Вірус VPNFilter здатний перехоплювати дані, що йдуть через мережеве обладнання, і виводити обладнання з ладу.
Вірус VPNFilter здатний перехоплювати дані, що йдуть через мережеве обладнання, і виводити обладнання з ладу.
Троян VPNFilter заразив 500 тис. роутерів у 54 країнах світу
Експерти з безпеки з тривогою спостерігають за зростаючою епідемією шкідливої програми VPNFilter, яка встигла за відносно короткий термін заразити не менше 500 тис. роутерів та інших мережевих пристроїв у 54 країнах світу. Найбільше заражень спостерігається на території України.
У повідомленні ІБ-компанії Talos сказано, що в першу чергу під загрозою опинилися роутери та носії мережного обладнання таких виробників, як Linksys, MikroTik, Netgear, QNAP та TP-Link, призначених для дому та офісу.
Вірус, на думку фірми, небезпечний насамперед тим, що «дозволяє викрадати облікові дані сайтів та вести моніторинг протоколів Modbus SCADA». Іншими словами, цей вірус цілить насамперед критичну інфраструктуру. Експерти Talos також зазначають, що не змогли поки що повністю вивчити вірус і не знайшли поки що способу нейтралізувати цей шкідливість, теоретично «здатний блокувати доступ в інтернет для сотень тисяч» користувачів. Передчасну публікацію експерти пояснили зростаючими темпами заражень саме на території України.
Talos зазначає також, що шкідливість містить деяку кількість коду, що «пересікається» з кодом шкідливих програм, використаних у контексті APT-кампанії BlackEnergy.
Що відомо зараз
Talos відзначили такі характеристики шкідливої програми VPNFilter. Троян має модульну багатокомпонентну структуру. Модуль «першого етапу» забезпечує стійку присутність у зараженому пристрої. Шкідливість здатна "переживати" перезавантаження пристрою, на відміну від багатьох інших аналогічних програм.
Проте видалити VPNFilter можна, скинувши пристрій до заводських налаштувань, який рекомендується зробити всім власникам названих роутерів. Після скидання потрібно оновити прошивку, змінити пароль та обмежити протоколи віддаленого керування пристроєм.
Стійкий C&C-механізм, велика кількість командних серверів страхує від несподіваних змін у командній інфраструктурі. Модулі «другого етапу» здатні робити висновок даних, перехоплення файлів, локальне виконання команд від операторів шкідливих даних, а також «вбивати» прошивку пристрою, роблячи його непрацездатним.
Модулі другого етапу знищуються при перезавантаженні пристрою. Модулі «третього етапу» є плагінами для компонентів другого етапу, що розширюють їх функціональність. На даний момент відомі аналізатор трафіку, здатний перехоплювати реквізити доступу на різні сайти та монітор протоколів Modbus SCADA.
Кампанія з розповсюдження VPNFilter почалася не раніше 2016 р. Способи зараження пристроїв точно поки не відомі, але, за припущенням експертів, в першу чергу жертвами стають мережні пристрої, що давно не оновлювалися, з прошивками, що рясніють невиправленими вразливістю.
Безпека роутерів - стара та стійка проблема
В останні роки кількість шкідливих програм, що атакують саме мережеве обладнання, а не кінцеві пристрої, стійко зростає.
Як правило, ці пристрої один раз налаштовують і забувають про їхнє існування, даремно, що через них йде весь трафік. Цим і користуються зловмисники. Самі користувачі дуже часто ігнорують базові вимоги до безпеки роутерів, залишаючи заводські логіни та паролі. У таких випадках навіть будь-які експлойти не потрібні, щоб перехопити контроль над пристроєм. За наявності аналізатора трафіку зловмисники можуть фактично бачити всі дані, що йдуть через роутер.
Наразі, за заявою Talos, від загрози дуже важко захиститися. Насамперед тому, що роутери вкрай рідко оснащуються власними засобами захисту, тому вони абсолютно відкриті перед будь-якими кібератаками.
«Проблема ускладнюється тим, що більшість пристроїв, що знаходяться під загрозою, сьогодні мають уразливості, які широко відомі, але які при цьому складно виправити середньостатистичного користувача», - зазначають експерти.
У подібних випадках залишається покладатися тільки на те, що виробники пристроїв оперативно випустять виправлення для прошивок, та на зовнішні інструменти перевірки мережевих пристроїв. Наприклад, IoT Inspector - автоматичний сканер апаратно-програмного забезпечення - дозволяє аналізувати програмні оболонки безлічі IoT-пристроїв, включаючи роутери, принтери і т.д., на предмет вразливостей, що є в них.
Для роутерів, чиї прошивки можуть не оновлюватися роками, подібні сканери можуть стати необхідною страховкою від подібних інцидентів.
У свою чергу Talos вже опублікував великий список Snort-сигнатур для відомих уразливостей, які експлуатуються VPNFilter. Цей список навряд чи є повним, враховуючи, що дослідження VPNFilter не закінчено, але навіть він може допомогти запобігти зараженню користувачам уразливих роутерів.
