Вредоносное ПО VPNFilter поразило более 500 тысяч домашних маршрутизаторов

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

24 мая 2018 года

Wikinews-logo-ru.svg

Компания Cisco сообщила о выявлении вредоносного ПО VPNFilter, поразившего более 500 тысяч домашних и офисных маршрутизаторов, NAS и точек доступа. Благодаря модульной организации вредоносного ПО, оно может поражать различные модели устройств производства Linksys, MikroTik, Netgear, TP-Link и QNAP. После внедрения вредоносное ПО подключает устройство к ботнету, обрабатывает поступающие извне управляющие команды и может выполнять такие действия как вылавливание параметров аутентификации из транзитного трафика, проведение атак на другие устройства и запуск прокси для запутывания следов при совершении целевых атак.

Связанный с VPNFilter ботнет строился как минимум с 2016 года и находится под наблюдением исследователей безопасности из Cisco несколько месяцев. Последние три недели активность вовлечения новых устройств сильно возросла, что дало повод предупредить пользователей и раскрыть имеющуюся информацию до полного завершения изучения ботнета. Об аналогичных наблюдениях также сообщила компания Symantec, которая дополнительно опубликовала список моделей устройств, которые поражает VPNFilter:

  • Linksys E1200, E2500, WRVS4400N;
  • Mikrotik RouterOS for Cloud Core Routers 1016, 1036, 1072;
  • Netgear DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
  • QNAP TS251, TS439 Pro и другие NAS на базе ПО QTS;
  • TP-Link R600VPN.

В отличие от большинства вредоносных программ, поражающих домашние маршрутизаторы, VPNFilter не пропадает после перезагрузки устройства. Тем не менее, для удаления VPNFilter срабатывает сброс к заводским настройкам, для инициирования которого в большинстве устройств следует удерживать кнопку на задней панели от 5 до 10 секунд. Явные признаки компрометации устройства отсутствуют, когда вредоносное ПО не проявляет себя со стороны обнаружить его проблематично. Всем обладателям вышеотмеченных устройств для профилактики рекомендовано выполнить сброс к заводским настройкам, обновить прошивку, установить надёжный пароль, отключить дополнительные протоколы удалённого управления и ограничить доступ к web-интерфейсу. В крайнем случае рекомендуется хотя бы перезагрузить устройство, чтобы деактивировать вторую наиболее опасную стадию вредоносного ПО.

Пока неясно, используются для атаки только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация 0-day уязвимостей (в этом случае обновление прошивки не защищает от повторной атаки). Среди поддерживаемых команд отдельно выделяется функция вывода устройства из строя (порча прошивки, не восстанавливаемая без спецоборудования), с учётом размера ботнета позволяющая в один момент лишить сотен тысяч людей по всему миру доступа к глобальной сети как минимум на несколько часов до установки нового маршрутизатора.

VPNFilter также примечателен разделением процесса внедрения на несколько стадий и возможностью загрузки плагинов с реализацией дополнительной функциональности. После первичной эксплуатации на устройство устанавливается первая стадия вредоносного ПО, которая не удаляется после перезагрузки и применяется для доставки основной части вредоносного ПО. Получение сведений о второй стадии осуществляется через запрос картинки с сервиса Photobucket, в EXIF-метаданных которой содержится IP-адрес для загрузки (IP закодирован в поле координат GPS). Также предусмотрено два запасных варианта - прямое обращение к серверу ToKnowAll.com и создание слушающего соединения для прямой отправки данных о хосте для подключения после получения специального сетевого пакета.

После определения адреса на устройство загружается вторая базовая стадия вредоносного ПО, собранная для конкретных моделей устройств и архитектур CPU. Данная стадия не сохраняется после перезагрузки и должна быть загружена первой стадией повторно. Дополнительно по команде с управляющего сервера могут загружаться модули с расширенной функциональностью или выполняться произвольный код на устройстве. В частности, выявлены модули для анализа определённых видов трафика, например, для перехвата учётных записей и разбора протокола Modbus SCADA, а также модуль для обращения к управляющему серверу через Tor.

ФБР удалось по решению суда изъять доменное имя ToKnowAll.com, которое использовалось как запасной метод для доставки второй стадии вредоносного ПО на уже поражённые устройства. На основании выявленной информации в ФБР сделан вывод о причастности к атаке группы Fancy Bear, деятельность которой по мнению некоторых аналитиков находится под покровительством российских спецслужб (достоверных доказательств, судя по всему, нет, только субъективные догадки, такие как использование русского языка и московское время при компиляции).

Дополнение: В маршрутизаторе D-Link DIR-620 выявлены 4 уязвимости, две из которых признаны очень опасными: Проблема CVE-2018-6213 связана с наличием неудаляемого без перепрошивки инженерного пароля (бэкдор), позволяющего получить полный доступ к web-интерфейсу. CVE-2018-6210 позволяет восстановить параметры аутентификации для подключения по протоколу telnet. CVE-2018-6211 даёт возможность выполнить любой код в системном окружении при наличии доступа в web-интерфейс. CVE-2018-6212 позволяет организовать межсайтовый скриптинг (XSS).

 

Источники[править]


OpenNET logo.png
Creative Commons
Эта статья содержит материалы из статьи «Вредоносное ПО VPNFilter поразило более 500 тысяч домашних маршрутизаторов», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Вредоносное ПО VPNFilter поразило более 500 тысяч домашних маршрутизаторов