Trend Micro предупреждает, что малварь VPNFilter, обнаруженная в 2018 году, до сих пор можно найти на устройствах компаний по всему миру.  Несколько лет назад эта малварь инфицировала как минимум полмиллиона роутеров и NAS производства Asus, Linksys, MikroTik, Huawei, TP-Link, Ubiquiti, NETGEAR, UPVEL и ZTE в 54 странах мира.

Еще тогда специалисты отмечали сходство VPNFilter с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. Из-за этого представители ФБР и Министерства юстиции США заявили, что VPNFilter — разработка российских правительственных хакеров.

Прошло больше двух лет, и аналитики попытались определить, представляет ли ботнет угрозу сейчас. Для этого исследователи Trend Micro обратились за помощью к коллегам из Shadowserver Foundation, которые в сотрудничают с Cisco Talos, ФБР и Министерством юстиции США, и осуществили sinkhole домена toknowall[.]com, откуда VPNFilter получал адреса управляющих серверов.

Схема атаки

Выяснилось, что к домену регулярно обращаются 5447 уникальных устройств, то есть они по-прежнему заражены. При этом реальное количество заражений должно быть еще выше, так как этот домен  может быть заблокирован многими компаниями на уровне DNS.

Обращения к toknowall[.]com
Также исследователи проверили, можно ли передать новый IP-адрес зараженным устройствам, чтобы понять, сколько из них ожидают получения пейлоадов второго уровня. Для этого был создан и отправлен специальный пакет, который позволил определить, что 1801 сеть ответила на него, тогда как еще 363 сети попытались связаться с sinkhole-сервером через порт TCP 443.

«Хотя только 363 сети подключились к нашему sinkhole’у, мы не можем утверждать, что 1801 сеть, давшая первоначальный положительный ответ, является чистой. Они тоже могут быть заражены VPNFilter, но подключение к нашему sinkhole’у могло быть заблокировано, если они находились за брандмауэром», — пишут эксперты.

В Trend Micro предупреждают, что эти сети могут быть легко захвачены любым злоумышленником, понимающим механизм работы VPNFilter. Хуже того, хакеры, создавшие малварь и стоявшие за изначальной вредоносной кампанией, тоже могут попытаться восстановить контроль над зараженными устройствами в любой момент.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии