Announcement

Collapse
No announcement yet.

Cisco เตือนมัลแวร์ VPNFilter ระบาด โดนยี่ห้อ Linksys Mikrotik NETGEAR TP-Link QNAP

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Cisco เตือนมัลแวร์ VPNFilter ระบาด โดนยี่ห้อ Linksys Mikrotik NETGEAR TP-Link QNAP



    Cisco Talos รายงานมัลแวร์ VPNFilter ระบาดในอุปกรณ์เน็ตเวิร์ค กระจายแล้วกว่า 500,000 อุปกรณ์ใน 54 ประเทศ

    Cisco Talos เปิดเผยรายงานวิจัยที่อยู่ระหว่างการศึกษาถึงมัลแวร์ที่ชื่อว่า VPNFilter แพร่ระบาดในอุปกรณ์เน็ตเวิร์คสำหรับสำนักงานขนาดเล็ก
    เช่น แบรนด์ Linksys, Mikrotik, NETGEAR, TP-Link ไปจนถึงสตอเรจอย่าง QNAP
    การแพร่กระจายเป็นวงกว้างกระทบอุปกรณ์แล้วกว่า 500,000 ตัวใน 54 ประเทศ
    โดยยังไม่แน่ชัดว่าตัวมัลแวร์ใช้ช่องโหว่อะไรเจาะเข้าเครื่องเหยื่อ แต่เครื่องที่ตกเป็นเหยื่อมักใช้ซอฟต์แวร์เก่าที่มีช่องโหว่ที่รับรู้โดยทั่วกันอยู่แล้ว


    VPNFilter เป็นมัลแวร์ที่ทำงานสองขั้นตอน
    ขั้นตอนแรก คือการฝังมัลแวร์หลัก ที่ทำงานแม้เครื่องรีบูตไปแล้ว เมื่อฝังมัลแวร์ได้มันจะติดต่อเซิร์ฟเวอร์สั่งการเพื่อขอมัลแวร์ขั้นที่สองมารันต่อไป

    มัลแวร์ขั้นที่สอง จะไม่ฝังตัวถาวรแต่หายไปเมื่อรีบูตเครื่อง อย่างไรก็ดี ฟังก์ชั่นการทำงานของมันหลากหลายแล้วแต่เซิร์ฟเวอร์จะสั่งการ ตั้งแต่การเก็บข้อมูลเครื่องของเหยื่อ, โหลดไฟล์, สั่งรันคำสั่ง, จัดการอุปกรณ์, ไปจนถึงทำลายอุปกรณ์ให้ทำงานต่อไปไม่ได้ (เขียนข้อมูล 0 ลง 5000 ไบต์แรกของดิสก์) โดยขั้นที่สองจะเชื่อมต่อและดาวน์โหลดไฟล์ผ่าน Tor

    เครื่องของเหยื่อบางเครื่องยังได้รับมัลแวร์ ขั้นที่สาม ทำหน้าที่ดักฟังข้อมูลที่วิ่งผ่านอุปกรณ์ ขโมยข้อมูลการเข้าเว็บ, และตรวจการสั่งงานอุปกรณ์อุตสาหกรรมผ่านโปรโตคอล SCADA ทาง Talos คาดว่าขั้นที่สามนี้น่าจะมีโมดูลหลากหลายรูปแบบ และแบบที่ทาง Talos ยังไม่พบก็น่าจะมีอีกจำนวนหนึ่ง

    ผู้พัฒนามัลแวร์ VPNFilter พัฒนาโดยทำให้การหาต้นตอของมัลแวร์ทำได้ยากอย่างยิ่ง ผู้พัฒนาและใช้มัลแวร์พยายามปิดบังตัวตน ทั้งเซิร์ฟเวอร์สั่งการและโครงสร้างอื่นๆ ไว้หลายชั้น

    หากองค์กรสงสัยว่าจะติดมัลแวร์ ทาง Talos แนะนำรีบูตอุปกรณ์เน็ตเวิร์ค และรีเซ็ตการตั้งค่าเป็นค่าจากโรงงาน, อัพเดตเฟิร์มแวร์ให้ทันสมัยเสมอ ทั้งอุปกรณ์เครือข่ายและสตอเรจต่างๆ

    ที่มา - Talos ผ่าน Blognone
    Tags: None
  • #2
    ไม่แปลกใจเลยทำไมภัย cyber ถึงเยอะมาก

    เมกา & ยุโรป กำหนดโทษเกี่ยวกับอาชญากร cyber ใว้เบาเหลือเกิน บางเคสทำธุรกิจพังเป็นร้อยๆล้าน แต่ติดคุกแค่สิบปี

    Comment

    • #3
      อัพเดตรุ่นที่โดนมัลแวร์ครับ
      ------------------------


      มัลแวร์ VPNFilter ระบาดหนัก เราท์เตอร์แบรนด์ดังโดนกันทั่วทั้ง Asus, D-Link, Huawei, ZTE

      เมื่อไม่กี่สัปดาห์ก่อน FBI ได้สั่งยึดโดเมนที่โฮสต์บอทเน็ตซึ่งฝังอยู่ในอุปกรณ์ IoT กว่าห้าแสนเครื่องใน 54 ประเทศทั่วโลก ทั้งอุปกรณ์สำรองข้อมูลบนเครื่องข่ายหรือ NAS และเราท์เตอร์ตามบ้านและสำนักงานขนาดเล็ก (SOHO) ซึ่งโดเมนนี้เป็นตัวการปล่อยมัลแวร์ VPNFilter สร้างกองทัพซอมบี้จำนวนมหาศาล

      จากเหตุการณ์นี้ ทำให้ทุกคนเริ่มมอง VPNFilter ว่ามีพิษสงร้ายแรงกว่าที่เคยคิด ซึ่งทาง Cisco Talos พบว่ารายการชนิดอุปกรณ์ที่ตกเป็นเป้าหมายของ VPNFilter ได้เพิ่มขึ้นอย่างต่อเนื่อง ล่าสุดพบลิสต์เราท์เตอร์ของหลายแบรนด์ไม่ว่าจะเป็น ASUS, D-Link, Huawei, UPVEL, Ubiquiti, และ ZTE

      นอกจากนี้ยังพบโมดูล ?ssler? ที่คอยแก้ข้อมูลทราฟิกเว็บด้วยการใส่คอนเท็นต์อันตรายลงในทราฟิกที่วิ่งผ่านเราท์เตอร์ เพื่อส่งหน้าเว็บอันตรายไปยังเอนด์พอยต์ภายในแลนด้วย รวมทั้งพบว่าการรีบูตเราท์เตอร์ใหม่ก็ไม่สามารถล้างมัลแวร์VPNFilterได้ และมีโมดูลที่คอยรับคำสั่งทำลายอุปกรณ์ที่ฝังอยู่ด้วยการลบไฟล์ระบบ เป็นต้น


      นี่คือรายชื่อของรุ่นเราท์เตอร์ที่เป็นเป้าหมายของมัลแวร์นี้

      Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, and RT-N66U.

      D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, and DSR-1000N.

      Huawei: HG8245.

      Linksys: E1200, E2500, E3000 E3200, E4200, RV082, and WRVS4400N.

      Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, and STX5.

      Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, and UTM50.

      QNAP: TS251, TS439 Pro, and other QNAP NAS devices running QTS software.

      TP-Link: R600VPN, TL-WR741ND, and TL-WR841N.

      Ubiquiti: NSM2 and PBE M5.

      ZTE: ZXHN H108N.


      VPNFilter จึงกลายเป็นมัลแวร์ที่น่ากลัวมากขึ้นเรื่อยๆ จากวิวัฒนาการที่ปรับตัวจากแค่ฝังบอทเน็ตบนอุปกรณ์ตัวเอง กลายเป็นมัลแวร์ที่พร้อมแพร่เชื้อไปยังอุปกรณ์ทุกตัวบนเครือข่าย ที่เป็นทั้งตัวรูทคิต, มัลแวร์ที่คอยดูดข้อมูล, ไปจนถึงมัลแวร์ที่มีฤทธิ์ทำลายล้างอุปกรณ์อย่างถาวร พร้อมขยายรายการอุปกรณ์ที่ตกเป็นเหยื่อเพิ่มขึ้นอย่างไม่หยุดยั้ง

      ทีมา : Hackread ผ่าน Enterprise ITPro

      Comment

      Previous template Next
      Working...
      X