Специалисты Cisco Talos предупредили об обнаружении крупного ботнета, получившего название VPNFilter. Сложная малварь уже заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи подчеркивают, что VPNFilter – это вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стала малварь Hide and Seek), к тому же таящая в себе деструктивную функциональность.

VPNFilter

Исследователи рассказывают, что операторы VPNFilter, судя по всему, не использовали для заражения устройств какие-либо 0-day уязвимости, а эксплуатировали различные известные баги, обнаруженные ранее. Список моделей устройств, на которых был обнаружен VPNFilter, опубликованный компанией Symantec, можно увидеть ниже.

• Linksys E1200;


• Linksys E2500;


• Linksys WRVS4400N;


• Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;


• Netgear DGN2200;


• Netgear R6400;


• Netgear R7000;


• Netgear R8000;


• Netgear WNR1000;


• Netgear WNR2000;


• QNAP TS251;


• QNAP TS439 Pro;


• Другие устройства QNAP NAS, работающие под управлением QTS;


• TP-Link R600VPN.

Аналитики Cisco Talos пишут, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии. Во время первой стадии бот VPNFilter прост и легковесен, его основная задача на этом этапе – инфицировать устройство и гарантировать устойчивое присутствие в системе. Как уже было сказано выше, ранее умение «переживать» перезагрузку IoT-девайсов демонстрировала только одна угроза — ботнет Hide and Seek. Стоит отметить, что по данным Symantec, избавиться от бота первой стадии все же возможно. Для этого потребуется произвести сброс устройства к заводским настройкам с последующей перезагрузкой.

Вторая стадия заражения, по мнению экспертов Cisco Talos, является наиболее опасной. Хотя сам бот второй стадии не способен выдержать перезагрузку устройства и, казалось бы, более безобиден, на самом деле это не так. В вопросах присутствия в системе бот второй стадии полагается на бота первой стадии. Фактически это означает, что даже если он будет удален с устройства из-за перезагрузки, то всегда сможет загрузиться повторно. Основной ролью бота второй стадии является подготовка к третьей фазе заражения.

Вместе с этим бот второй стадии обладает опасной функциональностью самоуничтожения, во время активации которой он перезаписывает критические части прошивки устройства и уводит его в перезагрузку. Аналитики предупреждают, что после этого зараженный гаджет превращается в бесполезный «кирпич» и не может загрузиться, так как необходимые для загрузки системы части прошивки подменяются случайным «мусором». По мнению специалистов Cisco Talos, после срабатывания функции самоуничтожения, большинство пользователей уже не сможет вернуть свои устройства в строй (за неимением необходимых технических знаний).

Третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов. В настоящее время аналитики обнаружили три плагина, задача которых заключается сниффании сетевого трафика и перехвате пакетов, мониторинге протоколов Modbus SCADA, а также взаимодействии с управляющим сервером посредством Tor. Вероятнее всего, в запасе у операторов VPNFilter припасены и другие вредоносные модули, которые пока не были применены.

Таким образом, операторы VPNFilter способны совершать самые разные противоправные действия посредством своего ботнета. Они могут перехватывать трафик и учетные данные от закрытых сетей и систем; могут обнаруживать промышленное SCADA-оборудование и заражать его специализированной малварью; могут использовать зараженные устройства как обычный ботнет, скрывая за ним различные атаки; и наконец, могут попросту вывести из строя сотни тысяч устройств.

Атака на Украину?

Исследователи подчеркивают, что в последнее время VPNFilter очень активно заражает устройства на территории Украины (для украинских ботов даже был создан отдельный C&C сервер). В связи с этим специалисты выражают серьезное беспокойство относительно функции самоуничтожения, выводящей пострадавшие устройства из строя. Ее активация может стать серьезным ударом для инфраструктуры страны.

Также нужно сказать, что в Cisco Talos обнаружили сходство VPNFilter с малварью BlackEnergy, которая использовалась в 2015-2016 годах для атак на энергетические компании Украины и привела к массовым отключениям электроэнергии на западе страны.

Служба безопасности Украины уже выпустила пресс-релиз, посвященный происходящему. Правоохранители считают, что операторы VPNFilter хотели приурочить атаку на государственные структуры и частные компании к финалу Лиги Чемпионов, который пройдет в Киеве 26 мая 2018 года.

Напомню, что некоторые компании и специалисты связывают малварь BlackEnergy с группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team,  X-agent, Sednit и так далее. Теперь с APT28 так же связывают и VPNFilter, а Служба безопасности Украины открыто приписывает авторство малвари РФ. Заметим, что специалисты Cisco Talos и Symantec пока никаких выводов не делают, отмечая, что расследование еще далеко от завершения.

Управляющие серверы обезврежены

Вскоре после публикации отчета-предупреждения Cisco Talos издание The Daily Beast сообщило, что в распоряжении его редакции оказался аффидевит, согласно которому ФБР решило обезвредить управляющие серверы VPNFilter, сочтя угрозу слишком опасной.

Согласно документу, западные правоохранители так же убеждены, что за созданием ботнета стоит группировка ATP28. Решение суда о блокировке управляющих серверов малвари было оперативно получено после предупреждения специалистов. В частности, под контроль ФБР перешел домен toknowall.com, к которому VPNFilter обращается за получением команд и дополнительных модулей.

К сожалению, угроза все равно сохраняется, так как синкхоллингом (sinkhole) доменов здесь, вероятно, обойтись не удастся. Учитывая, что еще на первом этапе заражения VPNFilter сообщает своим авторам IP-адреса зараженных устройств, операторы ботнета могут восстановить свою инфраструктуру в другом месте и вернуть контроль над инфицированными гаджетами.

В связи с этим пользователям потенциально уязвимых устройств настоятельно рекомендуется произвести сброс к заводским настройкам с последующей перезагрузкой и убедиться, что используется новейшая версия ПО. Также, если есть такая возможность, малварь можно поискать в следующих директориях: var/run/vpnfilterm, /var/run/vpnfilterw, var/run/torr и var/run/tord. Если таковые нашлись, следует удалить их содержимое.

Теги: CSS, устройства VPNFilter Cisco стадии могут