تبين أن فيروس VPNFilter ، الذي أصاب 500 ألف جهاز توجيه ، أكثر خطورة مما كان يعتقد

قبل بضعة أسابيع ، حذر خبراء أمن المعلومات من برامج ضارة خطيرة تسمى VPNFilter. كما اتضح ، فإن الهدف الرئيسي من هذا البرنامج الضار هو أجهزة التوجيه لمختلف الشركات المصنعة. كان أول فريق في VPNFilter فريقًا من خبراء أمن معلومات Cisco Talos .

يتم تحسين البرامج الضارة باستمرار من قبل المطورين. في الآونة الأخيرة ، تم اكتشاف وحدة جديدة تستخدم نوع هجوم الرجل في الوسط فيما يتعلق بحركة المرور الواردة. يمكن للمهاجمين تعديل حركة المرور التي تمر عبر جهاز التوجيه. يمكنهم أيضًا إعادة توجيه أي بيانات إلى خوادمهم دون أي مشاكل. تسمى وحدة الفيروس ssler.

بالإضافة إلى تعديل حركة المرور الواردة ، يمكن لـ ssler أيضًا نقل البيانات الشخصية للضحية إلى منشئيها. يمكن أن تكون هذه كلمات مرور لموارد مختلفة يستخدمها مجرمو الإنترنت بعد ذلك لأغراض مختلفة.

لمنع سرقة المعلومات الشخصية ، يتم عادةً استخدام تشفير TLS ، والذي يمكن أن تتجاوزه البرامج الضارة. يتم ذلك عن طريق "تخفيض" اتصالات HTTPS إلى حركة مرور HTTP ، والتي لا يحميها أي شيء. ثم يتم استبدال رؤوس الطلبات ، والتي تعمل كإشارة إلى أن نقطة الوصول ضعيفة. يقوم Ssler بتعديل حركة الموارد المختلفة على وجه التحديد ، بما في ذلك Google و Facebook و Twitter و Youtube. والحقيقة أن هذه الخدمات توفر حماية إضافية. على سبيل المثال ، تعيد Google توجيه حركة مرور HTTP إلى خوادم HTTPS. لكن الوحدة النمطية تسمح لك بتجاوز هذه الحماية ، بحيث يتلقى المهاجمون حركة مرور غير مشفرة.

منذ لحظة اكتشاف الفيروس ، يستكشف خبراء أمن المعلومات قدراته . الآن اتضح أنه كان أكثر خطورة مما كان يعتقد. في السابق ، على سبيل المثال ، ادعى خبراء Cisco أن المهمة الرئيسية للمهاجمين هي إصابة أجهزة الشبكة في مكاتب الشركة ومنازل الضحايا. ربما لتشكيل الروبوتات. ولكن تبين الآن أن المستخدمين ، أو بالأحرى ، بياناتهم - الهدف الرئيسي.

"في البداية ، عندما اكتشفنا الفيروس ، اعتقدنا أنه تم إنشاؤه لتنفيذ أنواع مختلفة من هجمات الشبكة. ولكن اتضح أن هذه ليست المهمة الرئيسية وإمكانية البرامج الضارة على الإطلاق. تم إنشاؤه بشكل رئيسي لسرقة بيانات المستخدم وتعديل حركة المرور. على سبيل المثال ، يمكن للفيروس تغيير حركة المرور بحيث يرى مستخدم بنك العميل نفس المبلغ في حسابه. لكن في الواقع ، لم يكن المال موجودًا منذ فترة طويلة "، حسب تقرير خبراء الأمن السيبراني.

ومن المثير للاهتمام أن معظم الأجهزة المصابة تقع في / في أوكرانيا. إجراءات الحماية مثل HTTP Strict Transport Security ليست شائعة جدًا هنا ، لذا فإن بيانات المستخدم في خطر. ولكن في بلدان أخرى ، هناك مشكلات - على سبيل المثال ، في الولايات المتحدة الأمريكية وأوروبا الغربية ، لا تدعم العديد من الأجهزة القديمة أخلاقيا العمل مع HTTPS ، مع الاستمرار في استخدام HTTP.

تم الإبلاغ سابقًا عن أن أكثر طرازات جهاز التوجيه ضعفًا لهذا الفيروس هي الأجهزة المصنعة بواسطة ASUS و D-Link و Huawei و Ubiquiti و UPVEL و ZTE. في الواقع ، فإن نطاق الأجهزة المعرضة للفيروس أوسع بكثير. هذا ، بما في ذلك نماذج من Linksys و MikroTik و Netgear و TP-Link.

وهذا ليس كل شيء

بالإضافة إلى كل ما تم الإعلان عنه أعلاه ، أبلغ Talos عن اكتشاف وحدة شم. يقوم بتحليل حركة المرور في البحث عن بيانات من نوع معين مرتبطة بتشغيل الأنظمة الصناعية. يمر هذا المرور عبر TP-Link R600 ، الذي تحدده الوحدة. بالإضافة إلى ذلك ، تبحث الوحدة عن وصول IP من نطاق معين ، بالإضافة إلى حزم البيانات التي يبلغ حجمها 150 بايت أو أكثر.



"يبحث مبدعو الفيروس عن أشياء محددة للغاية. إنهم لا يحاولون جمع أكبر قدر ممكن من المعلومات ، على الإطلاق. إنهم بحاجة إلى كلمات مرور وتسجيلات الدخول والوصول إلى نطاق IP محدد وما شابه. نحن نحاول أن نفهم من قد يحتاج كل هذا.

لكن هذا ليس كل شيء ، لأنه الآن يتم تحديث الفيروس ، ظهرت وحدة التدمير الذاتي في وظائفها. عند تنشيط الوحدة ، تتم إزالة الفيروس من الجهاز دون أي أثر.

على الرغم من حقيقة أن مكتب التحقيقات الفدرالي اكتشف الخادم الرئيسي واستول عليه منذ حوالي أسبوع ، إلا أن الروبوتات لا تزال نشطة ، ومن الواضح أن الإجراءات المتخذة لم تكن كافية.