November 15, 2018

Language:

CamSA18-19: ប្រុងប្រយ័ត្នចំពោះមេរោគឆ្លងទៅលើឧបករណ៍ណេតវើកទូទាំងពិភពលោក

១. ព័ត៌មានទូទៅ 

កាលពីថ្ងៃទី២៣ ខែឧសភា ឆ្នាំ២០១៨ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានមកពីក្រុមហ៊ុន​ Cisco បានបញ្ចេញនូវព៍ត៌មានថ្មីមួយស្តីពីមេរោគ “VPNFilter” ដែលជាប្រភេទការវាយប្រហារ APT (Advanced Persistent Threat) ជាមួយនឹងសមត្ថភាពក្នុងការប្រមូលព័ត៌មាន និងវាយប្រហារទៅលើគោលដៅជនរងគ្រោះ។

មេរោគនេះមានគោលដៅទៅលើឧបករណ៍ណេតវើកប្រើប្រាស់សម្រាប់ការិយាល័យ និងនៅតាមគេហដ្ឋាន ដោយរួមមានផលិតផល routers មក Linksys, MikroTik, NETGEAR, QNAP NAS និង TP-Link ។

យោងទៅតាម Cisco បានឲ្យដឹងថា វាត្រូវបានប៉ាន់ស្មានថាយ៉ាងហោចណាស់ក៏មានឧបករណ៍ណេតវើកប្រមាណជា ៥០០,០០០​ គ្រឿងនៅក្នុងប្រទេសយ៉ាងហោចណាស់ចំនួន ៥៤ បានឆ្លងនូវមេរោគនេះ។

២. ឧបករណ៍ដែលរងគ្រោះ

មេរោគ VPNFilter ត្រូវបានគេដឹងថាបានវាយប្រហារទៅលើឧបករណ៍ណេតវើកដូចខាងក្រោម៖

  • Linksys Device model: E1200, E2500, WRVS4400N
  • MikroTik RouterOS Versions for Cloud Core Routers: 1016, 1036, 1072
  • NETGEAR Device model: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000
  • QNAP Network-Attached Storage Device model: TS251, TS439 Pro
  • TP-Link Device model: R600VPN

៣. ផលប៉ៈពាល់

VPNFilter អាចធ្វើការលួចទិន្នន័យដែលរត់ឆ្លងកាត់ (flowing) តាមរយៈឧបករណ៍ណេតវើកដែលឆ្លងមេរោគ ដោយអាចមានការច្រោះ យកទិន្នន័យដែលអាចបណ្តាឲ្យមានការលួចយក​ពាក្យសម្ងាត់ជាដើម។ មេរោគនេះវាធ្វើការរុករកនូវ​ Modbus (ដែលជា​ protocol មួយប្រើប្រាស់ដើម្បីធ្វើការភ្ជាប់ពីកុំព្យូទ័រទៅកាន់ remote terminal នៅក្នុង SCADA (Supervisory Controls and Data Acquisition) ដែលមានគោលបំណងធ្វើឲ្យខូចខាតឧបករណ៍ SCADA តែម្តង។

៤. អនុសាសន៍ណែនាំ

អភិបាលគ្រប់គ្រង និងម្ចាស់ឧបករណ៍អាចធ្វើតាមការណែនាំដូចខាងក្រោម៖

  • ដំណើរការនូវ factory reset​​, reboot និង​ជួសជុលឧបករណ៍របស់ពួកគេជាមួយនឹងជំនាន់ចុងក្រោយបំផុតនៃ firmware
  • បិទមុខងារ remote administrative នៅក្នុងឧករណ៍ បើសិនជាអ្នកមិនប្រើប្រាស់មុខងារមួយនេះទេ
  • សូមចូលទៅកាន់វេបសាយរបស់អ្នកផ្គត់ផ្គង់ផលិតផលសម្រាប់ព័ត៌មានបន្ថែមក្នុងការអាប់ដេត Linksys, MikroTik, NETGEAR, QNAP, និង TP-Link

៥. វេបសាយពាក់ព័ន្ធ

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected

https://www.wired.com/story/vpnfilter-router-malware-outbreak/