Trend Micro предупреждает, что малварь VPNFilter, обнаруженная в 2018 году, до сих пор можно найти на устройствах компаний по всему миру. Несколько лет назад эта малварь инфицировала как минимум полмиллиона роутеров и NAS производства Asus, Linksys, MikroTik, Huawei, TP-Link, Ubiquiti, NETGEAR, UPVEL и ZTE в 54 странах мира.
Еще тогда специалисты отмечали сходство VPNFilter с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. Из-за этого представители ФБР и Министерства юстиции США заявили, что VPNFilter — разработка российских правительственных хакеров.
Прошло больше двух лет, и аналитики попытались определить, представляет ли ботнет угрозу сейчас. Для этого исследователи Trend Micro обратились за помощью к коллегам из Shadowserver Foundation, которые в сотрудничают с Cisco Talos, ФБР и Министерством юстиции США, и осуществили sinkhole домена toknowall[.]com, откуда VPNFilter получал адреса управляющих серверов.
Выяснилось, что к домену регулярно обращаются 5447 уникальных устройств, то есть они по-прежнему заражены. При этом реальное количество заражений должно быть еще выше, так как этот домен может быть заблокирован многими компаниями на уровне DNS.
«Хотя только 363 сети подключились к нашему sinkhole’у, мы не можем утверждать, что 1801 сеть, давшая первоначальный положительный ответ, является чистой. Они тоже могут быть заражены VPNFilter, но подключение к нашему sinkhole’у могло быть заблокировано, если они находились за брандмауэром», — пишут эксперты.
В Trend Micro предупреждают, что эти сети могут быть легко захвачены любым злоумышленником, понимающим механизм работы VPNFilter. Хуже того, хакеры, создавшие малварь и стоявшие за изначальной вредоносной кампанией, тоже могут попытаться восстановить контроль над зараженными устройствами в любой момент.
