به گزارش کارگروه امنیت سایبربان؛ محققان شرکت ترند میکرو اعلام کردند بدافزار اینترنت اشیاء ویپیان فیلتر (VPNFilter) که در سال 2018 شناساییشده است همچنان در دستگاههای شرکتهای سراسر دنیا جضور دارد.
طی سالهای گذشته این بدافزار دستکم نیم میلیون روتر و دستگاههای ذخیرهساز Asus، MikroTik، Huawei، TP-Link، Ubiquiti، NETGEAR، UPVEL و ZTE را در 54 کشور دنیا آلوده کرده بود.
در آن زمان متخصصان امنیت سایبری شباهتهایی میان ویپیان فیلتر و بدافزار «BlackEnergy» کشف کرده و آژانس امنیت ملی و وزارت دادگستری آمریکا این دو بدافزار را به یک توسعهدهنده نسبت داده بودند.
محققان ترند میکرو با همکاری سازمان «Shadowserver» که هدفش امن کردن اینترنت با شناسایی آسیبپذیریها و فعالیتهای مخرب است، تحقیقات لازم را انجام داده و به این نتیجه رسیدند باتنت مذکور همچنان در روترها حضور دارد.
آنها با انجام تکنیک sinkhole روی دامنه toknowall[.]com که ازآن ویپیان فیلتر آدرس سرورهای کنترل خود را دریافت میکرد، پیبردند که پیوسته 5447 دستگاه منحصربهفرد به این دامنه مراجعه میکنند و همچنان آلوده هستند.
در ادامه آدرس IP جدیدی به دستگاههای آلوده منتقل شد تا مشخص شود چه تعداد از آنها در انتظار پیلودهای سطح دوم هستند. برای این کار، یک بسته ویژه ایجاد و ارسال شد و 1801 شبکه به آن پاسخ دادند، 363 شبکه دیگر از طریق پورت TCP 443 با سرور sinkhole ارتباط برقرار کردند.
کارشناسان ترند میکرو بر این باورند این شبکهها ممکن است توسط هر مهاجمی که نحوه کار ویپیانفیلتر را میداند، بهراحتی تحت کنترل قرار گیرد، حتی هکرهای سازنده ویپیان فیلتر و عامل کمپین مخرب پیشین نیز هرلحظه میتوانند کنترل دستگاههای آلوده را در اختیار بگیرند.
