เมื่อเร็ว ๆ นี้มีการประกาศบริการสาธารณะที่น่าเป็นห่วงจาก FBI ว่าทุกคนควรรีบูตเราเตอร์ของตน พวกเขาแนะนำให้ทำเช่นนี้เพื่อป้องกันมัลแวร์เราเตอร์ที่น่ารังเกียจจากการยึดฮาร์ดแวร์ของคุณ เมื่อพิจารณาจากขนาดที่ใหญ่พอสำหรับ FBI ในการประกาศบริการสาธารณะ อาจทำให้ไม่มั่นคงที่จะนึกถึงสิ่งที่อาจแฝงตัวอยู่ภายในเราเตอร์ของคุณ มันคืออะไรและคุณสามารถทำอะไรได้บ้าง? เรามาทำลายภัยคุกคามใหม่นี้เพื่อดูว่ามันคืออะไร มันทำงานอย่างไร และคุณสามารถทำอะไรเพื่อป้องกันตัวเองจากมันได้
มันคืออะไร?
มัลแวร์ที่เป็นปัญหาเรียกว่า “VPNFilter” แม้จะมีชื่อที่ฟังดูไร้เดียงสา แต่ก็ไม่มีอะไรนอกจาก! เวกเตอร์การโจมตีหลักเกี่ยวข้องกับการเจาะเข้าไปในเราเตอร์ของบ้านและธุรกิจขนาดเล็ก นอกจากนี้ยังได้รับการออกแบบให้อยู่ภายในเราเตอร์หลังจากรีบูต ทำให้เป็นตัวอย่างมัลแวร์ที่ดื้อรั้นอย่างยิ่ง
VPNFilter แพร่กระจายโดยการกำหนดเป้าหมายเราเตอร์ที่มีข้อบกพร่องและจุดอ่อนที่ทราบ และอุปกรณ์ที่ใช้ยูเครนเป็นเป้าหมายสูงสุดจากทุกประเทศ ที่มาของ VPNFilter ล้วนชี้ไปที่กลุ่มที่เรียกว่า “Sofacy” ที่พัฒนาโค้ดและแพร่กระจายไปทั่วโลก
มันทำอะไร?
ดังนั้นเมื่อมัลแวร์ตัวใหม่นี้เข้าไปในเราเตอร์ มันทำอะไรได้บ้าง? VPNFilter ค่อนข้างล้ำหน้าและปรับใช้ payload ของมันในสามขั้นตอน:
- ขั้นตอนแรกคือจุดที่มัลแวร์ติดตั้งตัวเองบนเราเตอร์ที่มีช่องโหว่ และตั้งค่าตัวเองให้คงอยู่ต่อไปแม้ว่าเราเตอร์จะปิดไปแล้วก็ตาม
- เมื่อติดตั้งสเตจแรกอย่างถูกต้อง สเตจที่สองจะเริ่มขึ้น สิ่งนี้เกี่ยวข้องกับการติดตั้งความจุสำหรับ VPNFilter เพื่อรันคำสั่ง รวบรวมไฟล์ และจัดการเราเตอร์ มีการควบคุมเราเตอร์เพียงพอที่สามารถสร้างความเสียหายอย่างถาวรกับไฟล์ระบบของเราเตอร์ (เรียกว่า "brick") ตามคำสั่ง หากจำเป็น
- เมื่อขั้นตอนที่ 2 ได้รับการติดตั้งอย่างเหมาะสม ระยะที่ 3 จะทำหน้าที่เป็นการติดตั้งปลั๊กอินที่ด้านบนของขั้นตอนที่ 2 ระยะที่ 3 จะช่วยให้แฮกเกอร์ดูภายในแพ็กเก็ตที่ส่งผ่านเราเตอร์ได้ ซึ่งข้อมูลจะถูกถ่ายโอน นอกจากนี้ยังให้ระยะที่ 2 มีความสามารถในการสื่อสารผ่าน Tor
เมื่อเปิดและปิดเราเตอร์ ขั้นตอนที่ 2 และ 3 จะถูกล้าง แต่ "เมล็ดพันธุ์" ที่ตั้งค่าระหว่างขั้นตอนที่ 1 ยังคงอยู่ โดยไม่คำนึงถึง ส่วนที่เป็นอันตรายที่สุดของมัลแวร์ VPNFilter จะถูกรีเซ็ต ซึ่งเป็นสาเหตุที่ผู้คนได้รับคำสั่งให้รีสตาร์ทเราเตอร์ของตน
มีผลกับเราเตอร์ทั้งหมดไหม
VPNFilter ไม่ใช่เราเตอร์ทุกตัวที่จะโดน VPNFilter ไซแมนเทคลงรายละเอียดว่าเราเตอร์ตัวใดมีช่องโหว่
จนถึงปัจจุบัน VPNFilter เป็นที่ทราบกันดีว่ามีความสามารถในการแพร่เชื้อในองค์กรและเราเตอร์ในสำนักงานขนาดเล็ก/สำนักงานที่บ้านจาก Linksys, MikroTik, Netgear และ TP-Link รวมถึงอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (NAS) ของ QNAP ซึ่งรวมถึง:
- ลิงค์ซิส E1200
- ลิงค์ซิส E2500
- ลิงค์ซิส WRVS4400N
- Mikrotik RouterOS สำหรับเราเตอร์ Cloud Core:เวอร์ชัน 1016, 1036 และ 1072
- เน็ตเกียร์ DGN2200
- เน็ตเกียร์ R6400
- เน็ตเกียร์ R7000
- เน็ตเกียร์ R8000
- เน็ตเกียร์ WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- อุปกรณ์ QNAP NAS อื่นๆ ที่ใช้ซอฟต์แวร์ QTS
- TP-Link R600VPN”
หากคุณเป็นเจ้าของอุปกรณ์ใด ๆ ข้างต้น ให้ตรวจสอบหน้าสนับสนุนของผู้ผลิตของคุณสำหรับการอัปเดตและคำแนะนำเกี่ยวกับการเอาชนะ VPNFilter ส่วนใหญ่ควรมีการอัปเดตเฟิร์มแวร์ที่จะปกป้องคุณทั้งหมดจากเวกเตอร์การโจมตีของ VPNFilter
แก้ไขไม่ได้หรือไม่
โชคดีที่แม้ว่าจะดูเหมือน VPNFilter จะอยู่ในเราเตอร์ตลอดไป แต่ก็มีวิธีที่จะกำจัดมันได้ แม้ว่า VPNFilter จะทำให้แน่ใจว่าจะยังคงทำงานผ่านเราเตอร์ที่ถูกปิดอยู่ แต่ก็ไม่สามารถทำงานผ่านการรีเซ็ตเป็นค่าจากโรงงานได้ หากคุณใส่เราเตอร์ของคุณผ่านวิธีใดวิธีหนึ่ง มัลแวร์จะถูกล้างข้อมูลและกำจัดเราเตอร์ของคุณอย่างมีประสิทธิภาพ
เมื่อเสร็จแล้ว อย่าลืมเปลี่ยนข้อมูลรับรองเครือข่ายของคุณและปิดใช้งานการตั้งค่าการจัดการระยะไกลด้วย รายละเอียดของคุณอาจรั่วไหลออกมาในการโจมตี และการป้องกันการเข้าถึงจากระยะไกลสามารถหยุดการโจมตีในอนาคตจากการเข้าถึงพีซีและอุปกรณ์ของคุณที่บ้านได้
การระเหย VPNFilter
แม้ว่า VPNFilter จะเป็นอุปกรณ์ที่น่ารังเกียจที่ยกระดับตัวเองให้เป็นที่สนใจของ FBI แต่ก็ไม่มีใครเทียบได้! เมื่อทำการรีเซ็ตเป็นค่าจากโรงงาน คุณสามารถล้างเราเตอร์ของคุณจากมัลแวร์ได้ นอกจากนี้ หากผู้ผลิตของคุณไม่ได้อัปเดต คุณสามารถหลีกเลี่ยงการติดไวรัสอีกครั้งในภายหลัง
VPNFilter มีผลกับคุณหรือไม่? แจ้งให้เราทราบด้านล่าง
