В конце прошлой недели специалисты Cisco Talos обнаружили сложного, модульного вредоноса VPNFilter, который уже заразил порядка 500 000 устройств в 54 странах мира. В основном атаке малвари подверглись роутеры Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP. Список моделей устройств, на которых был обнаружен VPNFilter, опубликованный компанией Symantec, можно увидеть ниже. Linksys E1200; Linksys E2500; Linksys WRVS4400N; Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072; Netgear DGN2200; Netgear R6400; Netgear R7000; Netgear R8000; Netgear WNR1000; Netgear WNR2000; QNAP TS251; QNAP TS439 Pro; Другие устройства QNAP NAS, работающие под управлением QTS; TP-Link R600VPN. VPNFilter стал всего второй угрозой для интернета вещей, которая способна «пережить» перезагрузку зараженного устройства (напомню, что первой недавно стала малварь Hide and Seek). К тому же исследователи обнаружили, что VPNFilter таит в себе деструктивную функциональность и может превратить зараженные гаджеты в бесполезные «кирпичи». Дело в том, что во время второй стадии заражения бот VPNFilter несет в себя функцию самоуничтожения, после активации которой он перезаписывает критические части прошивки устройства и уводит его в перезагрузку. По мнению аналитиков, после такого большинство устройств уже не получился «вернуть к жизни» в домашних условиях. В коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену toknowall.com. Но несмотря на это, опасность все равно сохраняется. Ведь еще на первом этапе заражения VPNFilter сообщает своим операторам IP-адреса зараженных устройств, то есть преступники могут восстановить свою инфраструктуру в другом месте и вернуть контроль над инфицированными гаджетами. Теперь ФБР выпустило официальное предупреждение, призывая владельцев потенциально уязвимых устройств воспользоваться проверенным советом, хорошо известным всем по сериалу IT Crowd, — выключить устройства и включить снова. Дело в том, что перезагрузка все же способна избавить зараженные гаджеты от части малвари. После этого рекомендуется отключить любые сервисы удаленного администрирования и поменять пароли на что-нибудь надежное. Некоторые производители пострадавших гаджетов тоже отреагировали на предупреждения специалистов и подготовили бюллетени безопасности и инструкции для своих пользователей. Netgear призывает пользователей обновить прошивки роутеров до последних версий, отключить удаленное администрирование и сменить пароли; Представители MikroTik уверяют, что с марта 2017 года их ПО блокирует малварь, а также рассказывают, как правильно сконфигурировать проблемные устройства; В TP-Link подтвердили, что VPNFilter поражает только роутеры модели TP-R600VPN, и привели для владельцев этих устройств ссылки на последние версии прошивки и необходимые инструкции; Разработчики QNAP пишут, что под угрозой оказались только пользователи разных моделей NAS, работающих под управлением QTS 4.2.6 build 20170628, 4.3.3 build 20170703 и более ранних версий ПО, а также те, кто использовал административные учетные данные по умолчанию. Теперь пользователям настоятельно рекомендуется обновить устройства до новейших версий QTS, установить Malware Remover 2.2.1 или новее и провести полное сканирование. Дефолтные пароли, конечно, тоже нужно поменять. Источник новости - google.com