شناسایی ابعاد جدیدی از چاقوی سوییسی روسیه

به گزارش کارگروه حملات سایبری سایبربان، به نقل از «arstechnica»؛ تحلیلگران بخش تالوس سیسکو مدتی قبل بدافزاری به نام «VPNfilter»  را شناسایی و اعلام کرده بودند به بیش از 700 هزار روتر از حداقل 54 کشور جهان حمله کرده است.

براساس تحلیل های صورت گرفته تا به این لحظه، بدافزار VPNfilter در مجموع از 9 ماژول مختلف تشکیل شده و پس از آلوده سازی سیستم اقدامات گسترده ای را انجام می دهد. برای مثال این APT، قابلیت سرقت یا شنود اطلاعات، دستکاری داده ها، از کار انداختن سامانه ها و ایجاد یک شبکه ی مخفی به منظور راه اندازی فرماندهی و کنترل را برای حملات دارد. در نتیجه این بدافزار برای بهره برداری و حملات طولانی مدت طراحی شده است.

در حال حاضر هزاران روتر در سراسر دنیا همچنان به این بدافزار آلوده هستند که محصولات میکروتیک حجم بالایی از آنها را تشکیل می دهند. همچنین پژوهشگران معتقدند حمله ی مورد بحث، توسط گروه هکری «APT28»، وابسته به دولت روسیه انجام گرفته است.

با توجه به اینکه محققان تالوس در گزارش جدید خود، روی  میکروتیک تمرکز کرده بودند، ابزاری را به نام « Winbox Protocol Dissector» عرضه کردند تا فعالیت های مخربی که  در این روترها، بر پایه ی پروتکل «Mikrotik's Winbox» صورت می گیرند، قابل شناسایی شوند. بدافزار VPNfilter برای هدف قرار دادن مدیریت کلاینت های ویندوز در ابزارهای میکروتیک از پروتکل مذکور بهره می گیرد.

7 عدد از ماژول های کشف شده جدید هستند. این ماژول ها اقداماتی مانند شنود و سرقت ترافیک داده های رمزگذاری نشده، دسترسی از راه دور به دستگاه آلوده و نقشه برداری به منظور شناسایی آسیب پذیری های رفع نشده را شامل می شوند.