Pull to refresh

Comments 21

Не одного же меня посетила мысль что перезагрузка нужна для применения новых конфигов?
Отчет Cisco Talos содержит подробное описание того как работает этот зловред. И перезагружать устройства он вообще-то умеет сам.
Заражение проходит в три этапа. На первом этапе в устройство заливается что-то вроде руткита. Он записывает себя во флеш и от этой штуки перезагрузкой не избавишься. На втором и третьем этапе в установленный руткит загружаются плагины, ради которых собственно и заражали устройство. Эти плагины не сохраняются во флеше и загружаются руткитом с «основного сервера».
Ну все логично. Поскольку сервер в их руках то перезагрузкой мы избавляемся от плагинов вирусописателей и подгружаем нужные нам.
«ФБР успешно пропатчила прошивки ваших маршрутизаторов. Требуется перезагрузка, чтобы изменения вступили в силу»
Зря минусуете, вся суть совета отражена в одной картинке.
Тем более что
После перезагрузки устройства окажутся уязвимыми для повторного заражения.

Не вижу в статье технических деталей по поводу попадания зловреда на устройство. Как понять, что устройство заражено, и если так — то как часто перезагружать?
Если они и правда вывели из строя сервер(ы) откуда скачивается основной модуль червя — то одной перезагрузки достаточно. До тех пор пока авторы червя не выпустят новую версию.

А надо не перепечатку Маркса читать, а исходное сообщение у Циски:

The VPNFilter malware is a multi-stage, modular platform with versatile capabilities to support both intelligence-collection and destructive cyber attack operations.

The stage 1 malware persists through a reboot, which sets it apart from most other malware that targets internet-of-things devices because malware normally does not survive a reboot of the device. The main purpose of stage 1 is to gain a persistent foothold and enable the deployment of the stage 2 malware. Stage 1 utilizes multiple redundant command and control (C2) mechanisms to discover the IP address of the current stage 2 deployment server, making this malware extremely robust and capable of dealing with unpredictable C2 infrastructure changes.

The stage 2 malware, which does not persist through a reboot, possesses capabilities that we have come to expect in a workhorse intelligence-collection platform, such as file collection, command execution, data exfiltration and device management. However, some versions of stage 2 also possess a self-destruct capability that overwrites a critical portion of the device's firmware and reboots the device, rendering it unusable. Based on the actor's demonstrated knowledge of these devices, and the existing capability in some stage 2 versions, we assess with high confidence that the actor could deploy this self-destruct command to most devices that it controls, regardless of whether the command is built into the stage 2 malware.

In addition, there are multiple stage 3 modules that serve as plugins for the stage 2 malware. These plugins provide stage 2 with additional functionality. As of this writing, we are aware of two plugin modules: a packet sniffer for collecting traffic that passes through the device, including theft of website credentials and monitoring of Modbus SCADA protocols, and a communications module that allows stage 2 to communicate over Tor. We assess with high confidence that several other plugin modules exist, but we have yet to discover them.
Микротики заявили, что уязвимость устранена в марте. Марте прошлого года. Хотя я слабо представляю себе, как у них что-то стороннее в принципе может запуститься.
Все зараженные устройства работают на прошивках основанных на ядре Linux с установленным Busybox. Я как бы ни на что не намекаю, но мне сразу вспомнилась та история когда в сетевом стеке FreeBSD нашли АНБшную закладку. :)

А в твоем рутованном Android стоит Busybox? :-]

Из принципа не разлочиваю и не рутую. Прошли те времена, когда хочется на основном телефоне этим заниматься. Искаропки.

Да вот они сами пишут, что проблема в webfig была, если он висел на 80 порту и не было файрвольных правил для закрытия его.

Честно говоря, на фоне «достижений» по дырам других вендоров, Микротики молодцы.
По мнению специалистов Cisco Talos, разработчики вируса — российская команда взломщиков, известная как Sofacy, Fancy Bear, APT 28 и Pawn Storm. О причастности к разработке вируса именно этой группы говорят косвенные признаки, на которые и обратили внимание специалисты по информационной безопасности

Интересно, по каким косвенным признакам определяют. Стиль работы зловреда?
QNAP TS251 и прочие модели — это же вообще не роутеры, а NAS. Это сетевые хранилища подвержены взлому этим вирусом или просто список устройств кривой?

http-сервер подвержен. Список кривоват.

Автор не столько бы переводил чужие источники (причем не исходные, а пост на Арстехнике про пост на Циске), сколько попробовал бы разобраться: перезагрузка от этого зловреда, судя по сообщению циски, не помогает. Далее, про список железок: тот же Mikrotik сразу же вышел с опровержением, написав, что дыра заткнута уже какое-то время (с марта 2017, если что), и хорошим решением будет не перезагрузка, а обновление до свежей ROS плюс затыкание ненужных доступов (это вообще универсальное решение из серии «хуже не сделает»).

Вот цитата из оповещения Циски:

The VPNFilter malware is a multi-stage, modular platform with versatile capabilities to support both intelligence-collection and destructive cyber attack operations.

The stage 1 malware persists through a reboot, which sets it apart from most other malware that targets internet-of-things devices because malware normally does not survive a reboot of the device.


Выделение моё. Возможно, ФБР и захватило управляющие центры зловреда, и перезагрузка поможет тем, что первая сфаза заражения после ребута не сможет получить от центра информацию и бинарники заражения, но кто знает, что будет завтра, так что лечить все же придется.
Второй шаг — обновление прошивки, это позволит изменить многое, защитив сетевые устройства и сами сети еще лучше.
Сегодня наша команда сыграла плохо, завтра мы будем играть еще лучше.
Sign up to leave a comment.

Articles