أصبحت البرامج الضارة الموجودة على أجهزة التوجيه وأجهزة الشبكة وإنترنت الأشياء شائعة بشكل متزايد. يصيب معظمها الأجهزة الضعيفة وينتمي إلى شبكات الروبوت القوية جدًا. يتم تشغيل أجهزة التوجيه وأجهزة إنترنت الأشياء (IoT) دائمًا، ومتصلة دائمًا، وتنتظر التعليمات. وتستفيد شبكات الروبوت من ذلك لمهاجمة هذه الأجهزة.
ولكن ليست كل البرامج الضارة ( البرامج الضارة ) هي نفسها.
VPNFilter عبارة عن برنامج ضار مدمر يهاجم أجهزة التوجيه وأجهزة إنترنت الأشياء وحتى بعض أجهزة التخزين المتصلة بالشبكة (NAS). كيف تكتشف ما إذا كانت أجهزتك مصابة ببرمجيات VPNFilter الضارة؟ وكيف يمكنك إزالته؟ دعونا نلقي نظرة فاحصة على VPNFilter من خلال المقالة التالية.
ما هو برنامج Malware VPNFilter؟ كيفية إزالته؟
يعد VPNFilter أحد أشكال البرامج الضارة المعيارية المتطورة التي تستهدف في المقام الأول أجهزة الشبكة من مجموعة من الشركات المصنعة، بالإضافة إلى أجهزة NAS. تم العثور على VPNFilter في البداية على أجهزة الشبكات Linksys وMikroTik وNETGEAR و TP-Link ، بالإضافة إلى أجهزة QNAP NAS، مع ما يقرب من 500000 إصابة في 54 دولة.
قام فريق اكتشاف VPNFilter، Cisco Talos، مؤخرًا بتحديث التفاصيل المتعلقة بهذه البرامج الضارة، موضحًا أن أجهزة الشبكة من الشركات المصنعة مثل ASUS وD-Link وHuawei وUbiquiti وUPVEL وZTE تظهر حاليًا علامات الإصابة بـ VPNFilter. ومع ذلك، في وقت كتابة هذا التقرير، لم تتأثر أي أجهزة شبكة Cisco.
تختلف هذه البرامج الضارة عن معظم البرامج الضارة الأخرى التي تركز على إنترنت الأشياء لأنها تستمر بعد إعادة تشغيل النظام، مما يزيد من صعوبة إزالتها. الأجهزة التي تستخدم بيانات اعتماد تسجيل الدخول الافتراضية الخاصة بها أو التي بها ثغرات يوم صفر (نقاط ضعف غير معروفة لبرامج الكمبيوتر) والتي لا يتم تحديثها بانتظام بالبرامج الثابتة تكون معرضة للخطر بشكل خاص.
VPNFilter عبارة عن "متعدد الوحدات ومتعدد الأنظمة الأساسية" يمكنه إتلاف الأجهزة وتدميرها. علاوة على ذلك، يمكن أن يصبح أيضًا تهديدًا مثيرًا للقلق، حيث يقوم بجمع بيانات المستخدم. يعمل VPNFilter على عدة مراحل.
المرحلة 1 : يقوم VPNFilter في المرحلة 1 بإنشاء موقع وصول على الجهاز، والاتصال بخادم القيادة والتحكم (C&C) لتنزيل وحدات إضافية، وانتظار التعليمات. تحتوي المرحلة الأولى أيضًا على العديد من حالات الطوارئ المضمنة لوضع القيادة والسيطرة في المرحلة الثانية، في حالة حدوث تغييرات في البنية التحتية أثناء التنفيذ. يمكن أيضًا أن تنجو البرامج الضارة من المرحلة الأولى VPNFilter من عمليات إعادة التشغيل، مما يجعلها تهديدًا خطيرًا للغاية.
المرحلة 2 : لا يستمر VPNFilter في المرحلة 2 بعد إعادة التشغيل، ولكن لديه الكثير من الإمكانات في هذه المرحلة. يمكن للمرحلة الثانية جمع البيانات الشخصية وتنفيذ الأوامر والتدخل في إدارة الجهاز. بالإضافة إلى ذلك، هناك إصدارات مختلفة من المرحلة 2 في الممارسة العملية. تم تجهيز بعض الإصدارات بوحدة تدميرية تقوم بالكتابة فوق قسم من البرنامج الثابت للجهاز ، ثم يتم إعادة التشغيل لجعل الجهاز غير قابل للاستخدام (بشكل أساسي، تعطيل البرامج الضارة). تكوين جهاز التوجيه أو أجهزة إنترنت الأشياء أو NAS).
المرحلة 3 : تعمل وحدات VPNFilter في المرحلة 3 كمكونات إضافية للمرحلة 2، مما يعمل على توسيع وظائف VPNFilter. وحدة تعمل كمتشمم للحزم ، حيث تجمع حركة المرور الواردة على الجهاز وتسرق بيانات اعتماد تسجيل الدخول. هناك نوع آخر يسمح للبرامج الضارة من المرحلة الثانية بالتواصل بشكل آمن باستخدام Tor . عثرت Cisco Talos أيضًا على وحدة نمطية تحقن محتوى ضارًا في حركة المرور التي تمر عبر الجهاز، مما يعني أن المتسللين يمكنهم استغلال الأجهزة الأخرى المتصلة بشكل أكبر من خلال أجهزة التوجيه أو إنترنت الأشياء أو أجهزة NAS.
بالإضافة إلى ذلك، فإن وحدات VPNFilter "تتيح سرقة بيانات اعتماد موقع الويب ومراقبة بروتوكولات Modbus SCADA."
هناك ميزة أخرى مثيرة للاهتمام (لكنها لم يتم اكتشافها حديثًا) في البرنامج الضار VPNFilter وهي استخدامه لخدمات مشاركة الصور عبر الإنترنت للعثور على عنوان IP لخادم التحكم والسيطرة الخاص به. اكتشف تحليل Talos أن البرامج الضارة تشير إلى سلسلة من عناوين URL الخاصة بـ Photobucket. تقوم البرامج الضارة بتنزيل الصورة الأولى في معرض مرجع URL وتستخرج عنوان IP الخاص بالخادم المخفي في البيانات الوصفية للصورة.
عنوان IP “يتم استخراجه من 6 قيم صحيحة لخطوط الطول والعرض لنظام تحديد المواقع العالمي (GPS) في معلومات EXIF ”. إذا فشل ذلك، فستعود المرحلة الأولى من البرامج الضارة إلى نطاقها العادي (toknowall.com - المزيد حول ذلك أدناه) لتنزيل الصورة ومحاولة نفس العملية.
يعرض تقرير تحديث Talos بعض التفاصيل المثيرة للاهتمام حول وحدة استنشاق حزم VPNFilter. وبدلاً من التدخل في كل شيء، فإنه يحتوي على مجموعة صارمة من القواعد التي تستهدف أنواعًا معينة من حركة المرور. على وجه التحديد، تتصل حركة المرور من نظام التحكم الصناعي (SCADA)، باستخدام TP-Link R600 VPN، بقائمة محددة مسبقًا من عناوين IP (تشير إلى المعرفة المتقدمة بالشبكات). وحركة المرور المطلوبة)، بالإضافة إلى حزم البيانات التي يبلغ حجمها 150 بايت أو أكبر.
قال كريج ويليام، كبير مسؤولي التكنولوجيا ومدير الوصول العالمي في Talos، لـ Ars: "يبحث VPNFilter عن أشياء محددة للغاية". إنهم لا يحاولون جمع أكبر قدر ممكن من حركة المرور. إنهم يحاولون فقط الحصول على بعض الأشياء الصغيرة جدًا مثل معلومات تسجيل الدخول وكلمات المرور. ليس لدينا الكثير من المعلومات حول ذلك، بخلاف معرفتنا بأنها مستهدفة للغاية ومعقدة للغاية. ما زلنا نحاول معرفة من يطبقون هذه الطريقة عليهم."
ويعتقد أن VPNFilter هو عمل مجموعة قراصنة ترعاها الدولة. تم اكتشاف عدوى VPNFilter في البداية في أوكرانيا، وتعتقد العديد من المصادر أنها من عمل مجموعة القرصنة Fancy Bear المدعومة من روسيا.
ومع ذلك، لم تعلن أي دولة أو مجموعة قراصنة مسؤوليتها عن هذه البرامج الضارة. ونظرًا للقواعد المفصلة والموجهة للبرامج الضارة فيما يتعلق بـ SCADA وبروتوكولات الأنظمة الصناعية الأخرى، فإن النظرية القائلة بأن البرنامج مدعوم من قبل دولة قومية تبدو أكثر ترجيحًا.
ومع ذلك، يعتقد مكتب التحقيقات الفيدرالي أن VPNFilter هو أحد منتجات Fancy Bear. في مايو 2018، استولى مكتب التحقيقات الفيدرالي (FBI) على نطاق - ToKnowAll.com - يُعتقد أنه تم استخدامه لتثبيت البرامج الضارة للمرحلة 2 والمرحلة 3 VPNFilter والتحكم فيها. ومن المرجح أن الاستيلاء على هذا النطاق ساعد بالتأكيد في وقف الانتشار الفوري لـ VPNFilter، لكنه لم يحل المشكلة تماما. منعت خدمة الأمن الأوكرانية (SBU) هجوم VPNFilter على مصنع لمعالجة المواد الكيميائية في يوليو 2018.
كما أن VPNFilter يحمل أوجه تشابه مع البرامج الضارة BlackEnergy، وهي عبارة عن حصان طروادة APT يُستخدم ضد مجموعة من الأهداف في أوكرانيا. مرة أخرى، على الرغم من عدم وجود دليل دقيق، فإن الهجمات التي تستهدف الأنظمة الأوكرانية تأتي بشكل رئيسي من مجموعات قراصنة تربطها علاقات وثيقة بروسيا.
من المحتمل أن يكون جهاز التوجيه الخاص بك غير مصاب ببرامج VPNFilter الضارة. ولكن لا يزال من الأفضل التأكد من أن جهازك آمن:
تحقق من جهاز التوجيه الخاص بك باستخدام الرابط: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. إذا لم يكن جهازك مدرجًا في القائمة، فكل شيء على ما يرام.
يمكنك زيارة صفحة اختبار VPNFilter الخاصة بشركة Symantec: http://www.symantec.com/filtercheck/. حدد مربع الشروط والأحكام، ثم اضغط على زر Run VPNFilter Check في المنتصف. سيتم الانتهاء من الاختبار في بضع ثوان.
إذا أكد فحص Symantec VPNFilter أن جهاز التوجيه الخاص بك مصاب بـ VPNFilter، فستحتاج إلى اتخاذ الإجراءات التالية.
علاوة على ذلك، يتعين عليك إجراء فحص كامل للنظام على كل جهاز متصل بجهاز توجيه VPNFilter المصاب.
الطريقة الأكثر فعالية لإزالة البرامج الضارة VPNFilter هي استخدام برنامج مكافحة الفيروسات بالإضافة إلى تطبيق إزالة البرامج الضارة. يمكن لكلتا الأداتين اكتشاف هذا الفيروس قبل أن يصيب جهاز الكمبيوتر وجهاز التوجيه الخاص بك فعليًا.
قد يستغرق برنامج مكافحة الفيروسات عدة ساعات لإكمال العملية، اعتمادًا على سرعة جهاز الكمبيوتر الخاص بك، ولكنه يوفر لك أيضًا أفضل الطرق لإزالة الملفات الضارة.
ومن المفيد أيضًا تثبيت أداة إزالة البرامج الضارة، والتي تكتشف البرامج الضارة مثل VPNFilter وتقتلها قبل أن تسبب أي مشاكل.
مثل برامج مكافحة الفيروسات، يمكن أن تستغرق عملية فحص البرامج الضارة عدة ساعات اعتمادًا على حجم القرص الصلب بجهاز الكمبيوتر الخاص بك، بالإضافة إلى سرعته.
مثل الفيروسات الأخرى، تحتاج أيضًا إلى إزالة البرامج الضارة VPNFilter من جهاز التوجيه الخاص بك. للقيام بذلك، تحتاج إلى إعادة ضبط جهاز التوجيه على إعدادات المصنع الافتراضية.
يتطلب إعادة ضبط جهاز التوجيه الثابت إعادة ضبط جهاز التوجيه من البداية، بما في ذلك إنشاء كلمة مرور مسؤول جديدة وإعداد شبكة لاسلكية لجميع الأجهزة. سوف يستغرق الأمر بعض الوقت للقيام بذلك بشكل صحيح.
يجب عليك دائمًا تغيير بيانات الاعتماد الافتراضية لجهاز التوجيه الخاص بك، بالإضافة إلى أي أجهزة إنترنت الأشياء أو NAS (القيام بهذه المهمة ليس بالأمر السهل على أجهزة إنترنت الأشياء)، إن أمكن. بالإضافة إلى ذلك، على الرغم من وجود أدلة على أن VPNFilter يمكنه تجاوز بعض جدران الحماية ، فإن تثبيت جدار الحماية وتكوينه بشكل صحيح سيساعد في إبعاد العديد من البرامج الضارة الأخرى عن شبكتك.
الطريقة الأكثر فعالية لإزالة البرامج الضارة VPNFilter هي استخدام برنامج مكافحة الفيروسات
هناك بعض الطرق الرئيسية التي يمكنك من خلالها تقليل خطر الإصابة مرة أخرى باستخدام VPNFilter (أو أي فيروس آخر)، بما في ذلك نصائح محددة تتعلق مباشرة بـ VPNFilter.
جهاز التوجيه المحدث محمي من البرامج الضارة VPNFilter بالإضافة إلى التهديدات الأمنية الأخرى. تذكر دائمًا تحديثه في أقرب وقت ممكن.
لا تستخدم كلمة المرور الافتراضية التي حددتها الشركة المصنعة لجهاز التوجيه. قم بإنشاء كلمات المرور الخاصة بك والتي تكون أقوى وأقل عرضة للهجوم من قبل الجهات الخبيثة.
حافظ على تحديث برامج مكافحة الفيروسات والبرامج الضارة لديك. يتم إصدار تعريفات جديدة للفيروسات بانتظام، وهذه التعريفات تبقي جهاز الكمبيوتر الخاص بك على علم بتهديدات الفيروسات والبرامج الضارة الجديدة التي يجب البحث عنها.
من المهم أن تعرف بوضوح مصدر البرامج والتطبيقات التي قمت بتنزيلها. تحتوي المواقع الأقل شهرة على العديد من الإضافات التي لا تحتاج إليها، مثل VPNFilter.
عندما يظهر شعار أثناء تصفحك لموقع ويب، لا تنقر عليه. عادةً ما تكون الطريقة الأكثر أمانًا هي زيارة موقع ويب آخر وليس على موقع ويب مليء بالإعلانات المنبثقة.
تحظى البرامج الضارة الموجودة على أجهزة التوجيه بشعبية متزايدة. تنتشر الثغرات الأمنية في البرامج الضارة وإنترنت الأشياء في كل مكان، ومع العدد المتزايد باستمرار من الأجهزة المتصلة بالإنترنت، فإن الوضع سوف يزداد سوءًا. جهاز التوجيه هو النقطة المحورية للبيانات في منزلك. ومع ذلك، فهو لا يحظى بنفس القدر من الاهتمام الأمني مثل الأجهزة الأخرى. ببساطة، أجهزة التوجيه ليست آمنة كما تعتقد.
شاهد المزيد:
هل ترى إشعار تفعيل Windows 10 في الزاوية اليمنى من الشاشة؟ سترشدك هذه المقالة إلى كيفية حذف إشعار طلب حقوق الطبع والنشر على نظام التشغيل Windows 10.
أصدرت Microsoft مؤخرًا آخر تحديث تراكمي لمستخدمي أجهزة الكمبيوتر التي تعمل بنظام Windows 10 والذي يسمى Build 14393.222. يعمل هذا التحديث الذي تم إصداره لنظام التشغيل Windows 10 بشكل أساسي على إصلاح الأخطاء بناءً على تعليقات المستخدمين وتحسين تجربة أداء نظام التشغيل.
هل لديك أجهزة كمبيوتر على شبكتك المحلية تحتاج إلى وصول خارجي؟ يمكن أن يكون استخدام مضيف أساسي كحارس بوابة لشبكتك حلاً جيدًا.
في بعض الأحيان قد تحتاج إلى حذف سجلات الأحداث القديمة مرة واحدة. في هذا الدليل، سيعرض لك موقع Quantrimang.com 3 طرق لحذف كافة سجلات الأحداث بسرعة في Windows 10 Event Viewer.
إذا كنت تفضل استخدام لوحة مفاتيح كلاسيكية قديمة، مثل IBM Model M، والتي لا تتضمن مفتاح Windows فعليًا، فهناك طريقة سهلة لإضافة المزيد، عن طريق استعارة مفتاح لا تستخدمه كثيرًا.
WindowTop هي أداة لديها القدرة على تعتيم جميع نوافذ التطبيقات والبرامج التي تعمل على أجهزة الكمبيوتر التي تعمل بنظام Windows 10. أو يمكنك استخدام واجهة ذات خلفية داكنة على النوافذ.
لقد ذكرنا في العديد من المقالات السابقة أن البقاء مجهول الهوية عبر الإنترنت أمر في غاية الأهمية. يتم تسريب المعلومات الخاصة كل عام، مما يجعل الأمان عبر الإنترنت ضروريًا بشكل متزايد. وهذا أيضًا هو السبب وراء ضرورة استخدام عناوين IP الافتراضية. فيما يلي، سنتعرف على طرق إنشاء عناوين IP وهمية!
شريط اللغة في نظام التشغيل Windows 8 عبارة عن شريط أدوات لغة مصغر مصمم للعرض تلقائيًا على شاشة سطح المكتب. ومع ذلك، يرغب العديد من الأشخاص في إخفاء شريط اللغة هذا على شريط المهام.
يعد تعظيم سرعة الإنترنت أمرًا ضروريًا لتحسين اتصال الشبكة لديك. يمكنك الحصول على تجربة ترفيه وعمل مثالية باستخدام أجهزة الكمبيوتر وأجهزة التلفزيون المجهزة للإنترنت ووحدات التحكم في الألعاب وما إلى ذلك.
يعد الاتصال اللاسلكي أمرًا ضروريًا اليوم، ولهذا السبب، يعد الأمان اللاسلكي ضروريًا لضمان السلامة في شبكتك الداخلية.
