Специалисты компаний JASK и GreyNoise Intelligence предупреждают, что ботнет VPNFilter, контроль над управляющими серверами которого недавно перехватило ФБР, пытается вернуться в строй и ищет новые роутеры для заражения.

По данным специалистов, все сканы направлены на поиск роутеров Mikrotik  с открытым портом 2000. Как и ранее, злоумышленники концентрируются исключительно на украинских пользователях. VPNFilter и до этого очень активно заражал устройства на территории Украины, а исследователи обнаружили, что для украинских ботов даже был создан отдельный C&C сервер.

Напомню, что оригинальный VPNFilter было обнаружен в мае текущего года. Сложная малварь заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи Cisco Talos, первыми рассказвшие об угрозе, подчеркивали, что VPNFilter – это всего вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стала малварь Hide and Seek), к тому же таящая в себе деструктивную функциональность.

Операторы VPNFilter не используют для заражения устройств какие-либо 0-day уязвимости, а эксплуатируют различные известные баги, обнаруженные ранее. Список моделей устройств, на которых был обнаружен VPNFilter, можно увидеть ниже.

• Linksys E1200;


• Linksys E2500;


• Linksys WRVS4400N;


• Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;


• Netgear DGN2200;


• Netgear R6400;


• Netgear R7000;


• Netgear R8000;


• Netgear WNR1000;


• Netgear WNR2000;


• QNAP TS251;


• QNAP TS439 Pro;


• другие устройства QNAP NAS, работающие под управлением QTS;


• TP-Link R600VPN.

Аналитики Cisco Talos сообщали, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии и состоит из трех разных ботов. И если бот первой стадии прост и легковесен, он умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов, которые могут перехватывать и «слушать» трафик жертвы, а также обнаруживать SCADA-системы.

Кроме того, в коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее.

После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену  toknowall.com. После этого ФБР и производители уязвимых устройств опубликовали подробные инструкции для владельцев уязвимых устройств, рассказав, какие шаги нужно предпринять, для защиты от VPNFilter.

Теги: CSS, VPNFilter устройства стадии роутеров также