Вирус VPNFilter, заразивший 500 тыс. роутеров оказался еще опаснее, чем считалось



    Несколько недель назад специалисты по информационной безопасности предупредили об опасном зловреде, получившем название VPNFilter. Как оказалось, главной целью этого malware являются роутеры самых разных производителей. Одной из первых на VPNFilter обратила внимание команда специалистов по инфобезу из Cisco Talos.

    Зловред постоянно совершенствуется разработчиками. Недавно был обнаружен новый модуль, который использует тип атаки man-in-the-middle в отношении входящего трафика. Злоумышленники могут модифицировать трафик, проходящий через роутер. Также они без проблем могут перенаправлять любые данные на свои сервера. Модуль вируса получил название ssler.

    Кроме модифицирования входящего трафика, ssler также может передавать своим создателям личные данные жертвы. Это могут быть пароли к разного рода ресурсам, которые киберпреступники затем используют с разными целями.

    Для предотвращения кражи персональной информации обычно используется TLS шифрование, которое зловред может обойти. Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен. Затем заменяются заголовки запросов, что служит сигналом того, что точка доступа уязвима. Ssler специальным образом модифицирует трафик разных ресурсов, включая Google, Facebook, Twitter и Youtube. Дело в том, что указанные сервисы предоставляют дополнительную защиту. К примеру Google перенаправляет HTTP трафик на HTTPS сервера. Но модуль позволяет обойти и эту защиту, чтобы злоумышленники получали ничем не зашифрованный трафик.

    C момента обнаружения вируса специалисты по информационной безопасности изучают его возможности. Сейчас оказалось, что он опаснее, чем считалось. Ранее, к примеру, специалисты Cisco утверждали, что главная задача злоумышленников — заражение сетевых устройств в офисах компаний и домах жертв. Возможно, для формирования ботнета. Но сейчас оказалось, что именно пользователи, вернее, их данные — основная цель.

    «Изначально, когда мы обнаружили вирус, мы считали, что он создан для реализации разного рода сетевых атак. Но оказалось, что это вовсе не основная задача и возможность зловреда. Он создан, главным образом, для того, чтобы воровать данные пользователей и модифицировать трафик. К примеру, вирус может изменять трафик таким образом, что пользователь клиент-банка будет видеть прежнюю сумму на своем счету. А на самом деле денег там давно уже нет», — говорится в отчете специалистов по кибербезопасности.

    Интересно, что большая часть зараженных устройств находится на/в Украине. Здесь не слишком распространены защитные меры вроде HTTP Strict Transport Security, поэтому данные пользователей под угрозой. Но и в других странах есть проблемы — например, в США и Западной Европе многие устройства, устаревшие морально, не поддерживают работу с HTTPS, продолжая использовать HTTP.

    Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.

    Полный список уязвимых устройств
    Asus:
    RT-AC66U (new)
    RT-N10 (new)
    RT-N10E (new)
    RT-N10U (new)
    RT-N56U (new)
    RT-N66U (new)

    D-Link:
    DES-1210-08P (new)
    DIR-300 (new)
    DIR-300A (new)
    DSR-250N (new)
    DSR-500N (new)
    DSR-1000 (new)
    DSR-1000N (new)

    Huawei:
    HG8245 (new)

    Linksys:
    E1200
    E2500
    E3000 (new)
    E3200 (new)
    E4200 (new)
    RV082 (new)
    WRVS4400N

    Mikrotik:
    CCR1009 (new)
    CCR1016
    CCR1036
    CCR1072
    CRS109 (new)
    CRS112 (new)
    CRS125 (new)
    RB411 (new)
    RB450 (new)
    RB750 (new)
    RB911 (new)
    RB921 (new)
    RB941 (new)
    RB951 (new)
    RB952 (new)
    RB960 (new)
    RB962 (new)
    RB1100 (new)
    RB1200 (new)
    RB2011 (new)
    RB3011 (new)
    RB Groove (new)
    RB Omnitik (new)
    STX5 (new)

    Netgear:
    DG834 (new)
    DGN1000 (new)
    DGN2200
    DGN3500 (new)
    FVS318N (new)
    MBRN3000 (new)
    R6400
    R7000
    R8000
    WNR1000
    WNR2000
    WNR2200 (new)
    WNR4000 (new)
    WNDR3700 (new)
    WNDR4000 (new)
    WNDR4300 (new)
    WNDR4300-TN (new)
    UTM50 (new)

    QNAP:
    TS251
    TS439 Pro
    Other QNAP NAS с QTS

    TP-Link:
    R600VPN
    TL-WR741ND (new)
    TL-WR841N (new)

    Ubiquiti:
    NSM2 (new)
    PBE M5 (new)

    Upvel:
    Unknown Models* (new)

    ZTE:
    ZXHN H108N (new)

    И это еще не все


    Кроме всего, что было озвучено выше, в Talos сообщили об обнаружении снифер-модуля. Он анализирует трафик в поиске данных определенного типа, которые связаны с работой промышленных систем. Этот трафик проходит через TP-Link R600, что и определяется модулем. Кроме того, модуль ищет обращения к IP из определенного диапазона, а также пакеты данных, размер которых составляет 150 байт или более.



    «Создатели вируса ищут вполне конкретные вещи. Они не стараются собрать как можно больше доступной информации, вовсе нет. Им нужны пароли, логины, обращение к определенному диапазону IP и тому подобные вещи. Мы пытаемся понять, кому все это может быть нужно», — заявляют исследователи.

    Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения. При активации модуля вирус удаляется с устройства безо всяких следов.

    Несмотря на то, что около недели назад ФБР обнаружило и изъяло главный сервер, ботнет до сих пор остается активным, принятых мер оказалось явно недостаточно.
    Поделиться публикацией

    Комментарии 68

      +1
      TL-WR841N (new) — что значит new? Насколько он должен быть new?
        +3
        Это значит, что в предыдущем списке его не было.
      • НЛО прилетело и опубликовало эту надпись здесь
          +12
          А мне вот интересно, почему ни в одной статье про VPNFilter не написано как проверить заражен роутер или нет…
          Ведь наверняка на зараженном должны быть запущенны какие-нибудь определенные процессы и/или иметься какие-нибудь специфичные файлы…
            0
            Вот, да. Особенно интересно стало увидев свой основной роутер в списке уявимых.
              0
              Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения. При активации модуля вирус удаляется с устройства безо всяких следов.

              плюс интересно, есть ли способ этот модуль триггернуть.
                +1
                В статье есть ссылка: blog.talosintelligence.com/2018/06/vpnfilter-update.html
                Там список файлов и их md5
                  0
                  Ссылка выглядит, как будто блогпост о новом релизе. Скачайте прямо сейчас!
                +1
                Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен.

                Эммм, а разве браузер не должен заорать на такой даунгрейд соединений?


                А то, что вирус эволюционирует, это может значить, что тот сервер, который ФБР изъяли, был или не главным, или вообще ханипотом.

                  0
                  Как я понимаю, если модуль MITM, то он может отдавать браузеру https, а с сайтом общаться по http.
                    +3
                    Это нужен свой сертификат в браузере.
                      0
                      Редирект на свой сайт?
                        +2
                        Тогда это не будет отличаться от обычного фишинга.
                          0
                          Будет. Пользователь сам набирает свой доверенный сайт или достаёт его из закладок. Тем более редирект можно делать не при первом обращении, чтоб не сильно палиться.
                          0
                          Браузер его не примет для многих сайтов, так как соединение не по HTTPS.
                          0
                          Сертификат вирус может взять на сайте, куда пользователь ломится жеж?
                            +1
                            Ага, и приватный ключ от него тоже на сайте что ли? На то он и сертификат, что подтверждает, что им воспользовался только владелец сайта, и никто другой. Как раз для предотвращения таких случаев.
                      0
                      Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.

                      Являлись. Микротики заткнули дыру уже больше года назад. Достаточно ROS обновить, и все.
                      Афторы «новостей» такие афторы. Бери больше, переводи быстрее.
                        0
                        Какая версия ROS уязвима?
                        6.40.4 — уязвима?
                          0
                          Нет. Собственно, почитайте оповещение от микротиков. Поправили в 6.38.5, в марте 2017:

                          What's new in 6.38.5 (2017-Mar-09 11:32):
                          ...
                          !) www - fixed http server vulnerability;
                          ...


                          Ваша же версия 6.40.4, хоть и ветке release (другими словами, вы сами выбрали «быть поближе к багам и фичам»), но вышла 2 октября 2017.

                          Ну а вообще, эта «дыра» была дырой только для тех, кто веб-морду не закрыл от доступа «из мира» — что, полагаю, сделал все же каждый уважающий юзер. Тем более что с winbox веб и в принципе не нужен.
                            0

                            С winbox там вроде другой вектор атаки есть.

                              0
                              Именно так, и его затыкали уже. Но при наличии в девайсе winbox оставлять открытым наружу веб — это даже как-то странно.
                                0
                                Тут хотелось бы увидеть статистику микротиков по количеству скачиваний обновленных версий по отношению к общему количеству проданных устройств.
                                  0

                                  Это где-то на форуме микротика спросить бы, тем более что обновление у них встроенное, значит, статистика может и собираться. Но вопрос, кто что наружу открывает. Оставить ssh, закрыл к нему доступ с нескольких всего ip — живи спокойно. А по фен-шую чтобы — закрыть все, кроме api-ssl, да и тот — с адреса управляющей машины.
                                  Вот остальные девайся по списку — это да, там может быть и печально.

                                    0
                                    Как раз микротики хороши тем, что в них обновления выходят даже для старого железа. И не обновлять их — странно.
                                      0
                                      Их беда — потрясающая стабильность. Лежит в кладовке где-то в удаленном офисе и все. Все забыли про него. Частый кейс в небольших компаниях без централизованного управления и мониторинга.
                                0
                                Спасибо за ответ.
                                Да, про эту уязвимость пишут расплывчато, что то не понятно было уязвим или нет.

                                доступ снаружи я закрыл через 30 минут, после первого включения, зашел в лог а в логе попытки логина из вне…

                              +1
                              Только вот для TL-WR841N на офсайте прошивка от 2017-07-13. Да и, похоже, они не торопятся с обновлениями.
                                0

                                Ну у них позиция другая: купил, и в сторону отойди, не мешай дальше продавать!
                                Но есть же *wrt — кто мешает рискнуть?

                                  0
                                  Ой, промахнулся веткой. :)
                                  0
                                  Многие берут устройства этого производителя только для того, чтобы воткнуть туда OpenWRT…
                                  Единственный минус всего этого — это отсутствие поддержки аппаратного NAT и шифрования (если они есть, конечно же).
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Неплохо) я бы сделал export compact file=compromised.rsc, сохранил файл на всякий случай и максимально глубоко его бы сбросил, а потом залил прошивку последнюю. Ну и стоит отправить человеку на пиво)
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      0

                                      А вот это интересно. Очень. На форуме МТ бы написать об этом, да и правила бы показать, которые блокируют. Получается, МТ отчитались в дырозатыкании, которого не было? Или было, но не до конца?

                                        0
                                        6.40 прошивка была без логина admin и отключена web-морда, вот такие правила добавили:
                                        Заголовок спойлера

                                          0

                                          4 правило логично, но его и так неплохо иметь было, плюс сервисы свои списки доступа имеют. А вот 3 и 2 поинтереснее.

                                            +1
                                            Это типа ломанули микрот и прописали правила? Упреждающий «добрый» хак?
                                            У себя такого не видел, все правила наши прописанные
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          Это свежая дыра
                                          habr.com/post/359038
                                            0
                                            Не пишут, кого русские на следующих выборах вместо неосилятора Трампа выберут? #шутка
                                              0
                                              Президентом США после Трампа будет Лиза Симпсон. Только тссс, это секрет, никому не говорите.
                                            +1
                                            Когда узнал, что на моем Zyxel Keenetic MIPS процессор, то очень огорчился. А теперь оказалось, что это большой плюс.
                                              0
                                              Я тоже теперь радуюсь, что в моем роутере стоит процессор Realtek RTL8196B.
                                              (Это архитектура Lexra RLX, урезанная разновидность MIPS)

                                              0
                                              интересно почему в списке роутеров оказался обычный коммутатор :)?
                                                0
                                                Когда-то давно пытался устроиться в техподдержку к региональному провайдеру, в первый же день попал на лекцию, вел кто-то из Д-линка.
                                                Мой вопрос — в чем принципиальная разница между роутером и управляемым коммутатором?
                                                Ответ — ни в чем, потому что коммутатор в принципе можно перешить в роутер и наоборот. Лишь бы была подходящая прошивка в наличии.

                                                Пример кстати Mikrotik CRS.
                                                P.S.
                                                Стажировку я так и не прошел.
                                                  0

                                                  Коммутаторы обычно многое делают аппаратно, в т.ч. со штормами бороться — в роутерах это часто на проц ложится, а тот может и захлебнуться (пример — CRS125).

                                                    0
                                                    В чем разница между маршрутизирующим коммутатором и коммутирующим маршрутизатором?
                                                    Заголовок спойлера
                                                    В коммутаторе основная работа делается на специальных микросхемах ASIC, а процессор только для управления. Функциональность таких чипов ограничена, поэтому бывают случаи, когда устройство спокойно обрабатывает N объём трафика с почти нулевой загрузкой ЦП. Но после добавления какой-нибудь настройки или правила вся работа внезапно переводится на процессор, и скорость работы падает в 10 раз.

                                                  +2
                                                  Вытер пыль с роутера, чтобы проверить, подвержен ли — оказался такой старый, что даже вирусы для него уже не пишут
                                                    +3
                                                    Уязвимости программные или аппаратные? Если роутер уязвимый, но на нем стоит OpenWRT, то он уязвим или нет? В статье не раскрыт этот момент.
                                                      0
                                                      Насколько я понял, этот момент не раскрыт, т.к. пока неясен сам механизм заражения устройств.
                                                      +2
                                                      При активации модуля вирус удаляется с устройства безо всяких следов.

                                                      Скорее я бы сказал, что он удаляет всё на устройстве, чем удаляется сам. Со следами в виде 0xFF.

                                                      «The dstr module clears flash memory by overwriting the bytes of all available /dev/mtdX devices with a 0xFF byte. Finally, the shell command rm -rf /* is executed to delete the remainder of the file system and the device is rebooted. At this point, the device will not have any of the files it needs to operate and fail to boot.»
                                                        0
                                                        Пора засучивать рукава и мастерить свой проприетарный роутер
                                                          +1
                                                          Тсю, я давно так сделал.
                                                          Есть отличные x86-решения, не требующие танцев с бубном и в принципе по приемлемой цене. У меня вот такое: image

                                                          Устанавливается что угодно, Убунта с костылями с iptables, pfSense, ddwrt и тд. Гигабитные порты, SSD. Цена порядка 130 бакинских. Была пару лет назад.
                                                            0
                                                            А что это за милота?
                                                              0
                                                              Как я понял єто APU2?
                                                              www.pcengines.ch/apu2.htm
                                                              Где покупали?
                                                              Одно время ALIX использовал, остались самьіе приятньіе впечатления, но єто бьіло давно.
                                                                0

                                                                Еле прочёл. У вас раскладка случайно не та включилась.

                                                                  0
                                                                  У него украинская клавиатура, видимо, и просто нет букв «э» и «ы»
                                                                  0
                                                                  Простите за поздний ответ. Ниже написали.
                                                                  Брал на ибее.
                                                                  0

                                                                  Напишите модель, пожалуйста! Это копейки за подобное. Особенно если там не "порт", а "порты"!

                                                                    0
                                                                    pc engines apu2c4
                                                                      0
                                                                      Извините. Уже написали.
                                                                      Это действительно копейки, и реальная скорость копирования с одного гигабитного сервера на другой подключенный к этому же девайсу — порядка 100-110 Мб\с через линуксовый scp.

                                                                      Девайс реально навороченный. Можно ставить два SSD-шника, можно грузиться с флешки или СД-карты, можно подключать GSM-модем и вставлять симку, можно ставить вафлю (и не одну) и использовать как точку доступа, роутер, репитер.

                                                                      Можно использовать как сервер видеонаблюдения.
                                                                  +1
                                                                  Я так понимаю, роутеру с AR2317 (MIPS32), которому 11 лет, это не грозит?
                                                                    0

                                                                    Zyxel в списке нет, однако прошивку с защитой ядра установила. Последние версии (включая те модели, которых нет в списках на сайте www.zyxel.com) нашла на help.keenetic.com/hc/ru/categories/201757869-Центр-загрузки
                                                                    В основном, судя по журналам обновлений, последние релизы у людей стоят V 2.05 С4 (от 2016). Увы, не обновляются и при проверке обновлений пишет "обновлений нет". Однако есть С7 от 10.2017г. Для некоторых моделей уже появились от 2018г.


                                                                    "Новые возможности и улучшения: Устранены уязвимости WPA2, известные как Key Reinstallation Attacks (KRACK)."
                                                                    По сути, относительно VPNFilter свидетельств заражения нет, просто рекомендации по удаленному доступу и гостевой точке доступа, на самом Zyxel.com указано, что в последних версиях микропрошивок реализована защита ЦП и ядра от Meltdown и Spectre.


                                                                    Кстати, keenetic.com выдает ошибку безопасного соединения, если входить через Гугл и разрешить подключить приложение для входа. Наглухо! небезопасное соединение, и хоть тресни!


                                                                    Ну и последнее. как я понимаю, сама специфика вируса, т.е. подключение к сети Тор, по РФ не может быть реализована именно потому, что РФ рубит сам Тор и борется с ним как может (ну, хоть какая-то от этого польза появилась)))

                                                                      0
                                                                      Ну и последнее. как я понимаю, сама специфика вируса, т.е. подключение к сети Тор, по РФ не может быть реализована именно потому, что РФ рубит сам Тор и борется с ним как может (ну, хоть какая-то от этого польза появилась)))

                                                                      Не замечал такого
                                                                        0

                                                                        Я же сказала "борется с ним, как может", но это далеко не факт, что может так, чтоб его не было вообще)))

                                                                      0

                                                                      Еще, чуть внимательней прочитав, добавлю. насколько я знаю, аналогично моему центру, в любом роутере журналируются как IP, так и установленные обновления и модули. Если проверить каждый, кликом по нему просмотрев инфу, думаю, можно вычленить и вирь. Как минимум, экспериментально, отключая незнакомые и просматривая результат.
                                                                      Именно это я и опробовала в т.ч, просматривая пояснение по каждому мне неизвестному на сайте-производителе (по сути, здесь уже и модель не важна, они схожи).

                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                      Самое читаемое