در اوایل ماه می میلادی اسکنهای TCP فراوانی روی درگاههای شمارههای ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ مسیریابها و تجهیزات ذخیرهساز شبکه (NAS ) تولیدشده توسط شرکتهای Mikrotik، ASUS، D-Link،TP-Link، Linksys، QNAP،Huawei، Ubiquiti، UPVEL و ZTE در بیش از ۱۰۰ کشور مشاهدهشده است. گزارشهای اولیه در ماه می میلادی حاکی از آلودگی بالغبر 500 هزار دستگاه در دنیا بوده است. این بدافزار دارای قابلیتهای راهاندازی مجدد تجهیزات هدف (حمله ممانعت از خدمات)، رصد ترافیک عبوری و جلوگیری از ارسال دادهها است.
اگرچه قربانیان اولیهی بدافزار VPNFilter کاربران و شرکتهای ISP کوچک و متوسط بودند اما شواهد حاکی از این دارد که احتمالاً به دلیل قدرت بسیار بالای این بدافزار، تیم سازنده بدافزار یا تیم دیگری که به کد منبع آن دسترسی داشته است از آن برای حمله به شبکههای کنترل صنعتی و زیرساختهای شبکهای که بستر عبور ترافیکهای صنعتی (خاص پروتکل مدباس) هستند استفاده نمودند. در این راستا یک پلاگین خاص برای تحلیل و شناسایی پروتکل مدباس طراحی و پیادهسازی شده است. میدانیم مدباس قدیمیترین پرکاربردترین پروتکل ارتباطی برای سامانههای کنترل صنعتی است. مدباس بهطور گسترده بهعنوان یک استاندارد به کار گرفتهشده است و طی سالها تکاملیافته و نسخههای متفاوتی از آن به وجود آمده است.
جهت مشاهده متن کامل گزارش این بدافزار(مراحل حمله، محصولات تحت تاثیر، توصیه ها و غیره) به فصل دوم سند گزارش اخیر بنده(ICS-SR-MMA-970502) مراجعه نمایید.
مطالب مرتبط
