Категория > Новости > ФБР и производители объяснили пользователям, что делать с малварью VPNFilter - «Новости»

ФБР и производители объяснили пользователям, что делать с малварью VPNFilter - «Новости»


28-05-2018, 22:00. Автор: Людмила

В конце прошлой недели специалисты Cisco Talos обнаружили сложного, модульного вредоноса VPNFilter, который уже заразил порядка 500 000 устройств в 54 странах мира. В основном атаке малвари подверглись роутеры Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP.


Список моделей устройств, на которых был обнаружен VPNFilter, опубликованный компанией Symantec, можно увидеть ниже.


  • Linksys E1200;

  • Linksys E2500;

  • Linksys WRVS4400N;

  • Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;

  • Netgear DGN2200;

  • Netgear R6400;

  • Netgear R7000;

  • Netgear R8000;

  • Netgear WNR1000;

  • Netgear WNR2000;

  • QNAP TS251;

  • QNAP TS439 Pro;

  • Другие устройства QNAP NAS, работающие под управлением QTS;

  • TP-Link R600VPN.

VPNFilter стал всего второй угрозой для интернета вещей, которая способна «пережить» перезагрузку зараженного устройства (напомню, что первой недавно стала малварь Hide and Seek). К тому же исследователи обнаружили, что VPNFilter таит в себе деструктивную функциональность и может превратить зараженные гаджеты в бесполезные «кирпичи».


Дело в том, что во время второй стадии заражения бот VPNFilter несет в себя функцию самоуничтожения, после активации которой он перезаписывает критические части прошивки устройства и уводит его в перезагрузку. По мнению аналитиков, после такого большинство устройств уже не получился «вернуть к жизни» в домашних условиях.


В коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее.


После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену  toknowall.com. Но несмотря на это, опасность все равно сохраняется. Ведь еще на первом этапе заражения VPNFilter сообщает своим операторам IP-адреса зараженных устройств, то есть преступники  могут восстановить свою инфраструктуру в другом месте и вернуть контроль над инфицированными гаджетами.


Теперь ФБР выпустило официальное предупреждение, призывая владельцев потенциально уязвимых устройств воспользоваться проверенным советом, хорошо известным всем по сериалу IT Crowd, — выключить устройства и включить снова. Дело в том, что перезагрузка все же способна избавить зараженные гаджеты от части малвари. После этого рекомендуется отключить любые сервисы удаленного администрирования и поменять пароли на что-нибудь надежное.


Некоторые производители пострадавших гаджетов тоже отреагировали на предупреждения специалистов и подготовили бюллетени безопасности и инструкции для своих пользователей.


  • Netgear призывает пользователей обновить прошивки роутеров до последних версий, отключить удаленное администрирование и сменить пароли;

  • Представители MikroTik уверяют, что с марта 2017 года их ПО блокирует малварь, а также рассказывают, как правильно сконфигурировать проблемные устройства;

  • В TP-Link подтвердили, что VPNFilter поражает только роутеры модели TP-R600VPN, и привели для владельцев этих устройств ссылки на последние версии прошивки и необходимые инструкции;

  • Разработчики QNAP пишут, что под угрозой оказались только пользователи разных моделей NAS, работающих под управлением QTS 4.2.6 build 20170628, 4.3.3 build 20170703 и более ранних версий ПО, а также те, кто использовал административные учетные данные по умолчанию. Теперь пользователям настоятельно рекомендуется обновить устройства до новейших версий QTS, установить Malware Remover 2.2.1 или новее и провести полное сканирование. Дефолтные пароли, конечно, тоже нужно поменять.

Источник новостиgoogle.com
Перейти обратно к новости