Cisco Talos เปิดเผยรายงานวิจัยที่อยู่ระหว่างการศึกษาถึงมัลแวร์ที่ชื่อว่า VPNFilter แพร่ระบาดในอุปกรณ์เน็ตเวิร์คสำหรับสำนักงานขนาดเล็ก เช่น แบรนด์ Linksys, Mikrotik, NETGEAR, TP-Link ไปจนถึงสตอเรจอย่าง QNAP การแพร่กระจายเป็นวงกว้างกระทบอุปกรณ์แล้วกว่า 500,000 ตัวใน 54 ประเทศ โดยยังไม่แน่ชัดว่าตัวมัลแวร์ใช้ช่องโหว่อะไรเจาะเข้าเครื่องเหยื่อ แต่เครื่องที่ตกเป็นเหยื่อมักใช้ซอฟต์แวร์เก่าที่มีช่องโหว่ที่รับรู้โดยทั่วกันอยู่แล้ว

VPNFilter เป็นมัลแวร์ที่ทำงานสองขั้นตอน ขั้นตอนแรกคือการฝังมัลแวร์หลัก ที่ทำงานแม้เครื่องรีบูตไปแล้ว เมื่อฝังมัลแวร์ได้มันจะติดต่อเซิร์ฟเวอร์สั่งการเพื่อขอมัลแวร์ขั้นที่สองมารันต่อไป

มัลแวร์ขั้นที่สองจะไม่ฝังตัวถาวรแต่หายไปเมื่อรีบูตเครื่อง อย่างไรก็ดี ฟังก์ชั่นการทำงานของมันหลากหลายแล้วแต่เซิร์ฟเวอร์จะสั่งการ ตั้งแต่การเก็บข้อมูลเครื่องของเหยื่อ, โหลดไฟล์, สั่งรันคำสั่ง, จัดการอุปกรณ์, ไปจนถึงทำลายอุปกรณ์ให้ทำงานต่อไปไม่ได้ (เขียนข้อมูล 0 ลง 5000 ไบต์แรกของดิสก์) โดยขั้นที่สองจะเชื่อมต่อและดาวน์โหลดไฟล์ผ่าน Tor

เครื่องของเหยื่อบางเครื่องยังได้รับมัลแวร์ขั้นที่สาม ทำหน้าที่ดักฟังข้อมูลที่วิ่งผ่านอุปกรณ์ ขโมยข้อมูลการเข้าเว็บ, และตรวจการสั่งงานอุปกรณ์อุตสาหกรรมผ่านโปรโตคอล SCADA ทาง Talos คาดว่าขั้นที่สามนี้น่าจะมีโมดูลหลากหลายรูปแบบ และแบบที่ทาง Talos ยังไม่พบก็น่าจะมีอีกจำนวนหนึ่ง

ผู้พัฒนามัลแวร์ VPNFilter พัฒนาโดยทำให้การหาต้นตอของมัลแวร์ทำได้ยากอย่างยิ่ง ผู้พัฒนาและใช้มัลแวร์พยายามปิดบังตัวตน ทั้งเซิร์ฟเวอร์สั่งการและโครงสร้างอื่นๆ ไว้หลายชั้น

หากองค์กรสงสัยว่าจะติดมัลแวร์ ทาง Talos แนะนำรีบูตอุปกรณ์เน็ตเวิร์ค และรีเซ็ตการตั้งค่าเป็นค่าจากโรงงาน, อัพเดตเฟิร์มแวร์ให้ทันสมัยเสมอ ทั้งอุปกรณ์เครือข่ายและสตอเรจต่างๆ

ที่มา - Talos