Дослідники безпеки з Cisco Talos опублікували інформацію про шкідливе програмне забезпечення VPNFilter

Дослідники безпеки з команди Cisco Talos опублікували докладну інформацію про шкідливе програмне забезпечення VPNFilter, що заразило понад 500 тис. маршрутизаторів у щонайменше 54 країнах, дозволивши зловмисникам шпигувати за користувачами, а також здійснювати кібератаки.

Як вважалося спочатку, шкідливе ПЗ націлене на маршрутизатори та мережеве обладнання від виробників Linksys, MikroTik, NETGEAR і TP-Link, проте глибший аналіз показав, що VPNFilter також здатне інфікувати пристрої виробництва ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL та ZTE.

Для компрометації пристроїв шкідливе програмне забезпечення експлуатує відомі вразливості, а також використовує облікові дані за умовчанням.

Окрім цього, дослідники розкрили технічні подробиці про модуль під назвою ssler, який є вдосконаленим мережевим сніффером, що дозволяє хакерам перехоплювати мережевий трафік і доставляти шкідливе корисне навантаження шляхом здійснення атаки «людина посередині» (Man in the Middle). >

«Модуль Ssler надає можливості з розширення даних та можливості вбудовування JavaScript, перехоплюючи весь трафік, що входить через порт 80», - пояснили фахівці.

Цей модуль також дозволяє зловмисному ПЗ підтримувати постійну присутність навіть після перезавантаження пристрою.

Крім того, VPNFilter також має деструктивний функціонал (модуль dstr), дозволяючи вивести заражений пристрій з ладу шляхом видалення файлів, необхідних для нормальної роботи.

Як повідомили експерти, незважаючи на відключення співробітниками ФБР головного C&C-сервера VPNFilter, ботнет, як і раніше, залишається активним завдяки його універсальному багатоступеневому дизайну. Згідно з отриманими даними, простого перезавантаження пристрою недостатньо, оскільки програма здатна заново встановити шкідливі модулі на маршрутизаторі. У ряді випадків може допомогти оновлення прошивки пристрою.