimit. Kompania amerikane e teknologjisë vlerësoi mbi 500,000 infeksione në të gjithë 54 vendet. Ajo që bëri që në radhë të parë njoftimi publik, që është një rrezik i madh, ishte një rritje e rëndë e veprimtarisë VPNfilter, si dhe dy sulme në shkallë të gjerë. Ekspertët e sigurisë së Talos argumentuan se ashpërsia e sulmeve që e detyruan publikun të jetë i vetëdijshëm për atë që po ndodh përpara se të mund të përfundohej hetimi.

Më e rëndësishmja, këto sulme në internet u lëshuan me një infrastrukturë komanduese dhe kontrolli (C2), që synonte veçanërisht shënjestrimin e rajonit të Ukrainës, i cili ishte vendi i të paktën dy sulmeve të mëdha. Shkalla dhe aftësia e këtij operacioni ishte shumë larg asaj që mund të arrihet nga nisma të pavarura hakerësh. Fakti që përbërësit e malware VPNfilter mund të vidhnin letrat kredenciale të faqes në internet, të monitorojnë protokollet e njohura të komunikimit, siç është Modbus SCADA, si dhe t’i bëjnë pajisjet të papërdorshme vetëm për t’i bërë gjërat më keq.

Dhënia e një organizate potenciali për t’i bërë lidhjet në internet të papërdorshme për qindra mijëra individë ose, siç ishte rasti në vitin 2018, për të gjitha rajonet është mjaft shqetësuese, pa shtimin e të shikuarit dhe ditur gjithçka që viktimat e tyre bëjnë në internet. Potenciali i mbledhjes dhe manipulimit të inteligjencës është i jashtëzakonshëm.

Një kërcënim në rritje i heshtur

Arsyeja pse disa marka të ruterit i ekspozohen VPNfilter’Sulmet s ndërsa të tjerët nuk janë është një kombinim i softverit’punimet e brendshme dhe aktorët pas saj. Grupi’SHT do të synojë pikat e hyrjes në distancë, ruterat që nuk mbrohen nga një sistem i mbrojtjes nga ndërhyrjet (IPS), as nga një paketë antivirus (AV) në pritësin e tyre. Talos kanë pohuar se ata nuk ishin në dijeni të shfrytëzimit specifik të përdorur nga malware për të infektuar ruterin, por që pajisjet e synuara dihej se kishin shfrytëzime publike ose letrat kredenciale të firmware të cilat i ekspozojnë ata në kompromis të drejtpërdrejtë.

Te Talos’ njohuri, kërcënimi për malware VPNfilter ishte zgjëruar në heshtje që nga viti 2016, dhe në kohën e publikimit të raportit të tyre, ajo po rritej me një shkallë alarmante. Teknika kryesore e përhapjes për malware ishte nga një ruter i vogël dhe shtëpiak në tjetrin, si dhe përmes pajisjeve QNAP NAS. Thjesht ristartimi i ruterit nuk ndihmoi, por një rindizje e ndjekur nga rivendosja e fabrikës nga rivendosja e firmware u tregua për të parandaluar disa funksione të malware.

Sidoqoftë, duke pasur kohë, VPNfilter’Modulet gjithashtu u rifilluan, kjo është arsyeja pse mbetet e domosdoshme që të kontrolloni prodhuesin tuaj’Uebfaqe për azhurnime dhe arna për të hequr plotësisht problemin.

Ndarja e mënyrës sesi funksionon

Malware është krijuar pikërisht me një mendje për të shmangur fshirjen e plotë. Isshtë një platformë shumë-fazore, modulare përmes së cilës kryhen si operacionet e mbledhjes së inteligjencës ashtu edhe operacionet kibernetike. Shumica e programeve që i përkasin kësaj klase të softverëve me qëllim të keq nuk kanë teknologjinë dhe mjetet e nevojshme për të vazhduar gjatë procesit të rindezjes. VPNfilter’Megjithatë, faza 1 e infeksionit. Qëllimi i kësaj faze të parë të programit është të fitojë një themel të qëndrueshëm në pajisjen e infektuar dhe të mundësojë vendosjen e modulit të fazës 2.

Në këtë pikë, faza 1 ka karakteristika të shumta komanduese dhe kontrolli (C2) që e ndihmojnë atë të identifikojë adresën IP të serverit aktual që lehtëson vendosjen e fazës 2. Në maj 2018, serveri ishte kryesisht duke komunikuar me ruterë të infektuar me anë të një domain-i të vendosur në toknowall.com, i cili u kap edhe nga FBI. Nëse domeni ishte i paarritshëm, ruteri udhëzohej të hapte një port dhe të presë organizatën kontrolluese për të lehtësuar lidhjen e drejtpërdrejtë me ta.

Faza 2, e cila është plotësisht e ndërprerë nga funksioni i rindezjes, funksionon në atë mënyrë që është e ngjashme me platformat e mbledhjes së inteligjencës. Qëllimi i tij është të ekzekutojë komanda, të mbledhë skedarë, të menaxhojë vetë pajisjen, si dhe të nxjerrë të dhëna të ndjeshme. Disa versione të malware VPNfilter gjithashtu kanë një funksion vetë-shkatërrim të ngulitur në fazën e dytë, me anë të të cilit shumica e ruterit’firmware është mbishkruar dhe pastaj rindizur, i cili me sukses tullë vegël.

së fundi, faza 3 ka module të shumta që mund të operohen në të njëjtën mënyrë të shtojcave nga funksionet e fazës 2, duke përmirësuar softverin’funksionalitetin s. Një nga këto lehtësoi me sukses vjedhjen e kredencialeve të faqes në internet me anë të një paketuesi sniffer, krahas monitorimit të protokolleve të komunikimit Modbus SCADA, ndërsa një tjetër plugin lejonte VPNfilter të komunikonte mbi Tor. Grupi Talos ishte i bindur se ekzistonin më shumë nga këto shtesa, por ato nuk mund të përcaktojnë funksionalitetin e tyre në kohën e shkrimit të raportit të tyre.

Masat e sigurisë

Edhe pse është i gjerë, shumë i gjithanshëm dhe i qëndrueshëm në natyrë, ekzistojnë disa masa që mund të prishin dhe madje të fshijnë plotësisht malware-in VPNfilter. Kriptimi i ruterave, paaftësimi i funksioneve të menaxhimit në distancë, ndërsa sigurimi i tyre me fjalëkalime të forta u tregua se ishte mjaft i efektshëm. Që nga qershori 2018, Korporata Symantec zgjeroi listën e prodhuesve të ruterave të siguruar nga Talos dhe tregoi se programi fillimisht mendohej të ishte më pak i përhapur. Organizata gjithashtu hartoi një mjet falas kontrolli VPNfilter që mund ta përdorni me lehtësi.

Sidoqoftë, sepse nuk mund të kontrolloni kurrë ruterat që dhuroni’Vetë, programi VPNfilter vazhdon të mbetet problem.

Si mund të ndihmojë një shërbim i sigurt VPN kundër VPNfilter

Për të mos u infektuar nga shembujt e mbetur të malware, gjëja më e mirë që mund të bëni është shifroni trafikun tuaj në internet me një mjet VPN cilësor.

Për ata që instalojnë versionin e ruterit të një shërbimi VPN – për shembull, programi i ruterit të shërbimeve si TorGuard, ExpressVPN ose NordVPN – ose përdorin pajisje me firmware me porosi të tilla si ato të ofruara nga FlashRouter, atje’s’ka asgjë për t’u shqetësuar.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me