СБ Украины обвинило российские спецслужбы в кибератаке на Аульскую хлоропереливную станцию, единственное в стране предприятие, которое занимается расфасовкой хлора для очистки питьевой воды и, разумеется, является объектом критической инфраструктуры.

Сообщается, что в течение нескольких минут системы управления технологическими процессами и системы обнаружения признаков аварийных ситуаций предприятия были «умышленно поражены» малварью VPNFilter. Продолжение данной атаки могло привести к срыву технологических процессов и возможной аварии. Теперь правоохранители уверяют, что им, совместно с руководством предприятия, удалось предотвратить потенциальную техногенную катастрофу. Никаких технических деталей происшедшего при этом не разглашается.

Напомню, что вредонос VPNFilter был обнаружен в мае текущего года. Сложная малварь инфицировала как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи Cisco Talos, первыми рассказавшие о проблеме, подчеркивали, что VPNFilter – это всего вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой был вредонос Hide and Seek), к тому же таящая в себе деструктивную функциональность, из-за которой зараженные устройства могут превратиться в «кирпич».

Позже выяснилось, что первые оценки специалистов были не совсем верны, и на самом деле ситуация обстояла даже хуже. Выяснилось, что к списку уязвимых гаджетов следует добавить роутеры производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. Там образом, перечень уязвимых перед VPNFilter устройств расширился с 16 моделей до 71, причем эксперты уверены, что в итоге их может оказаться еще больше. Полный список уязвимых моделей можно найти здесь.

Обнаружить VPNFilter не так просто. Заражение делится на три стадии и, по сути, состоит из трех разных ботов. Бот первой стадии прост и легковесен, но он умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство различных вредоносных плагинов.

Еще при первичном анализе, в мае 2018 года, было обнаружено сходство VPNFilter с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. В итоге представители ФБР и Министерства юстиции США полагают, что VPNFilter — разработка российских правительственных хакеров.

3 комментария

  1. Int

    14.07.2018 at 12:13

    Зачем правительству это надо?

    • Pavlo

      18.07.2018 at 22:23

      Ты разве не в курсе что Россия вторглась в Украину 4 года назад и у нас с вами война?

  2. Gen

    15.07.2018 at 19:13

    Это пиндосам выгодно так думать

Оставить мнение