September 24, 2020

Language:

CamSA18-19: ប្រុងប្រយ័ត្នចំពោះមេរោគឆ្លងទៅលើឧបករណ៍ណេតវើកទូទាំងពិភពលោក

១. ព័ត៌មានទូទៅ 

កាលពីថ្ងៃទី២៣ ខែឧសភា ឆ្នាំ២០១៨ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានមកពីក្រុមហ៊ុន​ Cisco បានបញ្ចេញនូវព៍ត៌មានថ្មីមួយស្តីពីមេរោគ “VPNFilter” ដែលជាប្រភេទការវាយប្រហារ APT (Advanced Persistent Threat) ជាមួយនឹងសមត្ថភាពក្នុងការប្រមូលព័ត៌មាន និងវាយប្រហារទៅលើគោលដៅជនរងគ្រោះ។

មេរោគនេះមានគោលដៅទៅលើឧបករណ៍ណេតវើកប្រើប្រាស់សម្រាប់ការិយាល័យ និងនៅតាមគេហដ្ឋាន ដោយរួមមានផលិតផល routers មក Linksys, MikroTik, NETGEAR, QNAP NAS និង TP-Link ។

យោងទៅតាម Cisco បានឲ្យដឹងថា វាត្រូវបានប៉ាន់ស្មានថាយ៉ាងហោចណាស់ក៏មានឧបករណ៍ណេតវើកប្រមាណជា ៥០០,០០០​ គ្រឿងនៅក្នុងប្រទេសយ៉ាងហោចណាស់ចំនួន ៥៤ បានឆ្លងនូវមេរោគនេះ។

២. ឧបករណ៍ដែលរងគ្រោះ

មេរោគ VPNFilter ត្រូវបានគេដឹងថាបានវាយប្រហារទៅលើឧបករណ៍ណេតវើកដូចខាងក្រោម៖

  • Linksys Device model: E1200, E2500, WRVS4400N
  • MikroTik RouterOS Versions for Cloud Core Routers: 1016, 1036, 1072
  • NETGEAR Device model: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000
  • QNAP Network-Attached Storage Device model: TS251, TS439 Pro
  • TP-Link Device model: R600VPN

៣. ផលប៉ៈពាល់

VPNFilter អាចធ្វើការលួចទិន្នន័យដែលរត់ឆ្លងកាត់ (flowing) តាមរយៈឧបករណ៍ណេតវើកដែលឆ្លងមេរោគ ដោយអាចមានការច្រោះ យកទិន្នន័យដែលអាចបណ្តាឲ្យមានការលួចយក​ពាក្យសម្ងាត់ជាដើម។ មេរោគនេះវាធ្វើការរុករកនូវ​ Modbus (ដែលជា​ protocol មួយប្រើប្រាស់ដើម្បីធ្វើការភ្ជាប់ពីកុំព្យូទ័រទៅកាន់ remote terminal នៅក្នុង SCADA (Supervisory Controls and Data Acquisition) ដែលមានគោលបំណងធ្វើឲ្យខូចខាតឧបករណ៍ SCADA តែម្តង។

៤. អនុសាសន៍ណែនាំ

អភិបាលគ្រប់គ្រង និងម្ចាស់ឧបករណ៍អាចធ្វើតាមការណែនាំដូចខាងក្រោម៖

  • ដំណើរការនូវ factory reset​​, reboot និង​ជួសជុលឧបករណ៍របស់ពួកគេជាមួយនឹងជំនាន់ចុងក្រោយបំផុតនៃ firmware
  • បិទមុខងារ remote administrative នៅក្នុងឧករណ៍ បើសិនជាអ្នកមិនប្រើប្រាស់មុខងារមួយនេះទេ
  • សូមចូលទៅកាន់វេបសាយរបស់អ្នកផ្គត់ផ្គង់ផលិតផលសម្រាប់ព័ត៌មានបន្ថែមក្នុងការអាប់ដេត Linksys, MikroTik, NETGEAR, QNAP, និង TP-Link

៥. វេបសាយពាក់ព័ន្ធ

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected

https://www.wired.com/story/vpnfilter-router-malware-outbreak/

***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.