«وی پی ان فیلتر» چگونه به دستگاه ها حمله می کند؟

رویداد۲۴-شاید برای شما هم این سوال پیش آمده باشد که بدافزار VPNFilter که این روزها به بحث داغ دنیای سایبری تبدیل شده است چگونه کار می کند؟در پاسخ به این سوال باید گفت که این بدافزار،چند مرحله‌ای با ساختار ماژولار است که می‌تواند عملیات‌ جمع‌آوری اطلاعات و حملات سایبری را پشتیبانی کند.اما چگونه؟ بدافزار در مرحله اول، نسبت به راه اندازی مجدد دستگاه اقدام می‌کند. این، همان فرایندی است که این بدافزار را از سایر بدافزارهای دستگاه‌های متصل به اینترنت(IOT)متمایز می‌کند. به طور معمول یک بدافزار پس از راه‌اندازی مجدد دستگاه، در آن باقی نمی‌ماند. به بیانی دیگر هدف مرحله اول، حفظ پایداری بدافزار است تا مقدمات پیاده سازی مرحله دوم فراهم شود.

در مرحله اول، بدافزار از چندین سرور C&C برای بدست آوردن آدرس IP مورد استفاده در مرحله دوم استفاده می‌کند. این امر باعث می‌شود تا بدافزار بسیار قدرتمند عمل کند و نسبت به تغییرات غیرقابل پیش‌بینی زیرساخت‌های سرورهای C&C مقاوم باشد.

قابلیت‌های بدافزار در مرحله دوم مربوط به استخراج اطلاعات مانند جمع‌آوری فایل، اجرای دستور، استخراج داده و مدیریت دستگاه است. علاوه بر این، برخی نسخه‌های بدافزار در مرحله دوم قابلیت خود تخریبی (Self-destruct) دارد طوری که با به دست گرفتن کنترل بخش حیاتی Firmware دستگاه و راه اندازی مجدد آن، باعث از کار افتادن دستگاه می‌شود.

در مرحله سوم، ماژول‌های مختلفی برای بدافزار وجود دارد که به عنوان پلاگینی برای بدافزار مرحله دوم عمل می‌کنند. این پلاگین‌ها قابلیت‌های بیشتری به بدافزار مرحله دوم اضافه می‌کنند. تاکنون ۲ ماژول توسط سیسکو شناسایی شده است که یکی بر روی ترافیک شبکه نظارت می‌کند تا اطلاعات احراز هویت سایت‌ها را به سرقت ببرد دومی یک ماژول ارتباطی است که برای بدافزار مرحله دوم، امکان ارتباط از طریق Tor را فراهم می‌کند.

سیسکو با اطمینان زیادی ادعا کرده است که ماژول‌های دیگری نیز موجود هستند که هنوز قادر به کشف آنها نشده‌اند.