ویپیان فیلتر
این مقاله دقیق، کامل و صحیح ترجمه نشده و نیازمند ترجمه به فارسی است. کل یا بخشی از این مقاله به زبانی بهجز زبان فارسی نوشته شدهاست. اگر مقصود ارائهٔ مقاله برای مخاطبان آن زبان است، باید در نسخهای از ویکیپدیا به همان زبان نوشته شود (فهرست ویکیپدیاها را ببینید). در غیر این صورت، خواهشمند است ترجمهٔ این مقاله را با توجه به متن اصلی و با رعایت سیاست ویرایش، دستور خط فارسی و برابر سازی به زبان فارسی بهبود دهید و سپس این الگو را از بالای صفحه بردارید. همچنین برای بحثهای مرتبط، مدخل این مقاله در فهرست صفحههای نیازمند ترجمه به فارسی را ببینید. اگر این مقاله به زبان فارسی بازنویسی نشود، تا دو هفتهٔ دیگر نامزد حذف میشود و/یا به نسخهٔ زبانی مرتبط ویکیپدیا منتقل خواهد شد. اگر شما اخیراً این مقاله را بهعنوان صفحهٔ نیازمند ترجمه برچسب زدهاید، لطفاً عبارت {{جا:هبک-ترجمه به فارسی|1=ویپیان فیلتر}} ~~~~ را نیز در صفحهٔ بحث نگارنده قرار دهید. |
ویپیان فیلتر یک بدافزار طراحی شده برای آلوده کردن روترها است. تا تاریخ ۲۴ ماه مه ۲۰۱۸ چنین تخمین زده میشود که این بدافزار حدود ۵۰۰۰۰۰ تا ۱۰۰۰۰۰۰ دستگاه رهیاب را آلوده کرده باشد.[۱] این بدافزار قابلیت سرقت اطلاعات را برای مجریان حمله فراهم کرده، و همچنین با داشتن قابلیت کلید مرگ یا «kill switch» این امکان را به شخص حمله کننده میدهد که دستگاه رهیاب را از کار انداخته و غیرقابل استفاده نماید.[۲][۳]پلیس فدرال آمریکا این احتمال را میدهد که این بدافزار توسط گروه حملات سایبری Fancy Bear (Pawn Storm) ایجاد و گسترش داده شده باشد.
دستگاههای آسیبپذیر
[ویرایش]بررسی بدافزار ویپیان فیلتر نشان میدهد که قابلیت آلوده سازی روترهای صنعتی و همچنین روترهای خانگی و اداری تولید شده توسط شرکتهای Linksys, MikroTik, Netgear، و TP-Link را دارا میباشد. لیست زیر شامل دستگاهایی میباشد که آسیبپذیری آنها تأیید شدهاست:[۲]
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Other QNAP NAS devices running QTS software
- TP-Link R600VPN
سازوکار بدافزار
[ویرایش]این بدافزار شامل یه مرحله کلی میشود. در مرحله اول بدافزار با استفاده از شناسه کاربری و رمز شناخته شده دستگاه، یا با استفاده از آسیبپذیریهای شناخته شده برای دستگاه (استفاده از آسیبپذیریهای روز صفر تأیید نشدهاست) وارد دستگاه شده و روی آن نصب میشود و در همین مرحله یک اتصال با کانال فرمان و کنترل (Command and Control Infrastructure(C&C)) برای دریافت فرامین بعدی برقرار مینماید. مرحله دوم کد اصلی حمله یا Payload اصلی را بارگذاری میکند که توانایی جمعآوری فایل از ترافیک، اجرای فرامین، استخراج داده، و کنترل دستگاه را برای حمله کننده فراهم میکند. این کار با دریافت یک دستور از C&C و اجرای آن روی دستگاه و سپس ریبوت کردن آن به شکل خودکار انجام میشود. در مرحله سوم برخی افزونهها برای حملات مرحله دوم معرفی و بارگذاری میشوند. به عنوان مثال یک اسنیفر به منظور سرقت اطلاعات از ترافیک و به خصوص مانیتورینگ دادههای پروتکلهای Modbus SCADA به روتر اضافه میشوند. یکی دیگر از افزونهها مرحله سوم قابلیت ارتباط با مرکز کنترل (C&C) از طریق شبکه Tor را فراهم میکند.[۲]
پیشگیری
[ویرایش]راهکار اصلی پیشگیری این حمله بازگرداندن رهیاب به تنظیمات اصلی کارخانه و تنظیم دیواره آتش به منظور جلوگیری از نفوذ به دستگاه و همچنین حذف قابلیت کنترل از راه دور به منظور جلوگیری از نفوذ مجدد به روتر میباشد. همچنین میبایست رمز عبور پیشفرض روتر تغیر کرده و سطح دسترسیها کنترل شوند.[۴]
منابع
[ویرایش]https://en.wikipedia.org/wiki/VPNFilter
- ↑ https://blog.talosintelligence.com/2018/05/VPNFilter.html
- ↑ ۲٫۰ ۲٫۱ ۲٫۲ https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware
- ↑ https://www.us-cert.gov/ncas/current-activity/2018/05/23/VPNFilter-Destructive-Malware
- ↑ «نسخه آرشیو شده». بایگانیشده از اصلی در ۲۸ مه ۲۰۱۸. دریافتشده در ۲۸ مه ۲۰۱۸.