พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS ด้วย เช่น Linksys, Microtik, Netgear, TP-Link, QNAP และอื่นๆ เป็นต้น

มัลแวร์มีความสามารถปฏิบัติการอย่างซับซ้อน

ทาง Cisco ได้แบ่งระดับขั้นการทำงานเป็น 3 ช่วงคือ

1.ติดอุปกรณ์ตามปกติ แต่สามารถรอดจากการบูตอุปกรณ์ได้ โดยทางรายงานของ Symantec กล่าวว่าสถานะนี้ยังสามารถจัดการกับมัลแวร์ได้ด้วย Hard Reset หรือ Factory Reset นั่นเอง

2.โมดูลของมัลแวร์ไม่สามารถรอดจากการรีบูตโดยมันจะไปดาวน์โหลดโมดูลมาใหม่เมื่อมีการรีบูต โมดูลนี้มีหน้าที่หลักเพื่อการรองรับ Plugin ในขั้นตอนต่อไป

3.Plugin ที่ติดตั้งเพิ่มมีความสามารถคือ การดักจับแพ็กเกจของเครือข่ายและขัดขวางทราฟฟิค ติดตามโปรโตคอล Modbus ของระบบ SCADA และ สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่านเครือข่าย TOR

นอกจากนี้ในช่วงที่ 2 ถือเป็นภัยที่อันตรายที่สุดเพราะทาง Cisco ได้ระบุว่ามันมีฟังก์ชันทำลายส่วนของ Firmware ที่อยู่ในอุปกรณ์โดยการเขียนทับส่วนของ โค้ด Firmware ที่ต้องใช้เพื่อเริ่มทำงานด้วยข้อมูลที่ยุ่งเหยิง หลังจากนั้นจะรีบูตและอุปกรณ์จะไม่สามารถใช้ได้ “การกระทำจากมัลแวร์ไม่สามารถแก้ไขได้โดยผู้ใช้งานทั่วไปส่วนใหญ่เพราะมันต้องอาศัยความรู้ทางเทคนิคและเครื่องมือที่ผู้ใช้ธรรมดาไม่น่าจะมี“–นักวิจัยจาก Cisco กล่าว โดยผู้โจมตีสามารถใช้มัลแวร์นี้ได้หลายทางดังนี้

• สอดแนมเครือข่ายหรือขัดขวางดักจับข้อมูลที่ละเอียดอ่อน เช่น Credential ต่างๆ
• ใช้เครือข่าย Botnet จากอุปกรณ์ที่แฮ็กได้บังหน้าต้นตอการโจมตีอันตรายอื่นๆ
• ทำลายเราเตอร์จำนวนมากโดยเฉพาะในยูเครนให้ใช้การไม่ได้
• สอดแนมเครือข่ายที่มุ่งไปยังอุปกรณ์ SCADA และสร้างมัลแวร์พิเศษเพื่อโจมตีโครงสร้างพื้นฐานทางอุตสาหกรรม (ICS)

มีอุปกรณ์ตกเป็นเหยื่อแล้วกว่า 5 แสนอุปกรณ์ ไม่เว้นแม้แต่อุปกรณ์ NAS

จากการสังเกตการณ์ของ Symantec พบเหยื่อดังนี้ Linksys E1200, Linksys E2500, Linksys WRVS4400N, Microtik RouterOS for Cloud Router: Version 1016, 1036, และ 1072, Netgear DGN2200, Netgear R6400, Netgear R700, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro, QNAP อื่นๆ ที่รันซอฟต์แวร์ QTS และ TP-Link R600 VPN

มีอุปกรณ์ตกเป็นเหยื่อกว่า 54 ประเทศเพราะมีสัญญานมาตั้งแต่ปี 2016 แล้วแต่ไม่กี่อาทิตย์ที่ผ่านมา Cisco พบปริมาณเพิ่มมากอย่างผิดสังเกตในยูเครน รวมถึงมีเซิร์ฟเวอร์เข้ามาจัดการเครือข่าย Bot เหล่านี้ด้วย หลายฝ่ายต่างคาดการณ์กันไปที่รัสเซียเพราะไปพบโค้ดที่คล้ายกับมัลแวร์ BlackEnergy ที่เคยโจมตีตัดไฟฟ้าในยูเครนเมื่อช่วงปี 2015-2016 ซึ่งตอนนั้นกระทรวงความมั่นคงสหรัฐชี้ไปที่รัสเซียว่าเป็นผู้ก่อเหตุ อย่างไรก็ตามถ้าพูดถึงเหตุการณ์สำคัญในยูเครนที่อาจจะตกเป็นเป้าได้ก็มีการจัดแข่งขันฟุตบอล UEFA Champions League รอบสุดท้ายที่จะเกิดที่ Kiev วันเสาร์ที่ 26 พฤษภาคม นี้

ในส่วนของการบรรเทาปัญหาทาง Sophos แนะนำว่า

• ติดต่อ ISP เพื่ออัปเดต Firmware ของเราเตอร์ที่ใช้งานอยู่
• ปิดการเชื่อมต่อช่วยเหลือจากระยะไกลผ่านอินเทอร์เน็ตเข้ามา เปิดเฉพาะตอนจำเป็นต้องจริงๆ เท่านั้น
• อย่าใช้ชื่อบัญชีและรหัสผ่านดั้งเดิมที่ติดมาตั้งแต่แรกใหเเปลี่ยนเป็นชื่อและรหัสผ่านใหม่ที่แข็งแรง
• ใช้งานเว็บที่เป็น HTTPS เพราะมันเป็นถูกเข้ารหัสแบบ end-to-end ดังนั้นเมื่อถูกดักจับข้อมูลไปก็อ่านเนื้อหาไม่ได้ง่ายๆ

ที่มา : https://www.bleepingcomputer.com/news/security/nation-state-group-hacked-500-000-routers-to-prepare-a-cyber-attack-on-ukraine/ และ https://nakedsecurity.sophos.com/2018/05/23/vpnfilter-is-a-malware-timebomb-lurking-on-your-router/