В конце прошлой недели специалисты Cisco Talos обнаружили сложного, модульного вредоноса VPNFilter, который уже заразил порядка 500 000 устройств в 54 странах мира. В основном атаке малвари подверглись роутеры Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP.
Список моделей устройств, на которых был обнаружен VPNFilter, опубликованный компанией Symantec, можно увидеть ниже.
- Linksys E1200;
- Linksys E2500;
- Linksys WRVS4400N;
- Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;
- Netgear DGN2200;
- Netgear R6400;
- Netgear R7000;
- Netgear R8000;
- Netgear WNR1000;
- Netgear WNR2000;
- QNAP TS251;
- QNAP TS439 Pro;
- Другие устройства QNAP NAS, работающие под управлением QTS;
- TP-Link R600VPN.
VPNFilter стал всего второй угрозой для интернета вещей, которая способна «пережить» перезагрузку зараженного устройства (напомню, что первой недавно стала малварь Hide and Seek). К тому же исследователи обнаружили, что VPNFilter таит в себе деструктивную функциональность и может превратить зараженные гаджеты в бесполезные «кирпичи».
Дело в том, что во время второй стадии заражения бот VPNFilter несет в себя функцию самоуничтожения, после активации которой он перезаписывает критические части прошивки устройства и уводит его в перезагрузку. По мнению аналитиков, после такого большинство устройств уже не получился «вернуть к жизни» в домашних условиях.
В коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее.
После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену toknowall.com. Но несмотря на это, опасность все равно сохраняется. Ведь еще на первом этапе заражения VPNFilter сообщает своим операторам IP-адреса зараженных устройств, то есть преступники могут восстановить свою инфраструктуру в другом месте и вернуть контроль над инфицированными гаджетами.
Теперь ФБР выпустило официальное предупреждение, призывая владельцев потенциально уязвимых устройств воспользоваться проверенным советом, хорошо известным всем по сериалу IT Crowd, — выключить устройства и включить снова. Дело в том, что перезагрузка все же способна избавить зараженные гаджеты от части малвари. После этого рекомендуется отключить любые сервисы удаленного администрирования и поменять пароли на что-нибудь надежное.
Некоторые производители пострадавших гаджетов тоже отреагировали на предупреждения специалистов и подготовили бюллетени безопасности и инструкции для своих пользователей.
- Netgear призывает пользователей обновить прошивки роутеров до последних версий, отключить удаленное администрирование и сменить пароли;
- Представители MikroTik уверяют, что с марта 2017 года их ПО блокирует малварь, а также рассказывают, как правильно сконфигурировать проблемные устройства;
- В TP-Link подтвердили, что VPNFilter поражает только роутеры модели TP-R600VPN, и привели для владельцев этих устройств ссылки на последние версии прошивки и необходимые инструкции;
- Разработчики QNAP пишут, что под угрозой оказались только пользователи разных моделей NAS, работающих под управлением QTS 4.2.6 build 20170628, 4.3.3 build 20170703 и более ранних версий ПО, а также те, кто использовал административные учетные данные по умолчанию. Теперь пользователям настоятельно рекомендуется обновить устройства до новейших версий QTS, установить Malware Remover 2.2.1 или новее и провести полное сканирование. Дефолтные пароли, конечно, тоже нужно поменять.
