Вредоносом VPNFilter заражено более 500 000 устройств по всему миру


     
    Более 500 000 роутеров и сетевых накопителей Linksys, MikroTik, Netgear, Qnap и TP-Link заражены вредоносным ПО VPNFilter. Масштаб атаки сопоставим с нашумевшим Mirai, последствия которого ощущаются до сих пор.

    Информацию о вирусной пандемии опубликовало подразделение Talos (Cisco), занимающееся анализом угроз кибербезопасности.

    Изучив поведение этого вредоносного ПО на сетевом оборудовании, специалисты Talos отметили несколько основных особенностей данного ПО:

    • кража учетных данных веб-приложений;
    • мониторинг протоколов Modbus SCADA;
    • вывод устройства из строя.

    Сложность защиты и обнаружения данного ПО обусловлена характером атакованных устройств — роутеры и сетевые накопители находятся на сетевом периметре, слабо защищены и, как правило, не содержат IDS/IPS-систем ввиду технологической простоты и ограниченности ресурсов, характерных для embedded/IoT-устройств.

    Вредоносная программа VPNFilter представляет собой модульную платформу, состоящую как минимум из двух основных компонентов: дроппера и управляющего модуля.

    После заражения устройства на него устанавливается т.н. дроппер, способный «пережить» перезагрузку устройства, и скачивающий на него основной модуль.

    Основной модуль, не сохраняющийся при перезагрузке, может осуществлять сбор файлов, выполнение команд, фильтрацию данных и управление устройствами. Также некоторые версии этого модуля содержат функции самоуничтожения и вывода устройства из строя путем перезаписи критичных областей памяти сетевого устройства.

    Кроме того, существует несколько вспомогательных модулей, обладающих функционалом сетевых снифферов для сбора сетевого трафика, мониторинга протокола SCADA Modbus, а также коммуникационный модуль для взаимодействия со взломанными устройствами через сеть Tor.

    image

    Вредонос сканирует 23, 80, 2000 и 8080 TCP-порты для выявления и атаки на новые устройства под управлением Linux/Busybox.

    Известно об успешных атаках на следующие устройства:

    • Linksys E1200;
    • Linksys E2500;
    • Linksys WRVS4400N;
    • Mikrotik RouterOS (1016, 1036 и 1072);
    • Netgear DGN2200;
    • Netgear R6400;
    • Netgear R7000;
    • Netgear R8000;
    • Netgear WNR1000;
    • Netgear WNR2000;
    • QNAP TS251;
    • QNAP TS439 Pro;
    • NAS QNAP с программным обеспечением QTS;
    • TP-Link R600VPN.

    На данный момент неясен вектор заражения и загрузки первого модуля VPNFilter, но известны детали загрузки и управления зараженным устройством. После того как вредоносная программа завершила инициализацию, она начинает загружать страницы Photobucket.com (сайт хранения изображений). Вредоносная программа загружает первое изображение из галереи, на которую ссылается URL, а затем переходит к извлечению IP-адреса сервера загрузки. IP-адрес извлекается из шести целочисленных значений для широты и долготы GPS в информации EXIF.

    В данный момент используются следующие C&C URL:

    • photobucket.com/user/nikkireed11/library
    • photobucket.com/user/kmila302/library
    • photobucket.com/user/lisabraun87/library
    • photobucket.com/user/eva_green1/library
    • photobucket.com/user/monicabelci4/library
    • photobucket.com/user/katyperry45/library
    • photobucket.com/user/saragray1/library
    • photobucket.com/user/millerfred/library
    • photobucket.com/user/jeniferaniston1/library
    • photobucket.com/user/amandaseyfried1/library
    • photobucket.com/user/suwe8/library
    • photobucket.com/user/bob7301/library


    Если обратиться и получить изображение с photobucket.com не удалось, вредонос пытается получить изображение с домена toknowall.com.

    Также существует и «запасной вариант» в виде листенера, который ожидает подключение к зараженному устройству с применением специализированных триггеров.

    VPNFilter — довольно серьезная и опасная угроза, нацеленная на устройства, которые сложно защищать. Если в вашей инфраструктуре используются вышеперечисленные устройства, рекомендуется незамедлительно отключить его от сети, произвести жесткую перезагрузку устройства и ждать патч от производителя.

    Инфосистемы Джет

    273,59

    Компания

    Поделиться публикацией
    Комментарии 28
      +2
      Заявление от Mikrotik.
      Если кратко, то уязвимость закрыта в Марте 2017 в прошивке 6.38.5 (bugfix — 6.37.5).
      • НЛО прилетело и опубликовало эту надпись здесь
          0
          >Mikrotik RouterOS (1016, 1036 и 1072);

          Что тут за версии вообще непонятно.
            0
            Вероятно речь о сериях Cloud Core Router'ов: CCR1016, CCR1036, CCR1072
            Тоже удивился что пишут только про них
            Не знаю, могу ли раскрывать источник, но есть информация, что практически любой микротик уязвим
          0
          а это полный список устройств или только те, на которых пока обнаружено?
            0
            Это те устройства, на которых обнаружено вредоносное ПО.
            +1
            Кстати, а как вообще проводить аудит сохранности прошивки роутера?
              0
              теоретически, если есть доступ к консоли, то поиском новых файлов в файловой системе… но не все роутеры позволяют доступ этот получить, да и свою прошивку оригинальную ж еще нужно распаковать и посмотреть на данные исходные…
                +1
                Диффать с вендорской.
                  0
                  Пользоваться чем-то вроде aide.sourceforge.net
                  Хранить бд хэшей файлов на внешнем носителе, периодически скачивать с роутера rootfs и проверять, какие файлы изменились, иногда перезагружать роутер в случае если вирус/червь только в памяти находится.
                    0
                    на mikrotik

                    /system check-installation
                      0
                      У меня было 7 микротиков, возможно пораженных VPNFilter'ом (5 RB951 и 2 RB941).
                      check-installation ничего не показывал, но была странность (воспроизводилась как до, так и после Reset'a)
                      1) после закидывания новой прошивки в Files и перезагрузки роутера ничего не происходило: роутер не прошивался на новую прошивку и она оставалась там лежать
                      2) при попытке обновить прошивку через system > packages > check for update она скачивалась, обновлялась (или делала вид — версия изменялась), но файл прошивки оставался лежать в Files
                      Нормализовалось поведение роутеров только после перепрошивки через Netinstall, который форматирует память

                      P.S. кстати, reset по кнопке не работал как минимум на одном роутере. На других не проверял.

                      P.P.S. обращаю внимание на «возможно пораженных». Нет 100% уверенности, что они действительно были заражены VPNFilter'ом
                        0
                        RB951 и RB941 не заражаются VPNFilter'ом, только CCR модели 1016/1036/1072
                        возможно у Вас что-то другое, особенность конфига или тп
                          0
                          Как я и писал, нет 100% уверенности что были заражены, но гораздо меньше уверенности в том, что вовсе не подвержены заражению
                    0
                    Спасибо за линк на сайт Mikrotik. Закрыто еще год назад, еще раз иллюстрирует важность своевременного патч менеджмента.
                      0
                      самый верный метод защиты — почаще перепрошиваться с бекапом конфига и хардрезетом. автообновлению лично я не доверяю, но тоже можно настроить на некритичных железках.
                        0
                        почаще перепрошиваться на что?
                        есть вот наприимер в работе NETGEAR DG834
                        подвержен/нет… непонятно… обновок нет давно…
                        перепрошиваться той же самой прошивкой? я хотя не уверен, что так получится…
                          0
                          а вот нефиг Нетгиры использовать :). я бы их только как дешёвый вариант для дома рекомендовал ввиду множественных глюков и дыр. Микротики тут рулят со всех сторон — и возможностями, и надёжностью, и поддержкой.
                          Конечно, если нет более свежего варианта, но есть подозрение, что с железкой что-то не так, можно и на текущую отшиться, чтобы файловую систему гарантированно к исходному виду привести.
                            0
                            Согласен!
                              0
                              ммм… ну у меня он используется только как adsl-модем, а дальше rb951g-2hnd и т.д.
                              был бы вариант с adsl от микротика взял бы, а так… приходится использовать что есть…
                              0

                              openwrt/dd-wrt/tomatousb/т.д.

                                0
                                что-то не нахожу под Netgear DG834 v4 (именно без G)
                                как и на многие другие ADSL-роутеры в своё время.
                                там часто проблема с дровами именно на ADSL
                            0
                            Если все железо критичное и в работе 24/7 — кроме автообновления вариантов нет, как и нет гарантий того, что с новой прошивкой будет устранена старая уязвимость, Spectre в пример.
                              0
                              если железо критичное, то обновление только ручками или, как минимум, под наблюдением. ибо, нет 100% гарантий, что после обновления всё продолжит работать.
                            0
                            Как насчет лома против которого нет приема?
                            Заменить флеш в роутере на УФПЗУ к примеру.
                            А от вирусов в ОЗУ защищаться например систематическим ребутом.
                              0
                              Так а что сами производители молчат? Где заплатки? Где клей для приклеивания заплаток? Microsoft хоть и ругают она быстренько дыры лотает а тут роутеры прошивку не залатать?
                                0
                                Не ну прочтите сами а что пишут Там самое начало как обсирают www.hackread.com/fbi-seizes-vpnfilter-botnet-domain-infected-routers

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое