วันที่ประกาศ: 30 พฤษภาคม 2561
ปรับปรุงล่าสุด: 30 พฤษภาคม 2561
เรื่อง: แจ้งเตือนการแพร่ระบาดมัลแวร์ VPNFilter IoT botnet กระจายไปยัง 54 ประเทศทั่วโลก
ประเภทภัยคุกคาม: Malware
ข้อมูลทั่วไป
เมื่อวันที่ 23 พฤษภาคม 2561 ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco รายงานการแพร่ระบาดของมัลแวร์ "VPNFilter" มุ่งเป้าไปที่อุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ (Internet of Things หรือ IoT) กว่า 5 แสนเครื่อง ใน 54 ประเทศ โดยพบการแพร่ระบาดตั้งแต่ปี 2559 อุปกรณ์ที่ได้รับผลกระทบส่วนใหญ่เป็นอุปกรณ์สำหรับสำนักงานขนาดเล็ก เช่น อุปกรณ์ยี่ห้อ Linksys, MikroTik, NETGEAR และ TP-Link เป็นต้น ขณะเดียวกันเจ้าหน้าที่ FBI เข้าควบคุมโดเมน toknowall.com ที่เป็นช่องทางสำรองในการเผยแพร่มัลแวร์ [1]
รายงานยังระบุว่ามัลแวร์ดังกล่าวถูกพัฒนาโดยกลุ่มแฮกเกอร์รัสเซีย ชื่อ Fancy Bear ที่แทรกแซงการเลือกตั้งของสหรัฐอเมริกาในปี 2559 และส่วนหนึ่งของโค้ดที่ใช้มัลแวร์ VPNFilter มีความคล้ายกับมัลแวร์ Black Energy ที่ใช้ในปฏิบัติการโจมตีระบบพลังงานไฟฟ้าของประเทศยูเครนในปี 2558
ผลกระทบ
มัลแวร์ดังกล่าวมีความสามารถหลายประการ และอาจทำให้เกิดผลกระทบอย่างรุนแรงต่อระบบเครือข่ายที่มีข้อมูลสำคัญ ซึ่งผลกระทบในเชิงต่างๆ สามารถสรุปได้ดังนี้
- สูญเสียข้อมูลสำคัญ/ข้อมูลความลับ
- สูญเสียความพร้อมใช้งาน ทำให้ระบบเครือข่ายไม่สามารถใช้งานได้ปกติ
- สูญเสียค่าใช้จ่ายที่เกิดขึ้นจากการกู้คืนระบบ
การแพร่ระบาดของมัลแวร์ "VPNFilter" ตรวจพบตั้งแต่ปี 2559 และได้ขยายขอบเขตการโจมตีไปทั่วโลก กว่า 5 แสนเครื่อง ใน 54 ประเทศ
การทำงาน
มัลแวร์ VPNFilter อาศัยช่องโหว่เดิมแพร่กระจายไปยังอุปกรณ์ IoT ส่วนใหญ่เป็นอุปกรณ์เราเตอร์ทั่วไปที่ใช้งานในบ้านหรือสำนักงาน มัลแวร์สามารถทำงานได้บนหลายแพลตฟอร์ม และมีการทำงานที่ซับซ้อน โดยมีขั้นตอนการติดมัลแวร์เป็น 3 ระยะ ดังนี้
- มัลแวร์ ระยะที่ 1 แม้รีบูตเครื่องใหม่มัลแวร์ยังทำงานได้ปกติ ซึ่งเป็นจุดที่ทำให้ต่างจากมัลแวร์บางสายพันธุ์ที่โจมตีอุปกรณ์ IoT ที่ปกติมัลแวร์จะถูกกำจัดไปเมื่อรีบูตเครื่อง เป้าหมายหลักของการทำงานระยะนี้คือ แอบอาศัยอยู่ในเครื่องเพื่อดาวน์โหลดมัลแวร์ในระยะที่ 2
- มัลแวร์ ระยะที่ 2 มัลแวร์ในระยะนี้จะถูกติดตั้งในลักษณะ NON-PERSISTENT กล่าวคือ มัลแวร์จะหยุดทำงานเมื่อทำการรีบูตเครื่อง มัลแวร์ดังกล่าวสามารถขโมยไฟล์และข้อมูล รับคำสั่งต่างๆ จากผู้ประสงค์ร้าย บางเวอร์ชันสามารถทำให้อุปกรณ์ใช้งานไม่ได้โดยการเขียนข้อมูลทับส่วนสำคัญของเฟิร์มแวร์
- มัลแวร์ ระยะที่ 3 เป็นส่วนเสริม (plug-in) เพิ่มความสามารถให้มัลแวร์ระยะที่ 2 ได้แก่ โมดูลการดักรับข้อมูลที่วิ่งผ่านอุปกรณ์ ขโมยรหัสผ่านของบัญชีที่ใช้งานในเว็บไซต์ และการดักรับข้อมูลโปรโตคอลของ Modbus SCADA รวมถึงเพิ่มความสามารถให้รับส่งข้อมูลไปยังเครื่องผู้ประสงค์ร้ายผ่านเครือข่าย TOR ได้
รูปแสดงการเผยแพร่มัลแวร์ในระยะต่างๆ
อุปกรณ์ที่ได้รับผลกระทบ
อุปกรณ์ส่วนใหญ่ที่ได้รับผลกระทบจากมัลแวร์ VPNFilter ประกอบด้วยอุปกรณ์ยี่ห้อ Linksys, MikroTik, NETGEAR และ TP-Link รวมไปถึงอุปกรณ์จัดเก็บบันทึกข้อมูลในเครือข่าย NAS จากค่าย QNAP
Linksys |
MikroTik |
NETGEAR |
TP-Link |
QNAP |
E1200 |
1016 |
DGN2200 |
R600VPN |
TS251 |
E2500 |
1036 |
R6400 |
- |
TS439 Pro |
WRVS4400N |
1072 |
R7000 |
- |
- |
- |
- |
R8000 |
- |
- |
- |
- |
WNR1000 |
- |
- |
- |
- |
WNR2000 |
- |
- |
ข้อแนะนำในการตรวจสอบ
ตรวจสอบว่าอุปกรณ์ในระบบมีความเสี่ยงที่จะติดมัลแวร์หรือไม่ โดยใช้ข้อมูลสำหรับตรวจสอบ (IoC - Indicator of Compromise) จากข้อมูล การเชื่อมต่อไปยังเว็บไซต์ หมายเลขไอพี รวมถึง ค่า File Hashes ของมัลแวร์ต้องสงสัยภายในเครื่อง ดังต่อไปนี้ [1]
ระบบที่ถูกใช้งานเป็นฐาน C&C และหมายเลขไอพี
ข้อมูลที่เกี่ยวข้องกับระยะที่ 1
photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com
ข้อมูลที่เกี่ยวข้องกับระยะที่ 2
91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.php
ตัวอย่างไฟล์ File Hashes
มัลแวร์ ระยะที่ 1
50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
มัลแวร์ ระยะที่ 2
9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
มัลแวร์ ระยะที่ 3
f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719
Self-Signed Certificate Fingerprints
d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747
c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851
f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d
be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5
27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f
b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78
cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b
044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d
d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
ข้อแนะนำในการรับมือและป้องกัน
- ตรวจสอบว่าอุปกรณ์ในเครือข่ายติดมัลแวร์หรือไม่ โดยใช้ข้อมูลสำหรับตรวจสอบ (IoC - Indicator of Compromise) จากข้อมูลข้างต้น หรือเว็บไซต์ทางการของ Cisco [1]
หากพบอุปกรณ์เน็ตเวิร์คเราเตอร์สำหรับสำนักงานขนาดเล็ก (SOHO) หรืออุปกรณ์สตอเรจ (NAS) ให้ทำการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน (Factory reset)
- ผู้ใช้งานสามารถตั้งค่าป้องกันการเข้าถึงหน้าเว็บบริหารจัดการเราเตอร์จากเครือข่ายอินเทอร์เน็ต ด้วยการเลือกใช้งานฟังก์ชัน ACL (Access Control List) ซึ่งเป็นฟังก์ชันที่ใช้ในการจำกัดการเข้าถึงบริการต่าง ๆ ตามเงื่อนไขที่สร้างขึ้น ที่มีอยู่ในเราเตอร์ เพื่อลดความเสี่ยงจากการถูกโจมตีช่องโหว่ดังกล่าวได้ อย่างไรก็ตามผู้ใช้ยังคงมีความเสี่ยงที่อาจถูกโจมตีจากผู้ไม่หวังดีที่เชื่อมต่ออยู่ในระบบเครือข่ายเดียวกันกับผู้ใช้ ดังนั้นสิ่งสำคัญที่สุดคือผู้ใช้งานควรหมั่นตรวจสอบค่าต่าง ๆ ที่ตั้งไว้ในเราเตอร์ระหว่างที่ผู้พัฒนากำลังแก้ไขปัญหาดังกล่าว และอัปเดตอุปกรณ์เป็นเวอร์ชันล่าสุดเพื่อป้องกันการติดมัลแวร์ รวมถึงตั้งรหัสผ่านในการเข้าถึงส่วนบริการจัดการระบบให้คาดเดาได้ยาก [2]
- ผู้ดูแลระบบภายในหน่วยงานอาจพิจารณาตั้งค่า เงื่อนไขในการตรวจจับพฤติกรรมต้องสงสัยบนอุปกรณ์เครือข่ายที่รองรับการตรวจจับ โดยใช้เงื่อนไขในรูปแบบ Snort Rule หมายเลข 45563 45564 46782 46783
ทั้งนี้ ไทยเซิร์ตได้ดำเนินการประสานขอข้อมูลรายการหมายเลขไอพีที่ได้รับผลกระทบในประเทศไทยจากหน่วยงานภายในเครือข่าย โดยเบื้องต้นพบจำนวนหมายเลขไอพีที่มีความเสี่ยงกว่า 50 รายการ และกำลังประสานข้อมูลไปยังผู้ให้บริการอินเทอร์เน็ตที่เกี่ยวข้อง สำหรับการดำเนินการแก้ไขต่อไป
อ้างอิง
- https://blog.talosintelligence.com/2018/05/VPNFilter.html
- https://www.thaicert.or.th/papers/general/2012/pa2012ge005.html
