رفتن به محتوای اصلی
پنجشنبه ۲۵ مرداد ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

Vpn Filter، هجمه‌ای همه‌جانبه به زیرساخت‌های کل جهان

پاپسا گزارش می‌دهد

Vpn Filter، هجمه‌ای همه‌جانبه به زیرساخت‌های کل جهان

ماه گذشته، خبری توسط شرکت امنیت سایبری تالوس، وابسته به سیسکو منتشر شد که حاکی از نشت گسترده بدافزاری به نام VPNFilter، در ۵۴ کشور جهان بود. گرچه در ساعات اولیه ادعا شد که این بدافزار، صرفاً برای ضربه زدن به اوکراین و توسط روسیه ساخته‌شده است، اما گزارش‌های بعدی، از آلودگی گسترده‌تر خبر می‌داد.

هنوز هم با گذشت چندین هفته از انتشار این بدافزار، جوانب دقیقی از آن منتشر نشده است و شرکت‌های امنیتی، راهکارهای مختلفی برای مقابله با VPN Filter، پیشنهاد می‌کنند. به ادعای بسیاری از کارشناسان امنیتی، این نسل از بدافزارها، زیرساخت‌های حیاتی را با چالش مواجه کرده‌اند و تهدیدی برای امنیت ملی کشورها محسوب می‌شوند. 

بر اساس گفته‌های شرکت‌های امنیتی، ظاهراً این بدافزار نسل جدیدی از بدافزار قدیمی Black Energy می‌باشد که پیش‌ازاین، اوکراین و برخی کشورهای دیگر را هدف قرار داده بود. در آن زمان، ادعاها بر این موضوع استوار بود که روسیه با توسل به این بدافزار، خسارات گسترده‌ای به اوکراین وارد کرده است؛ موضوعی که هنوز هم مدرک مستندی برای اثبات آن یافت نشده است.

در لیست تجهیزات آلوده به بدافزار VpnFilter نام بسیاری از برندهای مطرح جهانی در زمینه ساخت تجهیزات شبکه به چشم می‌خورند. در این یادداشت، متن منتشرشده از گزارش شرکت امنیت سایبری تالوس، وابسته به سیسکو در مورد این بدافزار، به‌صورت خلاصه منتشرشده است. در متن گزارش آمده است:

 

«مقدمه:

 

واحد تالوس شرکت سیسکو به‌تازگی نسل جدیدی از بدافزار بلک انرژی «BlackEnergy» را با نام «VPNFilter» شناسایی کرده است. بدافزار بلک انرژی در گذشته، خاموشی گسترده‌ای را در اوکراین ایجاد کرده بود. تالوس هشدار داده حداقل ۵۰۰ هزار روتر و ابزار ذخیره‌سازی در بیش از ۵۴ کشور توسط بدافزار VPNFilter آلوده شده‌اند. سخت‌افزارهای آلوده شامل تجهیزات شرکت‌های « Linksys»، « MikroTik»، «ETGEAR »، تجهیزات شبکه «TP-Link» دفاتر کسب‌وکارهای کوچک و خانگی، ذخیره‌سازهای متصل به شبکه «QNAP» می‌شوند.

رفتار VPNFilter به‌خصوص در تجهیزات شبکه نگران‌کننده است؛ زیرا می‌تواند اعتبار وبگاه‌ها را سرقت کرده، روی پروتکل‌های «Modbus SCADA » نظارت کند. به‌علاوه این بدافزار قابلیت خود تخریبی داشته، امکان از کار انداختن سامانه‌های آلوده را دارد. همچنین می‌تواند دسترسی صدها هزار ابزار آلوده را به اینترنت قطع کند. امکان دفاع از ابزارهای مورد هدف قرار گرفته بسیار دشوار است. این تجهیزات اغلب در داخل شبکه به کار گرفته شده؛ اما از سامانه‌های تشخیص نفوذ (IPS) بهره نمی‌برند و معمولاً یک سامانه حفاظتی مانند بسته‌های آنتی‌ویروس ندارند.

 

شیوه‌ی عملکرد:

 

بدافزار VPNFilter، یک بستر ماژولار و چندمرحله‌ای است که قابلیت جمع‌آوری اطلاعات و انجام حملات مخرب سایبری را دارد. این بدافزار، بر اساس الگوی زیر، فعالیت‌های خود را آغاز می‌کند و قربانیانش را آلوده می‌کند. عملکرد این بدافزار، به‌صورت زیر می‌باشد:

 

سطح اول: بدافزار مذکور از راه‌اندازی مجدد ابزارها جلوگیری به عمل می‌آورد. این در حالی است که دیگر نمونه‌هایی که به ابزارهای اینترنت اشیا حمله می‌کنند، نسبت به ریبوت مقاومت نشان نمی‌دهند. هدف از این مرحله تثبیت بدافزار به‌منظور آغاز سطح دوم است. در سطح اول از مکانیزم های متعدد فرماندهی و کنترل (C2) به‌منظور استخراج آدرس IP سرورهای سطح ۲ استفاده می‌شود. این موضوع باعث می‌شود بدافزار مذکور در برابر تغییرات غیرقابل‌پیش‌بینی سامانه‌های فرماندهی و کنترل، مقاوم شود.

 

سطح دوم: این سطح با راه‌اندازی مجدد سیستم ادامه پیدا نمی‌کند و نسبت به آن مقاومت نشان نمی‌دهد. بدافزار VPNFilter در این سطح امکان جمع‌آوری داده‌هایی مانند، آرشیو فایل‌ها، دستورات اجرایی، انتقال غیرمجاز داده‌ها و مدیریت ابزارها را دارد. البته، بعضی از نسخه‌های سطح ۲ از قابلیت خود تخریبی بهره می‌برند. در این حالت بخشی حیاتی از «میان‌افزار» (Firmware) دستگاه بازنویسی شده، مجدداً راه‌اندازی می‌شود. درنتیجه دستگاه غیرقابل استفاده خواهد شد.

 

در سطح سوم چندین ماژول وجود دارند که به‌عنوان افزونه‌هایی برای سطح ۲ عمل می‌کنند. درنتیجه قابلیت‌های مرحله‌ی دوم افزایش می‌یابد. تا زمان نوشتن این گزارش ۲ ماژول شناسایی‌شده‌اند که در زیر آورده شده‌اند:

اولین ماژول، ترافیک داده ابزارهای آلوده را جمع‌آوری می‌کند. این اقدام شامل، سرقت اعتبار وبگاه‌ها و نظارت روی پروتکل‌های « Modbus SCADA » می‌شود. ماژول دوم، به سطح دوم بدافزار اجازه می‌دهد به برقراری ارتباط در بستر تور (Tor) بپردازد.

 

طراحی بدافزار:

 

کارشناسان تالوس معتقدند ازآنجایی‌که VPNFilter از زیرساخت قدرتمندی بهره می‌برد، امکان استفاده از آن در عملیات‌های چندگانه و بزرگ وجود دارد. سطوح و افزونه‌های گوناگونان این بدافزار به بازیگران بد اجازه می‌دهد به شیوه‌های مختلفی از مزایای ابزارهای آلوده استفاده کنند.

بدافزار یادشده می‌تواند جریان عبوری داده‌ها از دستگاه آلوده را جمع‌آوری کند. این عمل یا صرفاً باهدف گردآوری اطلاعات انجام می‌گیرد یا به‌منظور تشخیص ارزش شبکه‌ای که به آن نفوذ شده است. درصورتی‌که یک شبکه موردتوجه مهاجمان قرار بگیرند؛ آن‌ها می‌توانند به جمع‌آوری محتوا ادامه بدهند.

درنهایت بدافزار موردبحث قابلیت انجام حملات مخرب گسترده‌ای را از طریق اجرای دستور «Kill» دارد. درنتیجه‌ی این اقدام تعدادی از ابزارهای فیزیکی غیرقابل استفاده می‌شوند. این فرمان در بیشتر نمونه‌های سطح دوم مشاهده‌شده است؛ اما می‌توان از طریق دستور «exec» در همه‌ی آن‌ها، اجرا کرد. در اکثر موارد، ابزارهای موردحمله قرارگرفته از طریق این ویژگی غیرقابل‌بازیابی هستند. مگر این‌که فرد قربانی از دانش فنی و ابزار لازم برخوردار باشد.

 

مشاهدات نگران‌کننده:

 

در اوایل ماه مِی از طریق انجام اسکن TCP روی پورت‌های ۲۳، ۸۰، ۲۰۰۰، ۸۰۸۰ ابزارهایی آلوده شناسایی شدند. با اسکن این پورت‌ها می‌توان تجهیزات « Mikrotik» و « QNAP NAS » را پیدا کرد. این اسکن ابزارهای موجود در بیش از ۱۰۰ کشور را موردبررسی قرار داده بود. با بررسی زیرساخت‌های فرماندهی و کنترل مشخص شد که بیشتر IP های آلوده رفتار انتقال غیرمجاز داده‌ها را از خود به نمایش می‌گذارند. در تاریخ ۸ می فعالیت آلوده‌کننده‌ی شدیدی توسط VPNFilter مشاهده شد. تقریباً همه‌ی قربانیان شناسایی‌شده در این تاریخ در اوکراین قرار دارند. 

لازم به ذکر است که بیشتر آلودگی‌های سطح ۲ موجود در این کشور، از طریق آی پی« ۴۶.۱۵۱.۲۰۹[.]۳۳. » با سراسر جهان به اشتراک گذاشته شده است.  همچنین به علت شباهت‌های موجود بین بلک انرژی و VPNFilter و زمان صورت گرفتن حمله‌ی قبلی به منطقه‌ی بالا، احتمالاً حمله‌ی بعدی به‌زودی انجام می‌شود. 

با توجه به تحقیقات صورت گرفته تا این لحظه نگارش این گزارش،  همه‌ی مدل‌های شناسایی‌شده، از آسیب‌پذیری‌های گذشته نشات می‌گیرند. همچنین ازآنجایی‌که هکرها قصد داشتند کمترین نشانه‌ای از خود به جای بگذارند، VPNFilter، به هیچ یکی از شیوه‌های روز صفرم (Zero-day)، نیازی پیدا نمی‌کند.

سطح اول VPNFilter، ابزارهایی که میان‌افزارهای بر پایه‌ی « Busybox »  و لینوکس را اجرا می‌کنند، تحت تأثیر قرار می‌دهد که برای انواع مختلفی از معماری‌های پردازنده‌های مرکزی (CPU) را شامل می‌شود. هدف اصلی این مرحله دانلود شدن بدافزار روی سرورهای هدف است تا پایدار مانده، بستر حملات سطح ۲ را آماده کند. 

بدافزار مذکور می‌تواند مقادیر موجود در حافظه‌های «NVRAM» را تغییر داده، خود را به «کرون جاب» (Crontab) لینوکس اضافه می‌کند. این عمل باعث می‌شود تا به پایداری بیشتری برسد. این ویژگی آن را از دیگر بدافزارهای اینترنت اشیا مانند میرای (Mirai) جدا می‌کند؛ زیرا این بدافزارهای به‌سادگی از طریق راه‌اندازی مجدد دستگاه قابل‌حذف بودند.

کارشناسان تالوس نمونه‌هایی از معماری میپس (MIPS) و ۳۲ بیتی (X86) پردازنده‌ها را تجزیه‌وتحلیل کردند. این بدافزار می‌تواند از طریق ارتباطات سامانه‌های فرماندهی، اقدام به دانلود بدافزارهای اضافی دیگری کند. این رویداد از طریق بستر تور یا ارتباطات رمزنگاری‌شده‌ی «SSL» رخ می‌دهد. درحالی‌که این رشته‌ها مبهم نیستند، تعدادی از آن‌ها به‌صورت رمزنگاری‌شده تجزیه‌وتحلیل‌ها نشان می‌دهد که شیوه‌ی پیاده‌سازی و اجرای VPNFilter با بلک انرژی که به سازمان‌های دولتی نسبت داده می‌شود یکسان است.

این بدافزار، جنبه‌های بسیار گسترده‌تری دارد و همچنان در دست بررسی است.

VPNFilter، یک بدافزار قوی و پیچیده و بسیار تواناست و امنیت سامانه‌های تدافعی را به چالش خواهد کشید. چارچوب ماژولار این بدافزار، به آن، اجازه تغییرات ناگهانی و بسیار سریع را می‌دهد. قابلیت‌های تخریبی بالای این بدافزار، ما را نگران کرده است. اگر این بدافزار، بتواند به اهداف خود دسترسی پیدا کند، بسیاری از ابزارهای ما را غیرقابل استفاده خواهد کرد. در موقعیتی که تهدیدات اینترنت اشیاء بسیار جدید هستند، این واقعیت وجود دارد که این ابزارها، توسط بازیگران غیردولتی، برای انجام عملیات سایبری، مورداستفاده قرار می‌گیرند. ما همچنان این بدافزار را رصد می‌کنیم و با شرکای خود، در زمینه شناسایی این تهدید، فعالیت خواهیم کرد.

 

ابزارآلات آلوده شناسایی‌شده

 

ابزارآلاتی که در ادامه معرفی می‌شوند، تجهیزاتی هستند که احتمالاً به این بدافزار، آلوده‌شده‌اند. با توجه به تحقیقاتی که در این زمینه انجام شده است، تخمین زدن کل تجهیزات احتمالی آلوده، بسیار دشوار است. بر اساس تحقیقات انجام شده، این تجهیزات، با بالاترین احتمال، تحت تأثیر این بدافزار قرارگرفته‌اند:

LINKSYS DEVICES: E1200/ E2500/ WRVS4400N

MIKROTIK ROUTEROS VERSIONS FOR CLOUD CORE ROUTERS: 1016/ 1036/ 1072

NETGEAR DEVICES: DGN2200/R6400/R7000/R8000/WNR1000/ WNR2000

QNAP DEVICES: TS251TS439 Pro

Other QNAP NAS devices running QTS software

TP-LINK DEVICES: R600VPN

مشتریان سیسکو، مجهز به سامانه حفاظت بدافزار پیشرفته (AMP)، سامانه امنیتی ابری (CWS)، سامانه امنیتی شبکه‌ای، ThreatGrid، Umbrella و WSA هستند. درمجموع، StealthWatch و StealthWatch Cloud، می‌توانند به‌صورت واحد، به بررسی ابزارآلات ارتباطی بپردازند که دارای C2 IP و دامنه شناخته‌شده هستند. در StealthWatch، دو مرحله نیاز است تا IP های مخرب شناسایی شوند.

در مرحله اول، نیاز است تا Host Group با نام " VPNFilter C2"، تحت Outside Hosts ایجاد شود که از رابط جاوا بهره‌برداری می‌کند. زمانی که این مسئله ایجاد شد، شما باید مطمئن شوید که هیچ‌گونه ارتباط در لحظه‌ای وجود ندارد.

این اطمینان سنجی، با استفاده از راست کلیک کردن روی "VPNFilter C2‏" Host Group و پیگیری کردن از مسیر Top -> Conversations -> Total، قابل انجام خواهد بود. از طریق این روش، شما می‌توانید متوجه شوید که آیا ترافیک فعالی در این زمینه وجود دارد یا خیر.»

 

زیرساخت‌های حساس و حیاتی جهان، بیش‌ازپیش در معرض خطر 

 

بسیاری از شرکت‌های امنیت سایبری در جهان، سال ۲۰۱۸ را سالی پر از بحران برای زیرساخت‌های حساس، خصوصاً زیرساخت‌های انرژی عنوان می‌کنند. این شرکت‌ها، معتقدند چالش‌های بسیاری در برابر کشورها در این زمینه وجود دارد و نیاز به یک همکاری گسترده و بین‌المللی برای مقابله با این چالش‌ها بیش‌ازپیش به چشم می‌خورد.

این نگرانی و چالش، البته برای کشورهای صنعتی که تمام زیرساخت‌های خود را وارد فضای سایبری کرده‌اند، بیش‌ازپیش خودنمایی می‌کند، چرا که این کشورها، در صورت بروز یک حمله سایبری، با مشکلات عدیده و جدی در زمینه ادامه حیات خود مواجه خواهند شد. شاید تصور قطع برق، برای یک کشور صنعتی همانند آمریکا که تمام زیرساخت‌های حیاتی و غیر حیاتی خود را به آن وابسته کرده است، امری غیرقابل‌تصور باشد و در صورت بروز چنین رخدادی، برآورد هزینه‌های جبران خسارت، غیرقابل درک می‌شود. 

ترس و نگرانی از بابت بروز یک حمله سایبری، سبب شده است تا برخی کشورها نظیر روسیه یا حتی آلمان، اقدام به خارج کردن برخی از زیرساخت‌های خود، از اینترنت کرده یا حداقل اینترنتی ایجاد کنند که در مواقع اضطراری، بتوان آن را از اینترنت جهان جدا کرد و به‌صورت ایزوله، آن را مورداستفاده قرار داد.

با دقتی در گزارش‌ها و اخبار منتشرشده در رسانه‌های معتبر جهانی، شاهد هستیم که هرچند روز یک‌بار، خبری مبنی بر انتشار یک نسل جدید از بدافزارها منتشر می‌شود و تا مدت‌ها، کارشناسان امنیتی را درگیر بررسی و ارائه راهکار مقابله می‌کند. جمله مشهوری در این زمینه وجود دارد که بر اساس آن، "امنیت هشتاد سال از فناوری عقب‌تر است". همین جمله نشان می‌دهد که یافتن یک راهکار امنیتی در برابر یک چالش امنیتی، بسیار هزینه‌بر و زمان‌برتر است.

در چنین وضعیتی، تلاش مضاعفی موردنیاز است تا بتوان به بازدارندگی مؤثر سایبری در برابر تهدیدات امنیتی دست‌یافت. یکی از اصلی‌ترین راهکارهای مقابله با تهدیدات در وضعیت کنونی، داشتن رصد پایدار و فراگیر است. به‌عبارت‌دیگر، لازم است تا نسبت به گذشته، رصد جامع‌تری از شبکه‌های اطلاعاتی جهانی داشت و ضمن پایش دقیق تهدیدات، نسبت به اشتراک‌گذاری آن‌ها اقدام کرد تا بتوان از علوم نوین و اطلاعات تکمیلی به‌دست‌آمده توسط دیگران نیز بهره‌مند شد.

در مورد بدافزار Vpn Filter، نگرانی جدید به چشم می‌خورد و آن، آلوده سازی اغلب برندهایی از تجهیزات شبکه‌ای است که متأسفانه در داخل کشور، مورداستفاده قرار می‌گیرند. گرچه، هنوز مقامات امنیتی ایرانی خبری از آلوده شدن تجهیزات شبکه‌ای در داخل کشور در این زمینه مخابره نکرده‌اند، اما این نگرانی وجود دارد که بدافزار مذکور ،به‌صورت چراغ خاموش و بدون سروصدا، در حال فعالیت و قربانی گرفتن در داخل باشد؛ موضوعی که باید برای آن، برنامه‌ریزی‌های دقیقی در مؤسسات امنیتی صورت بپذیرد.

گزارش سازمان فناوری اطلاعات در مورد بدافزار وی پی ان فیلتر، تأکید دارد به خاطر ماهیت دستگاه‌های آلوده‌شده و هم به سبب نوع آلودگی چندمرحله‌ای که امکان پاک کردن آن ‌را دشوار می‌کند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است؛ مشکل از آنجا آغاز می‌شود که بیشتر این دستگاه‌ها بدون هیچ دیواره‌ آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاه‌های آلوده‌شده دارای قابلیت‌های ضد ‌بد‌افزار داخلی نیز نیستند.

 

بالا رفتن سواد سایبری، ضرورت مقابله با تهدیدات نسل جدید

 

روزانه، ماهانه و سالانه، تهدیدات سایبری متعددی در حال بروز و رشد هستند که هرکدام از آن‌ها، می‌توانند به‌اندازه چندین موشک هسته‌ای، قابلیت تخریب داشته باشند. تهدیدات سایبری، امروزه آن‌قدر بزرگ شده‌اند که دیگر نمی‌توان آن‌ها را ندید و برایشان برنامه‌ریزی نداشت.

هزینه‌های متعددی نیز در این زمینه توسط کشورهای مختلف صرف می‌شود اما در بسیاری از موارد، این هزینه‌ها، کار را به نتیجه نمی‌رسانند و همچنان آسیب‌پذیری‌های سایبری در صنایع مختلف قربانی می‌گیرند.

به اعتقاد بسیاری از کارشناسان، آموزش اصول ساده سایبری در لایه عموم مردم و به‌عبارت‌دیگر، افزایش سطح اطلاعات عمومی از تهدیدات سایبری، ازجمله مواردی است که تا حد بسیار زیادی، به بازدارندگی سایبری و رشد کمک خواهد کرد. کارمندان رده پایین یک مجموعه حساس، همواره طعمه خوبی برای دستیابی هکرها، به اطلاعات حیاتی زیرساخت‌ها یا افراد مهم آن مجموعه هستند و ازاین‌رو، ساده‌ترین روش مورداستفاده توسط هکرها نیز می‌تواند آن‌ها را به اهدافشان، به‌راحتی برساند.

در دوره‌ای از زمان که مقامات کشورهای غربی و خصوصاً رژیم صهیونیستی، علناً ایران را به راه‌اندازی یک جنگ آشکار سایبری تهدید می‌کنند، به‌کارگیری تلاش مضاعف، برای یافتن راهکارهای مقابله با چالش‌های سایبری، امری معقول و مورد انتظار است و هرگونه تعلل در این زمینه، می‌تواند کشور را دچار چالش‌های جدی در زمینه اداره امور هرچند ساده نماید.

 

۴۹