VPNФильтр

VPNFilter — это вредоносное ПО , предназначенное для заражения маршрутизаторов и некоторых сетевых устройств хранения данных. По оценкам, по состоянию на 24 мая 2018 года им было заражено около 500 000 маршрутизаторов по всему миру, хотя количество устройств, подверженных риску, больше. ^[1] Он может красть данные, содержит «выключатель», предназначенный для отключения зараженного маршрутизатора по команде, и способен сохраняться, даже если пользователь перезагрузит маршрутизатор. ^[2] ФБР считает , что его создала российская группа Fancy Bear . ^[3]^[4] В феврале 2022 года CISA объявило, что новое вредоносное ПО под названием Cyclops Blink, созданное Sandworm, заменило VPNFilter. ^[5]

Операция

VPNFilter — это вредоносное ПО, заражающее различные типы сетевых маршрутизаторов и устройств хранения данных. Похоже, что он частично предназначен для устройств с последовательным сетевым интерфейсом, использующих протокол Modbus для связи и управления промышленным оборудованием, например, на заводах и складах. Вредоносная программа имеет специальный код, предназначенный для целевых систем управления, использующих SCADA . ^[6]

Первоначальный вектор заражения пока неизвестен. Группа безопасности Cisco Talos предполагает, что вредоносное ПО использует известные уязвимости безопасности маршрутизатора для заражения устройств. ^[7]

Это программное обеспечение устанавливается в несколько этапов:

На первом этапе используется червь , который добавляет код в crontab устройства (список задач, которые регулярно выполняются планировщиком cron в Linux). Это позволяет ему оставаться на устройстве после перезагрузки и повторно заражать его на последующих этапах в случае их удаления. На этапе 1 используются известные URL-адреса для поиска и установки вредоносного ПО этапа 2. Если эти известные URL-адреса отключены, этап 1 устанавливает на устройстве прослушиватель сокетов и ожидает обращения к системам управления и контроля. ^[8]
Этап 2 — это тело вредоносного ПО, включающее базовый код, который выполняет все обычные функции и любые инструкции, запрашиваемые специальными дополнительными модулями Этапа 3.
Этап 3 может представлять собой любой из различных «модулей», которые приказывают вредоносному ПО выполнять определенные действия, например перехват сетевых данных, сбор учетных данных, работу в качестве точки ретрансляции для сокрытия источника последующих атак или сбор данных на устройствах промышленного управления (Modbus SCADA). ). Любые украденные данные затем могут быть зашифрованы через сеть Tor . ^[6]

смягчение последствий

И Cisco , и Symantec предлагают владельцам затронутых устройств выполнить сброс настроек до заводских настроек . Обычно это достигается путем нажатия небольшим заостренным предметом, например выпрямленной скрепки, на небольшую кнопку сброса на задней панели устройства на 10–30 секунд (время зависит от модели). Это удалит вредоносное ПО, а также восстановит все исходные настройки маршрутизатора. Если на маршрутизаторе включено удаленное управление, сброс настроек к заводским настройкам часто отключает его (настройка по умолчанию для многих маршрутизаторов). Считается, что удаленное управление является одним из возможных векторов первоначальной атаки.

Прежде чем снова подключить маршрутизатор с восстановленными заводскими настройками к Интернету, следует изменить пароли устройства по умолчанию, чтобы предотвратить повторное заражение. ^[9]

Устройства под угрозой

Первоначальный червь, устанавливающий VPNFilter, может атаковать только устройства со встроенной прошивкой на основе Busybox в Linux, скомпилированной только для определенных процессоров. Сюда не входят устройства без встроенного Linux, такие как рабочие станции и серверы. ^[10]

Известно, что встроенное ПО, предоставленное производителем на следующих моделях маршрутизаторов, находится под угрозой: ^[11]^[8]

Асус: РТ-AX92U; РТ-AC66U; РТ-Н10; РТ-Н10Э; РТ-Н10У; РТ-Н56У; РТ-Н66У
Д-Линк: ДЕС-1210-08П; ДИР-300; ДИР-300А; ДСР-250Н; ДСР-500Н; ДСР-1000; ДСР-1000Н
Хуавей: HG8245
Линксис: Е1200; Е2500; Е3000; Е3200; Е4200; РВ082; ВРВС4400Н
Микротик: CCR1009; CCR1016; CCR1036; CCR1072; CRS109; CRS112; CRS125; РБ411; РБ450; РБ750; РБ911; РБ921; РБ941; РБ951; РБ952; РБ960; РБ962; РБ1100; РБ1200; РБ2011; РБ3011; РБ Грув; РБ Омнитик; STX5; Mikrotik RouterOS версии до 6.38.5 в текущей версии или до 6.37.5 в цепочках исправлений ошибок ^[12]
Netgear: ДГ834; ДГН1000; ДГН2200; ДГН3500; ФВС318Н; МБРН3000; 6400 рэндов; 7000 рэндов; 8000 рэндов; ВНР1000; ВНР2000; ВНР2200; ВНР4000; ВНДР3700; ВНДР4000; ВНДР4300; WNDR4300-TN; УТМ50
КНАП: ТС251; TS439 Про; Другие устройства QNAP NAS с программным обеспечением QTS
ТП-Линк: Р600ВПН; TL-WR741ND; TL-WR841N
Вездесущность: НСМ2; ПБЭ М5
Апвел: Неизвестные модели ^{[номер 1]}
ЗТЕ: ЗХХН Х108Н

Эпидемиология

По данным Cisco Talos, VPNFilter заразил около 500 000 устройств по всему миру. ^[10] возможно, в 54 различных странах, хотя пропорциональное внимание было сосредоточено на Украине .

расследование ФБР

ФБР взяло на себя заметную роль в борьбе с этим вредоносным ПО, проведя расследование, в результате которого было конфисковано доменное имя toknowall.com, которое якобы использовалось для перенаправления запросов с первой стадии вредоносного ПО, что позволило ему обнаружить и установить копии 2 и 3 этапов. ^[4] Министерство юстиции США также обязало сайт Photobucket отключить известные URL-адреса, используемые для распространения вредоносного ПО Stage 2. ^[7]^[13]

Примечания

^ Обнаружено вредоносное ПО, нацеленное на Upvel как поставщика, но мы ^{[ ВОЗ? ]} не могут определить, на какое конкретное устройство оно нацелено.

Ссылки

^ «Обновление VPNFilter и итоги нашего первого саммита» . Cisco Талос Интеллект . 21 июня 2018 г. Проверено 26 июня 2018 г.
^ «Государственное вредоносное ПО VPNFilter представляет смертельную угрозу для маршрутизаторов» . СлэшГир . 24 мая 2018 г. Проверено 31 мая 2018 г.
^ Jump up to: ^а ^б Кевин Поулсен (23 мая 2018 г.). «Эксклюзив: ФБР захватило контроль над российским ботнетом» . Ежедневный зверь .
^ Jump up to: ^а ^б ФБР всем пользователям маршрутизаторов: перезагрузитесь сейчас, чтобы обезвредить российскую вредоносную программу VPNFilter
^ «Новая вредоносная программа Sandworm Cyclops Blink заменяет VPNFilter | CISA» . www.cisa.gov . Проверено 27 июня 2022 г.
^ Jump up to: ^а ^б VPNFilter: новое вредоносное ПО для маршрутизаторов с разрушительными возможностями
^ Jump up to: ^а ^б ^с «VPNFilter, история без фильтров» . Талос . 29 мая 2018 г. Проверено 26 июня 2018 г.
^ Jump up to: ^а ^б Уильям Ларджент (6 июня 2018 г.). «Обновление VPNFilter — VPNFilter использует конечные точки и нацелен на новые устройства» .
^ «Рекомендации по безопасности для вредоносного ПО VPNFilter на некоторых устройствах NETGEAR» . Нетгир . 06.06.2018 . Проверено 26 июня 2018 г.
^ Jump up to: ^а ^б «Хакеры заразили 500 000 потребительских маршрутизаторов по всему миру вредоносным ПО» . Арс Техника . Проверено 31 мая 2018 г.
^ «VPNFilter: новое вредоносное ПО для маршрутизаторов с разрушительными возможностями» . Проверено 31 мая 2018 г.
^ «Официальное заявление VPNfilter — MikroTik» . forum.mikrotik.com . Проверено 31 мая 2018 г.
^ «АФФИДАВИТ В ПОДДЕРЖКУ ЗАЯВЛЕНИЯ НА ВЫДАЧУ ОРДЕРА НА АРЕЗ» . 22 мая 2018 г.
^ Jump up to: ^а ^б «ИНОСТРАННЫЕ КИБЕРАКТОРЫ НАСТРАИВАЮТСЯ НА ДОМАШНИЕ И ОФИСНЫЕ МАРШРУТЫ И СЕТЕВЫЕ УСТРОЙСТВА ПО ВСЕМ МИРУ» . 25 мая 2018 г.
^ Дэн Гудин (25 мая 2018 г.). «ФБР просит пользователей маршрутизаторов перезагрузиться сейчас, чтобы уничтожить вредоносное ПО, заразившее 500 тысяч устройств» . Арс Техника .
^ Дэн Гудин (24 мая 2018 г.). «Хакеры заразили 500 000 потребительских маршрутизаторов по всему миру вредоносным ПО» . Арс Техника .

См. также

Циклоп Блинк

[13] Обнаружено вредоносное ПО, нацеленное на Upvel как поставщика, но мы ^{[ ВОЗ? ]} не могут определить, на какое конкретное устройство оно нацелено.

[Talos-update-1] «Обновление VPNFilter и итоги нашего первого саммита» . Cisco Талос Интеллект . 21 июня 2018 г. Проверено 26 июня 2018 г.

[:1-2] «Государственное вредоносное ПО VPNFilter представляет смертельную угрозу для маршрутизаторов» . СлэшГир . 24 мая 2018 г. Проверено 31 мая 2018 г.

[beast-3] Jump up to: ^а ^б Кевин Поулсен (23 мая 2018 г.). «Эксклюзив: ФБР захватило контроль над российским ботнетом» . Ежедневный зверь .

[zdnet-4] Jump up to: ^а ^б ФБР всем пользователям маршрутизаторов: перезагрузитесь сейчас, чтобы обезвредить российскую вредоносную программу VPNFilter

[5] «Новая вредоносная программа Sandworm Cyclops Blink заменяет VPNFilter | CISA» . www.cisa.gov . Проверено 27 июня 2022 г.

[symantec-6] Jump up to: ^а ^б VPNFilter: новое вредоносное ПО для маршрутизаторов с разрушительными возможностями

[Talos-initial-7] Jump up to: ^а ^б ^с «VPNFilter, история без фильтров» . Талос . 29 мая 2018 г. Проверено 26 июня 2018 г.

[:7-8] Jump up to: ^а ^б Уильям Ларджент (6 июня 2018 г.). «Обновление VPNFilter — VPNFilter использует конечные точки и нацелен на новые устройства» .

[Netgear-9] «Рекомендации по безопасности для вредоносного ПО VPNFilter на некоторых устройствах NETGEAR» . Нетгир . 06.06.2018 . Проверено 26 июня 2018 г.

[ars-10] Jump up to: ^а ^б «Хакеры заразили 500 000 потребительских маршрутизаторов по всему миру вредоносным ПО» . Арс Техника . Проверено 31 мая 2018 г.

[11] «VPNFilter: новое вредоносное ПО для маршрутизаторов с разрушительными возможностями» . Проверено 31 мая 2018 г.

[12] «Официальное заявление VPNfilter — MikroTik» . forum.mikrotik.com . Проверено 31 мая 2018 г.

[seizure-14] «АФФИДАВИТ В ПОДДЕРЖКУ ЗАЯВЛЕНИЯ НА ВЫДАЧУ ОРДЕРА НА АРЕЗ» . 22 мая 2018 г.

[FBI-15] Jump up to: ^а ^б «ИНОСТРАННЫЕ КИБЕРАКТОРЫ НАСТРАИВАЮТСЯ НА ДОМАШНИЕ И ОФИСНЫЕ МАРШРУТЫ И СЕТЕВЫЕ УСТРОЙСТВА ПО ВСЕМ МИРУ» . 25 мая 2018 г.

[16] Дэн Гудин (25 мая 2018 г.). «ФБР просит пользователей маршрутизаторов перезагрузиться сейчас, чтобы уничтожить вредоносное ПО, заразившее 500 тысяч устройств» . Арс Техника .

[17] Дэн Гудин (24 мая 2018 г.). «Хакеры заразили 500 000 потребительских маршрутизаторов по всему миру вредоносным ПО» . Арс Техника .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[номер 1]

[13]

[14]

[15]

[16]