Một botnet mới được báo cáo có tên là SCFI / SCBIs nhắm vào môi trường SCADA / ICS bằng các giao thức MODBUS SCADA và các thông tin đăng nhập trang web exfiltrating. Botnet này đã lây nhiễm hơn 500.000 bộ định tuyến và các máy chủ được kết nối mạng. Nó cũng bao gồm một thành phần bricking có thể làm cho một thiết bị được nhắm mục tiêu duy nhất, hoặc thậm chí làm cho tất cả các thiết bị bị nhiễm đồng thời ngưng hoạt động trong một cuộc tấn công quy mô lớn.​
Phòng chống Botnet mới VPNFilter với giải pháp của Fortinet
​Nhóm nghiên cứu về mối đe dọa gần đây đã liên hệ với các thành viên của Tổ chức Threat Cyber ​​Alliance (CTA) để báo cáo về việc họ phát hiện ra botnet này. Họ chịu trách nhiệm về việc “cảnh báo sớm” việc chia sẻ thông tin tình báo mối đe dọa này với các nhà nghiên cứu bảo mật hàng đầu khác chính là loại hoạt động mà CTA được tạo ra để cung cấp. Nó cho phép tất cả các nhà cung cấp bảo mật của nhà cung cấp hiểu các mối đe dọa mới và các quyền hạn có thể thực hiện được trước khi công bố các chi tiết về mối đe dọa. Nó cũng tạo cơ hội cho các thành viên như Fortinet tìm kiếm thêm chi tiết và bối cảnh mà chúng tôi có thể chia sẻ.
Nghiên cứu ban đầu cho thấy rằng VPNFilter là một hệ thống phần mềm độc hại tiên tiến, được nhà nước bảo trợ đã dẫn đến lây nhiễm rộng rãi với các bộ định tuyến chủ yếu là doanh nghiệp nhỏ và gia đình và bộ lưu trữ gắn mạng (NAS). Hoạt động từ chiến dịch ban đầu được nhìn thấy trong các cuộc tấn công có mục tiêu, độc hại ở Ukraine, nhưng dữ liệu chỉ ra rằng các thiết bị ở hơn 100 quốc gia đang được quét trên các cổng 23, 80, 2000 và 8080, chỉ định quét bổ sung cho Mikrotik và QNAP dễ bị tấn công. NAS. thiết bị.

VPNFilter hoạt động trong ba giai đoạn:

Giai đoạn 1 tập trung vào sự kiên trì và dự phòng và có thể tồn tại khi khởi động lại.
Giai đoạn 2 chứa dữ liệu exfiltration, thực hiện lệnh, thu thập tập tin, quản lý thiết bị và trong một số phiên bản, các module tự hủy.
Giai đoạn 3 bao gồm các mô-đun thực hiện các tác vụ khác nhau. Ba mô-đun hiện đã được xác định, mặc dù có khả năng có những mô-đun khác. Các mô-đun đã biết bao gồm:
1. Một gói sniffer cho phân tích lưu lượng truy cập và dữ liệu tiềm năng exfiltration.
2. Giám sát các giao thức MODBUS SCADA.
3. Giao tiếp với địa chỉ bị xáo trộn qua TOR
Tuy nhiên, mối đe dọa lớn nhất được đại diện bởi cuộc tấn công mới này là một chế độ tự hủy trên tất cả các thiết bị bị nhiễm cùng một lúc. Mặc dù chúng tôi không có bất kỳ thông tin bổ sung nào về số lượng thiết bị hiện đang bị xâm phạm, việc kích hoạt loại chức năng này có thể dẫn đến tình trạng cúp Internet phổ biến trên một vùng địa lý được nhắm mục tiêu.

Giảm thiểu mối đe dọa

Bảo vệ chống lại một loạt các thiết bị IoT bị xâm phạm là cực kỳ khó khăn như hầu hết các thiết bị này, đặc biệt là các trang phục kinh doanh dân cư và nhỏ, được kết nối trực tiếp với Internet mà không cần bất kỳ sự bảo mật nào. Điều này cũng có nghĩa là mỗi nhà sản xuất thiết bị sẽ cần cung cấp các bản cập nhật, những kẻ tấn công sau đó có thể theo dõi và điều chỉnh.
Do mức độ nghiêm trọng của phần mềm độc hại này, FortiGuard Labs đề xuất rằng các thiết bị có khả năng bị ảnh hưởng được cập nhật càng sớm càng tốt, bao gồm thay thế thiết bị bị ảnh hưởng nếu các bản vá không có sẵn.
Ngoài ra, Talos khuyến cáo:
Thiết bị định tuyến SOHO và / hoặc thiết bị NAS nên được khởi động lại để loại bỏ phần mềm độc hại tiềm ẩn, không liên tục giai đoạn 2 và giai đoạn 3. Nhà cung cấp dịch vụ Internet cung cấp bộ định tuyến SOHO bị ảnh hưởng cho người dùng của họ nên khởi động lại bộ định tuyến thay mặt khách hàng của họ.
Nếu bạn có bất kỳ thiết bị nào được biết hoặc nghi ngờ bị ảnh hưởng bởi mối đe dọa này, điều cực kỳ quan trọng là bạn làm việc với nhà sản xuất để đảm bảo rằng thiết bị của bạn được cập nhật với các phiên bản vá mới nhất. Nếu không, bạn nên áp dụng các bản vá lỗi cập nhật ngay lập tức.
Các ISP cần phải làm việc tích cực với khách hàng của họ để đảm bảo các thiết bị của họ được vá đến các phiên bản phần mềm / phần mềm mới nhất.​