חוקרי אבטחה בחברת Talos, חטיבת אבטחה של ענקית המידע סיסקו (Cisco), פרסמו את קיומה של נוזקה חדשה שקיבלה את השם VPNFilter ומדביקה נתבים והתקני אחסון רשת (NAS) של יצרניות גדולות כמו Netgear, QNAP, TP-Link וסיסקו עצמה. לפי הערכת החוקרים, הנוזקה הספיקה להדביק מעל חצי מיליון אנשים ב-54 מדינות.
לפי חוקרי Talos, נוזקת ה-VPNFilter חולקת חלק מהקוד שלה עם נוזקת BlackEnergy שתקפה בעבר וכוונה בצורה מכוונת נגד משרדי ממשלה וחברות באוקראינה. גם הפעם, הנוזקה מראה סימני הדבקה מוגברים באוקראינה יחסית למדינות אחרות בהם אותרה.
לפי סיסקו, הנוזקה החדשה יכולה לגרום נזק ב-3 מישורים:
- מעקב אחר הנעשה ברשתות מודבקות וגניבת מידע חסוי הכולל שמות משתמש וסיסמאות.
- לשמש ככלי לביצוע מתקפות מניעת שירות מבוזרות DDoS (ר”ת distributed denial-of-service attack) על אתרים אחרים.
- לגרום לניתוק של הציוד מהרשת על ידי פקודה יעודית.
החברה החליטה לפרסם את המידע על נוזקת ה-VPNFilter לפני סיום ביצוע עבודת המחקר עליו מאחר שב-8 במאי ו-17 במאי החברה גילתה קפיצות בקצב ההדבקה, כשרוב המכשירים שנדבקו בקפיצות הללו אותרו באוקראינה.
לפי הדיווח של Talos נוזקת ה-VPNfilter הינה מורכבת ורב תכליתית עם 3 שלבים:
- שלב 1 – הדבקה של ציוד הרשת וקיבוע הנוזקה למכשיר גם במידה שהופעל מחדש, על מנת להוריד מודולים נוספים לנוזקה.
- שלב 2 – השלב העיקרי המסוגל לאסוף מידע, לבצע פקודות ולהשבית את ציוד הרשת במידת הצורך.
- שלב 3 – שלב המשך מרובה אפשרויות הכולל מודולים לגניבת אישורי רשת ואפילו הרצת תקשורת דרך TOR.
נכון להרגע ההתקנים שבהם זוהתה הנוזקה החדשה כוללים את:
- LINKSYS – דגמי E2500, E2500, WRVS4400N.
- מערכת MIKROTIK – גרסאות 1016, 1036, 1072.
- NETGEAR – דגמי DGN2200, R6400, R7000, R8000, WNR1000, WNR2000.
- QNAP – דגמי TS251 ו-TS439 Pro.
- TP-LINK – דגם R600VPN.
יש לשים לב כי יכולים להיות התקנים נוספים מלבד אלו המופיעים ברשימה מאחר שהנוזקה משתמשת בנקודות תורפה ידועות על מנת להדביק מכשירים, נקודות תורפה שחברות או משתמשים לא טרחו לסגור או להתקין את התיקונים הנדרשים על מנת לעשות זאת.
לשם הסרה של “שלב 2” ו-“שלב 3” מציוד הרשת יש לבצע הפעלה מחדש של הציוד, אולם זה לא יסיר את “שלב 1”, אותו ניתן להסיר רק על ידי אתחול מלא של ציוד הרשת. בכל מקרה, מומלץ להתקין את העדכונים הקיימים לציוד הרשת לסגירת הפרצות בהן היא משתמשת.
נוזקת ה-VPNfilter החדשה מזכירה לנו כי השימוש ברשת לא תמיד מאובטח וכי האקרים מסוגלים לנצל את התקני הרשת השונים על מנת לבצע מתקפות סייבר כנגד גורמים אחרים או מדינות שלמות. תמיד מומלץ לשמור על ציוד הרשת מעודכן על מנת למנוע סיכון למידע הפרטי וזליגתו לגורמים עוינים.
