إعادة تشغيل جهاز التوجيه غير كاف للتخلص من VPNFilter

تستهدف السلالة الجديدة من البرمجيات الضارة المعروفة باسم VPNFilter المزيد من صناع الأجهزة ونماذج أجهزة التوجيه المختلفة مع حصولها على قدرات إضافية، بما في ذلك القدرة على توصيل الثغرات إلى أجهزة المستخدم وتجاوزها لعمليات إعادة التشغيل، وذلك وفقًا لتقرير جديد صادر عن وحدة أمان Talos التابعة لشركة سيسكو Cisco، حيث كانت الشركة قد تحدثت سابقًا عن إصابة برمجية VPNFilter لما لا يقل عن 500 ألف جهاز من أجهزة الشبكة، وخاصة أجهزة توجيه الإنترنت للمستهلك في 54 دولة.

وكان مكتب التحقيقات الفيدرالي FBI قد حذر في وقت سابق من اختراق قراصنة روس لمئات الآلاف من أجهزة التوجيه المنزلية والمكتبية، بشكل يسمح لهم بجمع المعلومات عن المستخدمين أو عرقلة وإيقاف حركة مرور الشبكة، وحثت وكالة إنفاذ القانون الأمريكية أصحاب أجهزة التوجيه المنزلية والمكتبية المصنعة من قبل العديد من العلامات التجارية وأجهزة التخزين المتصلة بالشبكة على إيقاف تلك الأجهزة وإعادة تشغيلها مرة أخرى وتنزيل التحديثات من الشركة المصنعة لحماية أنفسهم.

ووفقًا للتقرير فإن برمجية VPNFilter الضارة قادرة على جعل الأجهزة غير قابلة للاستخدام، كما يمكنها تجاوز تشفير SSL، حيث تعترض البرمجية الضارة طلبات الويب الصادرة لتحويلها إلى طلبات غير آمنة، أي تحويلها إلى بروتوكول HTTP الأساسي، مما يساعدها في سرقة تسجيلات الدخول والبيانات الحساسة الأخرى متى كان ذلك ممكنًا، ويمكنها أيضًا استخدام هجمات man-in-the-middle لزرع تعليمات جافا سكريبت JavaScript  ضارة ضمن مواقع الويب الخارجية، واستهداف الأجهزة المرتبطة بجهاز التوجيه مثل أجهزة الجاسب على الشبكة المحلية.

ويبدو أن السلالة المكتشفة حديثًا من البرمجيات الضارة التي تصيب أجهزة التوجيه أسوأ بكثير مما كان يعتقد سابقًا، إذ إنها تستهدف العديد الأجهزة أكثر مما كان يعتقد في البداية، وبينما ركزت المعلومات السابقة على عدد قليل من أجهزة التوجيه وأجهزة التخزين الشبكية من Linksys و MikroTik و Netgear و QNAP و TP-Link، فقد أصبح من المعروف الآن أن البرمجية الضارة تؤثر على النماذج الأخرى المصنعة من قبل تلك العلامات التجارية، وكذلك الأجهزة المصنعة من قبل ASUS و D-Link و Huawei و Ubiquiti و Upvel و ZTE.

وأشارت شركة سيمانتك Symantec إلى أن برمجية VPNFilter لا تصيب كل جهاز يمكنها إصابته فقط، بل إنها مهتمة بشكل خاص بالأهداف في أوكرانيا، مما يوحي بأن روسيا أو أي أطراف أخرى ذات دوافع سياسية قد تكون متورطة، وقال كريج وليامز Craig Williams كبير قياديي تالوس Talos: “أشعر بالقلق من أن مكتب التحقيقات الفيدرالي FBI أعطى الناس شعورا زائفا بالامن، حيث أن برمجية VPNFilter ما تزال تعمل وتصيب المزيد من الأجهزة أكثر مما اعتقدنا في البداية، كما أن قدراتها تفوق بكثير ما اعتقدنا في البداية، ويحتاج الناس إلى إزالتها من شبكتهم”.

وأوضحت شركتا MikroTik و Netgear وجود طرق لتقليل التهديد أو القضاء عليه، بحيث ينبغي على تحديثات البرمجيات الثابتة الجديدة أن تحمي من خطر VPNFilter، إلى جانب قيام مكتب التحقيقات الفيدرالي بالحصول على موقع الويب المستخدم من أجل نظام التحكم والقيادة قد يساعد على تقليل الضرر، كما أن أنظمة QNAP تحتوي على أداة لإزالة البرمجيات الضارة، ومع ذلك فإن حجم التهديد ما يزال يشكل مصدرًا للقلق، إذ إن هناك العديد من الأشخاص والشركات التي نادراً ما تعمد إلى ترقية البرمجيات الثابتة الخاصة بهم، مما يهدد بإصابة المزيد من الأجهزة ذات المقاومة القليلة.

ويوضح التحليل الجديد أن برمجية VPNFilter الضارة تشكل تهديدًا أكثر قوة وتستهدف أجهزة أكثر مما تم الإبلاغ عنه في وقت سابق، حيث اعتقدت شركة سيسكو Cisco سابقًا أن الهدف الأساسي من برمجية VPNFilter هو استخدام أجهزة التوجيه المنزلية وأجهزة التوجيه المخصصة للمكاتب الصغيرة وأجهزة التخزين المتصلة بالشبكة كمنصة لإطلاق الهجمات على الأهداف الأساسية، إلا أن التقرير الجديد يشير إلى أن مالكي أجهزة التوجيه أنفسهم هم هدف رئيسي للبرمجية الضارة عبر سرقة البيانات الحساسة وكلمات المرور وإرسالها إلى الخوادم التي يسيطر المهاجمون عليها.

وتتضمن الأجهزة المصابة نماذج أسوس التالية: RT-AC66U و RT-N10 و RT-N10E و RT-N10U و RT-N56U و RT-N66U، ونماذج D-Link التالية: DES-1210-08P و DIR-300 و DIR-300A و DSR-250N و DSR-500N و DSR-1000 و DSR-1000N، ونموذج هواوي HG8245، ونماذج Linksys التالية: E1200 و E2500 و E3000 E3200 و E4200 و RV082 و WRVS4400N، ونماذج Ubiquiti التالية: NSM2 و PBE M5، ونموذج ZTE المسمى ZXHN H108N، ونماذج QNAP التالية: TS251 و TS439 Pro وغيرها من أجهزة QNAP NAS.

كما تشمل القائمة نماذج Mikrotik التالية: CCR1009 و CCR1016 و CCR1036 و CCR1072 و CRS109 و CRS112 و CRS125 و RB411 و RB450 و RB750 و RB911 و RB921 و RB941 و RB951 و RB952 و RB960 و RB962 و RB1100 و RB1200 و RB2011 و RB3011 و RB Groove و RB Omnitik و STX5، ونماذج Netgear التالية: DG834 و DGN1000 و DGN2200 و DGN3500 و FVS318N و MBRN3000 و R6400 و R7000 و R8000 و WNR1000 و WNR2000 و WNR2200 و WNR4000 و WNDR3700 و WNDR4000 و WNDR4300 و WNDR4300-TN و UTM50، ونماذج TP-Link التالية: R600VPN و TL-WR741ND و TL-WR841N.