Nedir bu VPNFilter ? VPNFilter ev ortamlarında yada kurumsal bazda internet erişiminin dağıtılmasını sağlayan yönlendirici ve cihazlara saldıran kötü amaçlı bir yazılımdır. Virüs şimdiye kadar 50 den fazla ülkede 500 binden fazla cihaza bulaşmış durumdadır. Buda tehdit ağının ne kadar geniş olduğunun bir kanıtı olarak gösterilebilir. Bulaştığı ağa bağlı olan diğer cihazlara da sızmayı başaran bu virüs geçtiğimiz haftalara göre daha fazla modem modelini atlatmayı başarmış bulunmaktadır. Buda potansiyel tehdidin arttığı anlamına gelmekte. Cisco güvenlik ekibi araştırmacılarının elde ettiği verilere göre VPNFilter’ın başlangıçta düşünülenden daha fazla cihazı etkileyebileceği düşünülüyor.

VPNFilter’ın Çalışma Mantığını Anlatan Görsel

                          Bu cihazlar arasında Linksys , MikroTik , Netgear, QNAP ve TP-Link’e ait bazı cihazlar olsa da son yapılan açıklamaya göre ASUS, D-Link, Huawei, Ubiquiti, Upvel ve ZTE’ye ait modemlerin de VPNFilter’ın hedefinde olduğu artık biliniyor. Kötü amaçlı yazılım ortadaki adam saldırısını(MITM/Man In The Mıddle) kullanarak verileri dinleyebiliyor virüsü kullanan bir saldırganın cihazı savunmasız bırakmaktan daha fazlasını yapabileceklerini ancak 2 hafta önce çarşamba günü yaptıkları açıklamada belirttiler. Virüsün kaldırılması için FBI’ın önerdiği yollardan biri olan yönlendiriciyi(router) kapatıp açmak virüsü silmek için maalesef yeterli gelmemekte. Savunmasız modellerden birine sahip olanlar en son ürün yazılımını yüklemelidir böylelikle bilinen arızalar güncellenerek koruma sağlanacaktır yada modemin arkasında bulunan küçük düğmeden tüm ayarlarını sıfırlamalarını ve şifrelerini değiştirmeleri gerekmektedir. Araştırmacılar tarafından “ssler” adi verilen modüle HTTPS bağlantılarını HTTP ye düşürerek güvenliği ortadan kaldırabiliyor. Diğer bir modül olan “dstr” ise dosyaları silerek aygıtları kullanım dışı bırakabiliyor. Cisco 2 hafta önce yaptığı açıklamada kötü amaçlı yazılımın ağ trafiğini yakalama izleme ve Tor ağı üzerinden komut ve kontrol sunucuları ile iletişim yeteneğine sahip 2 tane daha modülünün olduğunu açıkladı. Son olarak FBI ve DOJ virüsün botnet sunucusunun kontrolünü ele geçirdiklerini açıkladı. Botnet sunucusunu ele geçirmeleri kötü amaçlı yazılımın etkisini azaltmasına yardımcı oldu fakat tehdit hala daha kendisini göstermekte. Hedeflenen cihazların listesi: Asus Devices:

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N66U
  • RT-N56U

D-Link Devices:

  • DES-1210-08P
  • DIR-300A
  • DIR-300
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

Huawei Devices:

  • HG8245

Linksys Devices:

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

Mikrotik Devices:

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  •  RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5

Netgear Devices:

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

QNAP Devices:

  • TS251
  • TS439 Pro
  • Other QNAP NAS devices running QTS software

TP-Link Devices:

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

Ubiquiti Devices:

  • NSM2
  • PBE M5

Upvel Devices:

  • Unknown Models*

ZTE Devices:

  • ZXHN H108N