VPNFilter

VPNFilter был обнаружен в мае 2018 года года. Тогда сложная малварь инфицировала как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи Cisco Talos, первыми рассказавшие о проблеме, подчеркивали, что VPNFilter – это всего вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой был вредонос Hide and Seek), к тому же таящая в себе деструктивную функциональность, из-за которой зараженные устройства могут превратиться в «кирпич».

Еще тогда специалисты отметили сходство VPNFilter с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. Из-за этого представители ФБР и Министерства юстиции США полагают, что VPNFilter — разработка российских правительственных хакеров.

Позже выяснилось, что первичные оценки исследователей были не совсем верны, и на самом деле ситуация обстояла даже хуже. Так, к списку уязвимых гаджетов добавились роутеры производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. То есть перечень уязвимых перед VPNFilter устройств расширился с 16 моделей до 71, причем эксперты уверены, что в итоге их может оказаться даже больше. Список уязвимых моделей можно увидеть здесь.

Обнаружить атаку VPNFilter не так просто. Заражение делится на три стадии и, по сути, состоит из трех разных ботов. Бот первой стадии прост и легковесен, но умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную (опциональную) функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство различных вредоносных плагинов.

Ранее найденные аналитиками плагины для VPNFilter оказались способны выполнять атаку SSLStrip и понижать соединение с HTTPS до HTTP, а также перехватывать и модифицировать трафик, проходящий через 80 порт посредством  man-in-the-middle атак. Фактически, VPNFilter способен сниффать сетевой трафик и перехватывать пакеты, мониторить протоколы Modbus SCADA, а также взаимодействовать с управляющим сервером посредством Tor. Нужно заметить, что эти плагины представлены и активны далеко не всегда.

Новые плагины

На этой неделе аналитики Cisco Talos обнаружили сразу семь новых модулей третьей стадии заражения для VPNFilter. Учитывая совокупные возможности вредоноса, специалисты пишут, что VPNFilter можно назвать настоящим «швейцарским ножом» в сфере вредоносного ПО.

• htpx– изучает и перенаправляет HTTP-трафик, а также ищет в нем следы исполняемых файлов Windows. Специалисты Cisco полагают, что этот плагин может использоваться для внедрения вредоносного кода в бинарники «на лету»;


• ndbr– многофункциональная SSH-утилита, позволяющая превратить скомпрометированный девайс в SSH-сервер, клиент или сканер портов NMAP. Также может использовать протокол SCP и передавать файлы;


• nm– используется для составления карты сети, а также применяет протокол MikroTik Network Discovery Protocol для обнаружения устройств MikroTik;


• netfilter– DoS-утилита, позволяющая создать правило IPtables и блокировать сетевые адреса;


• portforwarding– перенаправляет сетевой трафик на инфраструктуру атакующих, делая возможным перехват сетевых соединений;


• socks5proxy– поднимает на скомпрометированном устройстве SOCKS5-прокси;


• tcpvpn– запускает reverse-TCP VPN на взломанном устройстве.

Также исследователи пишут, что VPNFilter использует административную утилиту Winbox, предназначенную для работы с оборудованием MikroTik, по сути, являющуюся удобным аналогом веб-интерфейса.

Оказалось, что старые версии Winbox уязвимы перед атакой через 8291 порт TCP и заметить такую компрометацию весьма сложно. Чтобы облегчить жизнь администраторам, эксперты Cisco опубликовали на GitHub специальный инструмент-диссектор для анализа трафика Winbox.

Теги: CSS, VPNFilter также стадии Cisco уязвимых