Специалисты компаний JASK и GreyNoise Intelligence предупреждают, что ботнет VPNFilter, контроль над управляющими серверами которого недавно перехватило ФБР, пытается вернуться в строй и ищет новые роутеры для заражения.

По данным специалистов, все сканы направлены на поиск роутеров Mikrotik  с открытым портом 2000. Как и ранее, злоумышленники концентрируются исключительно на украинских пользователях. VPNFilter и до этого очень активно заражал устройства на территории Украины, а исследователи обнаружили, что для украинских ботов даже был создан отдельный C&C сервер.

Напомню, что оригинальный VPNFilter было обнаружен в мае текущего года. Сложная малварь заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи Cisco Talos, первыми рассказвшие об угрозе, подчеркивали, что VPNFilter – это всего вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стала малварь Hide and Seek), к тому же таящая в себе деструктивную функциональность.

Операторы VPNFilter не используют для заражения устройств какие-либо 0-day уязвимости, а эксплуатируют различные известные баги, обнаруженные ранее. Список моделей устройств, на которых был обнаружен VPNFilter, можно увидеть ниже.

  • Linksys E1200;
  • Linksys E2500;
  • Linksys WRVS4400N;
  • Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;
  • Netgear DGN2200;
  • Netgear R6400;
  • Netgear R7000;
  • Netgear R8000;
  • Netgear WNR1000;
  • Netgear WNR2000;
  • QNAP TS251;
  • QNAP TS439 Pro;
  • другие устройства QNAP NAS, работающие под управлением QTS;
  • TP-Link R600VPN.

Аналитики Cisco Talos сообщали, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии и состоит из трех разных ботов. И если бот первой стадии прост и легковесен, он умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов, которые могут перехватывать и «слушать» трафик жертвы, а также обнаруживать SCADA-системы.

Кроме того, в коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее.

После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену  toknowall.com. После этого ФБР и производители уязвимых устройств опубликовали подробные инструкции для владельцев уязвимых устройств, рассказав, какие шаги нужно предпринять, для защиты от VPNFilter.

Оставить мнение