เมื่อไม่กี่สัปดาห์ก่อน FBI ได้สั่งยึดโดเมนที่โฮสต์บอทเน็ตซึ่งฝังอยู่ในอุปกรณ์ IoT กว่าห้าแสนเครื่องใน 54 ประเทศทั่วโลก ทั้งอุปกรณ์สำรองข้อมูลบนเครื่องข่ายหรือ NAS และเราท์เตอร์ตามบ้านและสำนักงานขนาดเล็ก (SOHO) ซึ่งโดเมนนี้เป็นตัวการปล่อยมัลแวร์ VPNFilter สร้างกองทัพซอมบี้จำนวนมหาศาล
จากเหตุการณ์นี้ ทำให้ทุกคนเริ่มมอง VPNFilter ว่ามีพิษสงร้ายแรงกว่าที่เคยคิด ซึ่งทาง Cisco Talos พบว่ารายการชนิดอุปกรณ์ที่ตกเป็นเป้าหมายของ VPNFilter ได้เพิ่มขึ้นอย่างต่อเนื่อง ล่าสุดพบลิสต์เราท์เตอร์ของหลายแบรนด์ไม่ว่าจะเป็น ASUS, D-Link, Huawei, UPVEL, Ubiquiti, และ ZTE
นอกจากนี้ยังพบโมดูล “ssler” ที่คอยแก้ข้อมูลทราฟิกเว็บด้วยการใส่คอนเท็นต์อันตรายลงในทราฟิกที่วิ่งผ่านเราท์เตอร์ เพื่อส่งหน้าเว็บอันตรายไปยังเอนด์พอยต์ภายในแลนด้วย รวมทั้งพบว่าการรีบูตเราท์เตอร์ใหม่ก็ไม่สามารถล้างมัลแวร์VPNFilterได้ และมีโมดูลที่คอยรับคำสั่งทำลายอุปกรณ์ที่ฝังอยู่ด้วยการลบไฟล์ระบบ เป็นต้น
นี่คือรายชื่อของรุ่นเราท์เตอร์ที่เป็นเป้าหมายของมัลแวร์นี้
Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, and RT-N66U. D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, and DSR-1000N. Huawei: HG8245. Linksys: E1200, E2500, E3000 E3200, E4200, RV082, and WRVS4400N. Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, and STX5. Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, and UTM50. QNAP: TS251, TS439 Pro, and other QNAP NAS devices running QTS software. P-Link: R600VPN, TL-WR741ND, and TL-WR841N. Ubiquiti: NSM2 and PBE M5. ZTE: ZXHN H108N.
VPNFilter จึงกลายเป็นมัลแวร์ที่น่ากลัวมากขึ้นเรื่อยๆ จากวิวัฒนาการที่ปรับตัวจากแค่ฝังบอทเน็ตบนอุปกรณ์ตัวเอง กลายเป็นมัลแวร์ที่พร้อมแพร่เชื้อไปยังอุปกรณ์ทุกตัวบนเครือข่าย ที่เป็นทั้งตัวรูทคิต, มัลแวร์ที่คอยดูดข้อมูล, ไปจนถึงมัลแวร์ที่มีฤทธิ์ทำลายล้างอุปกรณ์อย่างถาวร พร้อมขยายรายการอุปกรณ์ที่ตกเป็นเหยื่อเพิ่มขึ้นอย่างไม่หยุดยั้ง
ทีมา : Hackread
