เผยปฏิบัติการมัลแวร์ VPNFilter โจมตีอุปกรณ์เน็ตเวิร์กกว่า 500,000 เครื่องทั่วโลก

หัวข้อ

เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

  1. สรุปย่อ
  2. วิธีการโจมตีอุปกรณ์เครือข่าย
  3. เป้าหมายการโจมตี
  4. อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
  5. การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
  6. ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

ภาพจาก Cisco Talos Blog

ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้มีการเปิดเผยปฏิบัติการการแพร่กระจายมัลแวร์ซึ่งมุ่งโจมตีอุปกรณ์เครือข่ายตามบ้าน (Small Office/Home Office) โดยใช้มัลแวร์ชนิดใหม่ชื่อ VPNFilter ซึ่งในขณะนี้น่าจะมีอุปกรณ์ที่ติดมัลแวร์แล้วอย่างน้อย 500,000 เครื่องทั่วโลก

มัลแวร์ VPNFilter นั้นเมื่อถูกติดตั้งลงในอุปกรณ์แล้ว มันสามารถที่จะดักจับข้อมูลที่ส่งผ่านอุปกรณ์, ขโมยข้อมูลหรือแม้กระทั่งตัดอินเตอร์เน็ตและทำลายอุปกรณ์ให้ไม่สามารถใช้งานต่อได้ ด้วยความซับซ้อนของมัลแวร์ VPNFilter และความเหมือนกับมัลแวร์อีกชนิดหนึ่ง ทีม Talos จึงลงความเห็นว่าปฏิบัติการการโจมตีที่เกิดขึ้นนั้นน่าจะมีประเทศใดประเทศหนึ่งอยู่เบื้องหลังการโจมตี หรือกลุ่มผู้โจมตีอาจได้รับการสนับสนุนทรัพยากรแหล่งทรัพยากรระดับประเทศ (nation-state)

ในขณะนี้ทีม Talos ได้ประสานงานกับหน่วยงานจากหลายประเทศเพื่อดำเนินการปิดเซิร์ฟเวอร์ที่ใช้ในการติดต่อและควบคุมอุปกรณ์ที่ติดมัลแวร์แล้ว และแนะนำให้ผู้ใช้งานดำเนินการตามคำแนะนำซึ่งจากปรากฎในหัวข้อ "การตรวจจับและจัดการมัลแวร์ในอุปกรณ์" โดยด่วนที่สุดเพื่อจัดการภัยคุกคาม

วิธีการโจมตีอุปกรณ์เครือข่าย

อ้างอิงจากรายงานของทีม Cisco Talos กลุ่มผู้โจมตีมีการพุ่งเป้าไปที่อุปกรณ์เครือข่ายตามบ้านซึ่งไม่มีการป้องกันที่ดีพอ รวมไปถึงมีการตั้งค่าที่ไม่ปลอดภัย เช่น ไม่ได้มีการเปลี่ยนรหัสที่ถูกตั้งมาเป็นค่าเริ่มต้นของอุปกรณ์ และขาดการอัปเดต ทำให้มีปัญหาด้านความปลอดภัยที่ง่ายต่อการเป็นเป้าหมายในการโจมตี

ทีม Cisco Talos ระบุว่าในปฏิบัติการที่มีการแพร่กระจายมัลแวร์ VPNFilter ที่ตรวจพบนั้น ยังไม่มีการตรวจพบการใช้งานช่องโหว่ที่ไม่เคยมีการตรวจพบมาก่อนหรือช่อง zero day ในการโจมตีดังกล่าวเลย

เป้าหมายการโจมตี

อ้างอิงจากรายงานของทีม Cisco Talos เมื่อกลุ่มผู้โจมตีประสบความสำเร็จในการโจมตีอุปกรณ์เครือข่ายตามบ้านแล้ว กลุ่มผู้โจมตีจะติดตั้งมัลแวร์ VPNFilter ลงไปในอุปกรณ์ มัลแวร์ VPNFilter ถูกออกแบบมาอย่างซับซ้อนและทำงานได้หลากหลายฟังก์ชันการทำงาน อาทิ

  • มัลแวร์จะดำเนินการเขียนทับข้อมูลในส่วนโปรแกรมของอุปกรณ์ซึ่งจะส่งผลให้อุปกรณ์ไม่สามารถใช้การได้
  • ดักจับข้อมูลที่ถูกรับ-ส่งในเครือข่าย
  • เข้าถึงและส่งออกข้อมูลหรือไฟล์ที่มีอยู่ในอุปกรณ์
  • ติดตั้งส่วนเสริมของมัลแวร์เพิ่มเติมซึ่งอาจทำให้มัลแวร์แพร่กระจายได้ในเครือข่าย หรือทำให้มัลแวร์ถูกตรวจจับได้ยากขึ้น

ทั้งนี้จากลักษณะความซับซ้อนและความลึกลับตรวจจับยากของมัลแวร์ ทีม Cisco Talos ลงความเห็นว่าเป้าหมายของปฏิบัติการและมัลแวร์ VPNFilter นั้นคือการติดตั้งอยู่ในอุปกรณ์จำนวนมากเพื่อรอการควบคุมให้ดำเนินการอย่างใดอย่างหนึ่ง เช่น สร้างการโจมตีทางไซเบอร์ขนาดใหญ่ รวมไปถึงถูกติดตั้งเพื่อจารกรรมข้อมูลและเก็บรวบรวมข่าวกรอง

อุปกรณ์เครือข่ายที่ได้รับผลกระทบ

อ้างอิงจากรายงานของทีม Cisco Talos อุปกรณ์เครือข่ายตามบ้านที่ตกเป็นเป้าหมายในการโจมตีที่ตรวจพบมีตามรายการดังต่อไปนี้

  • อุปกรณ์ยี่ห้อ Linksys รุ่น E1200, E2500 และ WRVS4400N
  • อุปกรณ์ยี่ห้อ MikroTik รุ่น 1016, 1036 และ 1072
  • อุปกรณ์ยี่ห้อ NETGEAR รุ่น DGN2200, R6400, R7000, R8000, WNR1000 และ WNR2000
  • อุปกรณ์ยี่ห้อ TP-Link รุ่น R600VPN
  • อุปกรณ์ยี่ห้อ QNAP รุ่น TS251 และ TS439 Pro

การตรวจจับและจัดการมัลแวร์ในอุปกรณ์

ในกรณีที่เครือข่ายมีการจัดเก็บบันทึกการใช้งานเครือข่าย (log) เอาไว้ ให้ดำเนินการตรวจสอบการเรียกหาที่อยู่ซึ่งปรากฎในหัวข้อ "ตัวบ่งชี้ภัยคุกคาม" หากตรวจพบว่ามีการเรียกไปยังที่อยู่ดังกล่าว ให้ดำเนินการจัดการกับมัลแวร์ในอุปกรณ์ตามคำแนะนำด้านล่าง

สำหรับผู้ใช้งานที่ไม่แน่ใจว่ามีอุปกรณ์ติดมัลแวร์อยู่หรือไม่ เนื่องจากการตรวจสอบการมีอยู่ของมัลแวร์นั้นเป็นไปได้ยาก FBI แผนก Internet Crime Complaint Center ได้มีการเผยแพร่คำแนะนำในการจัดการกับมัลแวร์ดังนี้

  1. ดำเนินการสำรองข้อมูลการเชื่อมต่อของอุปกรณ์เอาไว้ ซึ่งอาจทำได้โดยการถ่ายรูปข้อมูลการตั้งค่า เพื่อที่จะนำมาใช้ตั้งค่าอุปกรณ์ในภายหลัง
  2. ดำเนินการล้างการตั้งค่าของอุปกรณ์ให้เป็นค่าเริ่มต้นที่มาจากโรงงาน (factory setting) เพื่อลบมัลแวร์ซึ่งอาจฝังตัวอยู่ในระบบ
  3. ดำเนินการอัปเดตรุ่นของอุปกรณ์โดยตรวจสอบตามแหล่งข้อมูลของผู้ผลิตอุปกรณ์
  4. ปิดการใช้งานฟีเจอร์ควบคุมอุปกรณ์จากระยะไกล (remote management)
  5. เปลี่ยนรหัสผ่านสำหรับเข้าถึงอุปกรณ์ให้เป็นรหัสผ่านที่มีความแข็งแกร่งและคาดเดาได้ยาก

หากมีการใช้ Snort ในการตรวจจับการโจมตีภายในเครือข่าย มัลแวร์ VPNFilter สามารถถูกตรวจจับได้ผ่านทาง rule ดังต่อไปนี้ 45563, 45564, 46782 และ 46783

ตัวบ่งชี้ภัยคุกคาม

อุปกรณ์ที่มีการติดมัลแวร์ VPNFilter จะมีการเชื่อมต่อไปยังที่อยู่ตามโดเมนเนมดังต่อไปนี้

  • photobucket[.]com/user/nikkireed11/library
  • photobucket[.]com/user/kmila302/library
  • photobucket[.]com/user/lisabraun87/library
  • photobucket[.]com/user/eva_green1/library
  • photobucket[.]com/user/monicabelci4/library
  • photobucket[.]com/user/katyperry45/library
  • photobucket[.]com/user/saragray1/library
  • photobucket[.]com/user/millerfred/library
  • photobucket[.]com/user/jeniferaniston1/library
  • photobucket[.]com/user/amandaseyfried1/library
  • photobucket[.]com/user/suwe8/library
  • photobucket[.]com/user/bob7301/library
  • toknowall[.]com

และอาจจะมีการติดต่อไปยังหมายเลขไอพีแอดเดรสดังต่อไปนี้

  • 91.121.109[.]209
  • 217.12.202[.]40
  • 94.242.222[.]68
  • 82.118.242[.]124
  • 46.151.209[.]33
  • 217.79.179[.]14
  • 91.214.203[.]144
  • 95.211.198[.]231
  • 195.154.180[.]60
  • 5.149.250[.]54
  • 91.200.13[.]76
  • 94.185.80[.]82
  • 62.210.180[.]229
  • zuh3vcyskd4gipkm[.]onion/bin32/update.php

มัลแวร์ VPNFilter ถูกพัฒนาออกมาแยกเป็น 3 ขั้นตอน โดยในแต่ละขั้นตอนจะมีไฟล์ที่เกี่ยวข้องกับมัลแวร์ซึ่งสามารถตรวจสอบค่าแฮช SHA 256 ได้ตามรายการต่อไปนี้

มัลแวร์ VPNFilter ในขั้นตอนแรกหรือขั้นตอนฝังตัว

  • 50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
  • 0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92

มัลแวร์ VPNFilter ในขั้นตอนที่สองหรือขั้นตอนควบคุม

  • 9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
  • d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
  • 4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
  • 9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
  • 37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
  • 776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
  • 8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
  • 0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b

มัลแวร์ VPNFilter ในขั้นตอนที่สามหรือส่วนเสริม

  • f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
  • afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719

มัลแวร์มีการดาวโหลดส่วนประกอบอื่นๆ ของตัวมันเองผ่านทางการเชื่อมต่อ SSL/TLS โดยใช้ใบรับรองแบบ self-signed ซึ่งมี fingerprint ตามรายการดังต่อไปนี้

  • d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747
  • c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851
  • f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d
  • be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5
  • 27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302
  • 110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
  • fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f
  • b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78
  • cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526
  • 110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
  • 909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b
  • 044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4
  • c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
  • 8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d
  • d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806
  • c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412