Edcomp.ru

Советы по настройке и оптимизации компьютера
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

VPNFilter – причины и методы удаления вируса

VPNFilter – причины и методы удаления вируса

Новая вредоносная программа, известная как MicroTic VPNFilter, недавно идентифицированная Cisco Talos Intelligence Group, уже заразила более 500 000 маршрутизаторов и сетевых устройств хранения данных (NAS), многие из которых находятся в распоряжении малых предприятий и офисов. То, что делает этот вирус особенно опасным, – у него есть так называемая «постоянная» способность к нанесению вреда, а это означает, что он не исчезнет только потому, что маршрутизатор будет перезагружен.

Как справиться с вирусом VPNFilter

Как удалить вирусное ПО — VPNFilter.

Что такое VPNFilter

Согласно Symantec, «данные из приманок и сенсоров Symantec показывают, что в отличие от других угроз IoT, вирус VPNFilter, похоже, не сканирует и без разбора пытается заразить все уязвимые устройства по всему миру». Это означает, что существует определённая стратегия и цель заражения. В качестве потенциальных целей Symantec определила устройства от Linksys, MikroTik, Netgear, TP-Link и QNAP.

Итак, как устройства заразились? Это недостатки в программном или аппаратном обеспечении, которые создают своего рода бэкдор, через который злоумышленник может нарушить работу устройства. Хакеры используют стандартные имена и пароли по умолчанию для заражения устройств или получения доступа через известные уязвимости, которые должны были быть исправлены с помощью регулярных обновлений программного обеспечения или прошивки. Это тот же самый механизм, который привёл к массовым нарушениям от Equifax в прошлом году, и это, пожалуй, самый большой источник кибер-уязвимости!

Также неясно, кто эти хакеры и каковы их намерения. Есть предположение, что планируется масштабная атака, которая сделает заражённые устройства бесполезными. Угроза настолько обширна, что недавно Министерство юстиции и ФБР объявили, что суд вынес решение о конфискации устройств, подозреваемых во взломе. Решение суда поможет выявить устройства-жертвы, нарушит способность хакеров похищать личную и другую конфиденциальную информацию и осуществлять подрывные кибератаки троян VPNFilter.

Как работает вирус

VPNFIlter используется очень сложный двухступенчатый метод заражения, целью которого является ваш компьютер, чтобы стать жертвой сбора разведывательных данных и даже операции дескрипции. Первый этап работы вируса включает перезагрузку вашего маршрутизатора или концентратора. Поскольку вредоносное ПО VPNFilter нацелено в первую очередь на маршрутизаторы, а также на другие устройства, связанные с Интернетом, так же как и вредоносное ПО Mirai, это может произойти в результате автоматической атаки бот-сети, которая не реализована в результате успешной компрометации центральных серверов. Инфекция происходит с помощью эксплойта, который вызывает перезагрузку смарт-устройства. Основная цель этого этапа – получить частичный контроль и включить развёртывание этапа 2 после завершения процесса перезагрузки. Фазы этапа 1 следующие:

  1. Загружает фотографию из Photobucket.
  2. Запускаются эксплойты, а для вызова IP-адресов используются метаданные.
  3. Вирус подключается к серверу и загружает вредоносную программу, после которой автоматически её выполняет.

Заражение VPNFilter через роутер

Как сообщают исследователи, в качестве отдельных URL-адресов с первым этапом заражения являются библиотеки поддельных пользователей фотообъектов:

  • com/user/nikkireed11/library
  • com/user/kmila302/library
  • com/user/lisabraun87/library
  • com/user/eva_green1/library
  • com/user/monicabelci4/library
  • com/user/katyperry45/library
  • com/user/saragray1/library
  • com/user/millerfred/library
  • com/user/jeniferaniston1/library
  • com/user/amandaseyfried1/library
  • com/user/suwe8/library
  • com/user/bob7301/library

Как только запускается вторая стадия заражения, фактические возможности вредоносного ПО VPNFilter становятся более обширными. Они включают использование вируса в следующих действиях:

  • Подключается к серверу C&C.
  • Выполняет Tor, P.S. и другие плагины.
  • Выполняет вредоносные действия, которые включают сбор данных, выполнение команд, кражу файлов, управление устройствами.
  • Способно выполнять деятельность по самоуничтожению.

Как работает VPNFilter

Связанные со вторым этапом заражения IP-адреса:

  • 121.109.209
  • 12.202.40
  • 242.222.68
  • 118.242.124
  • 151.209.33
  • 79.179.14
  • 214.203.144
  • 211.198.231
  • 154.180.60
  • 149.250.54
  • 200.13.76
  • 185.80.82
  • 210.180.229

В дополнение к этим двум этапам исследователи кибербезопасности в Cisco Talos также сообщили о сервере 3-го этапа, цель которого до сих пор остаётся неизвестной.

Исследование кибербезопасности в Cisco Talos

Уязвимые роутеры

Не каждый маршрутизатор может пострадать от VPNFilter. Symantec подробно описывает, какие маршрутизаторы уязвимы. На сегодняшний день VPNFilter способен заражать маршрутизаторы Linksys, MikroTik, Netgear и TP-Link, а также устройств с подключением к сети (NAS) QNAP. К ним относятся:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik Router (для маршрутизаторов с облачным ядром версии 1016, 1036 и 1072)
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Другие устройства NAS QNAP с программным обеспечением QTS
  • TP-Link R600VPN

Если у вас есть какое-либо из вышеперечисленных устройств, проверьте страницу поддержки вашего производителя на наличие обновлений и советы об удалении VPNFilter. У большинства производителей уже есть обновление прошивки, которое должно полностью защитить вас от векторов атаки VPNFilter.

Уязвимые роутеры

Как определить, что роутер заражён

Определить степень заражения роутера невозможно даже с помощью антивируса Касперского. Айтишники всех ведущих мировых компаний пока не решили эту проблему. Единственные рекомендации, которые они пока могут предложить – это сброс устройства до заводских настроек.

Поможет ли перезагрузка роутера избавиться от заражения VPNFilter

Перезагрузка роутера поможет предотвратить развитие вируса только первых двух этапов. В нём всё ещё останутся следы вредоносного ПО, которое будет постепенно заражать роутер. Решить проблему поможет сброс устройства до заводских настроек.

Как удалить VPNFilter и защитить свой роутер или NAS

В соответствии с рекомендациями Symantec, необходимо перезагрузить устройство, а затем немедленно применить любые действия, необходимые для обновления и перепрошивки. Это звучит просто, но, опять же, отсутствие постоянного обновления программного обеспечения и прошивки является самой распространённой причиной кибератак. Netgear также советует пользователям своих устройств отключать любые возможности удалённого управления. Linksys рекомендует перезагружать его устройства хотя бы раз в несколько дней.

Читайте так же:
Microsoft Teams – современный бизнес-менеджер и удобное рабочее пространство

Простая очистка и сброс вашего маршрутизатора не всегда полностью избавляет от проблемы, поскольку вредоносное ПО может представлять собой сложную угрозу, что может глубоко поражать объекты прошивки вашего маршрутизатора. Вот почему первый шаг – проверить, была ли ваша сеть подвергнута риску этой вредоносной программы. Исследователи Cisco настоятельно рекомендуют это сделать, выполнив следующие шаги:

  1. Создайте новую группу хостов с именем «VPNFilter C2» и сделайте её находящейся под внешними хостами через Java UI.
  2. После этого подтвердите, что группа обменивается данными, проверив «контакты» самой группы на вашем устройстве.
  3. Если нет активного трафика, исследователи советуют сетевым администраторам создать тип сигнала отключения, который путём создания события и выбора хоста в веб-интерфейсе пользователя уведомляет, как только происходит трафик в группе хостов.

Прямо сейчас вы должны перезагрузить маршрутизатор. Для этого просто отключите его от источника питания на 30 секунд, затем подключите обратно.

Отключить питание роутера

Следующим шагом будет сброс настроек вашего маршрутизатора. Информацию о том, как это сделать, вы найдёте в руководстве в коробке или на веб-сайте производителя. Когда вы снова загрузите свой маршрутизатор, вам нужно убедиться, что его версия прошивки является последней. Опять же обратитесь к документации, прилагаемой к маршрутизатору, чтобы узнать, как его обновить.

Никогда не пользуйтесь интернетом без сильного брандмауэра. В группе риска FTP-серверы, NAS-серверы, Plex-серверы. Никогда не оставляйте удалённое администрирование включённым. Это может быть удобно, если вы часто находитесь далеко от своей сети, но это потенциальная уязвимость, которую может использовать каждый хакер. Всегда будьте в курсе последних событий. Это означает, что вы должны регулярно проверять новую прошивку и переустанавливать её по мере выхода обновлений.

Нужно ли сбрасывать настройки роутера, если моё устройство отсутствует в списке

База данных роутеров в группе риска обновляется ежедневно, поэтому сброс роутера необходимо выполнять регулярно. Как и проверять обновления прошивки на сайте производителя и следить за его блогом или сообщениями в соцсетях.

Инструкция: как защитить свой роутер от VPNFilter

ФБР выпустила ряд рекомендаций для владельцев маршрутизаторов с целью нарушения работы вредоносной программы. Пользователям рекомендуется перезагрузить маршрутизатор, отключить удаленное администрирование, изменить пароль и установить новейшую прошивку. Однако один из шагов не был упомянут агентством — чтобы полностью удалить VPNFilter, нужно выполнить сброс роутера к заводским настройкам.

В данном руководстве собраны все необходимые действия для удаления угрозы и защиты вашего маршрутизатора.

Что такое VPNFilter?

VPNFilter — вредоносная программа, которая нацелена на маршрутизаторы и сетевые хранилища NAS и предназначена для кражи файлов, информации и “прослушивания” сетевого трафика при его прохождении через устройство. Когда вредоносная программа заражает сетевое устройство, она состоит из трех различный модулей, каждый из которых выполняют свои собственные задачи.

  • Модуль 1 устанавливается первым и позволяет вредоносной программе оставаться на устройстве даже после перезагрузки маршрутизатора.
  • Модуль 2 позволяет злоумышленникам выполнять команды и выполнять кражу данных. Данный модуль также обладает способность к саморазрушению и может нарушать работоспособность роутера и сетевого подключения.
  • Модуль 3 состоит из различных плагинов, которые могут быть установлены во вредоносную программу и предназначены для выполнения определенных задач: прослушивание соединения, мониторинг связи SCADA и передача данных через сеть TOR.

После перезагрузки роутера запускается только первый модуль, а второй и третий модули не выполняются.

Именно по этой причине ФБР предложило перезагрузить роутер. В этом случае можно деактивировать модули 2 и 3 и позволить агентству получить список зараженных устройств и типов уязвимых маршрутизаторов.

Уязвимые роутеры

Согласно отчетам Cisco и Symantec, VPNFilter был обнаружен на следующих устройствах:

Asus

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N56U
  • RT-N66U

D-Link

  • DES-1210-08P
  • DIR-300
  • DIR-300A
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

Huawei

  • HG8245

Linksys

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

Mikrotik (исправлено в RouterOS version 6.38.5)

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  • RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5

Netgear

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

QNAP

  • TS251
  • TS439 Pro
  • Other QNAP NAS devices running QTS software

TP-Link

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

Ubiquiti

  • NSM2
  • PBE M5

UPVEL

  • Неизвестные модели

ZTE Devices:

  • ZXHN H108N

Данный список может быть не полным. Пользователи маршрутизаторов других производителей также могут выполнить рекомендации ниже, чтобы защитить свои устройства от ботнета.

Как определить, что роутер заражен

К сожалению, на данный момент не существует простого способа обнаружения VPNFilter на устройстве.

Компания Symantec предлагает бесплатный онлайн инструмент VPNFilter Check для выполнения быстрой проверки роутера на заражение VPNFilter. Онлайн инструмент проверяет, было ли ваше устройство скомпрометировано компонентом VPNFilter, известным как плагин ssler. Если ваш роутер не заражен плагином ssler, он все еще может быть скомпрометирован другими угрозами или компонентами VPNFilter.

Если вы обеспокоены или подозреваете, что ваш маршрутизатор заражен VPNFilter, вы должны выполнить приведенные ниже рекомендации.

Поможет ли перезагрузка роутер избавиться от заражения VPNFilter?

Если отвечать коротко, то нет. Перезагрузка маршрутизатора приведет к выгрузке компонентов модуля 2 и 3, но модуль 1 снова запуститься после перезагрузки. Поэтому, пока большинство вредоносных компонентов будут отключены, VPNFilter все равно будет присутствовать на вашем устройстве.

Единственный действенный способ полностью удалить вредоносную программу — сбросить маршрутизатор до заводских настроек. Во время выполнения данной операции роутер будет перезагружен. К сожалению, в этом случае вам потребуется снова настроить маршрутизатор, добавить пароль администратора и настроить беспроводные сети.

Читайте так же:
5 отличий онлайн в Одноклассниках ответы на все уровни

Ниже перечислены полные шаги, которые необходимо предпринять для удаления VPNFilter и защиты вашего маршрутизатора.

Как удалить VPNFilter и защитить свой роутер или NAS

Чтобы полностью удалить VPNFilter и защитить свой роутер от повторного заражения, выполните следующие действия:

  1. Восстановите заводские настройки устройства: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti
  2. Установите обновление прошивки: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti
  3. Измените стандартный пароль администратора: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti
  4. Отключите удаленное администрирование: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti

Примечание: ссылки для Linksys и Netgear ведут на инструкции по включению удаленного администрирования. Ссылки приведены, чтобы можно было проверить статус данной функциональности. Обычно удаленное администрирование по умолчанию отключено.

Рекомендации от производителей роутеров по VPNFilter доступны по следующим ссылкам: Linksys * MikroTik* Netgear * QNAP * TP-Link

Хотя данные шаги удалят VPNFilter и защищают от других известных угроз, они не могут защитить устройство навсегда. По мере обнаружения новых эксплойтов, ваши роутеры могут стать уязвимы снова.

Именно поэтому очень важно проверять обновления прошивки и устанавливать их по мере выхода.

Нужно ли сбрасывать настройки роутера, если мое устройство отсутствует в списке?

Это сложный вопрос. С одной стороны, всегда лучше выполнить профилактические меры, чем столкнуться с реальным ущербом. С другой стороны, у некоторых пользователей могут возникнуть сложности при настройке маршрутизатора с нуля.

Если вы чувствуете уверенность в своих силах, то выполните данные шаги. Обновленная прошивка и другие рекомендации безопасности только усилят защиту вашего устройства.

Вирус VPNFilter: описание, возможности, список уязвимых устройств

Вирус VPNFilter: описание ботнета

Усовершенствованный ботнет VPNFilter, который уже поработил более 500 000 маршрутизаторов и NAS-устройств по всему миру, оказался намного опаснее, чем предполагали эксперты. Оказалось, что вирус обладает дополнительной функциональностью, которая позволяет ему привести захваченные устройства в нерабочее состояние, заражать любые подключенные оконечные устройства (ПК/телефоны) и воровать учетные данные пользователей даже при использовании безопасного https соединения.

Новый список устройств, уязвимых к вредоносному программному обеспечению VPNFilter, содержит на данный момент уже более 50 моделей роутеров и продуктов NAS (Network attached storage – сетевая система для хранения данных на файловом уровне), и, как отмечают исследователи, он, вероятнее всего, все еще не является полным. К примеру, один из обнаруженных образцов вредоносного программного обеспечения VPNFilter был явно нацелен на устройства компании UPVEL, но пока не удалось точно идентифицировать, какие именно модели этого поставщика являются уязвимыми к вирусу VPNFilter.

Огромное количество устройств, на которые нацелено вредоносное ПО, явно указывает на трудоемкую и слаженную работу по разработке и тестированию, которую проделали создатели вредоносного программного обеспечения и ботнета VPNFilter. Ведь основная цель атаки злоумышленников — экосистема роутеров для дома и малых офисов — имеет невероятное разнообразие. И, хотя большинство прошивок маршрутизаторов основаны на Linux, существуют огромные различия между разными версиями ПО этого типа, и не только между разными решениями от разных производителей, но и даже между разными моделями устройств из одной линейки продуктов того же производителя.

Кроме учета этих различий при создании своего вредоносного программного обеспечения, злоумышленники также должны были написать различные вариации под разные архитектуры процессоров и разработать эксплойты, которые бы надежно работали с большим количеством устройств. Добавьте к вышесказанному многоступенчатую модульную структуру вредоносного ПО и его сложный механизм сохранения, и становится очевидным, что ботнет VPNFilter был создан высококвалифицированной группой хакеров, имеющих доступ к большому количеству ресурсов.

Описание вируса

Описание вируса VPNFilter

Впервые детальная информация об этой угрозе появилась 23 мая 2018 года. Так, исследователи из подразделения Cisco Systems Talos в своем предварительном отчете, посвященном этой угрозе (https://blog.talosintelligence.com/2018/05/VPNFilter.html), сообщили о заражении более чем 500 000 роутеров и других устройств сложным вредоносным программным обеспечением. Этот массивный ботнет, согласно оценкам исследователей, состоял из скомпрометированных устройств, расположенных в более чем 54 странах мира, — в основном это определенные модели маршрутизаторов для дома и малого бизнеса от Linksys, MikroTik, Netgear и TP-Link, а также устройств для сетевого хранения данных (NAS) от QNAP (с тех пор, как мы уже отмечали выше, список производителей и моделей значительно расширился).

Данные устройства были заражены многоступенчатой вредоносной программной структурой, которая существует в различных версиях (к примеру, исследователи идентифицировали версии ПО, ориентированные на архитектуры процессоров x86 и MIPS). Кроме того, было обнаружено, что код вредоносного ПО VPNFilter имеет сходство с BlackEnergy, троянской программой, которая была использована для кибератаки на украинские энергосистемы в декабре 2015 года, что позволило исследователям сделать предположение о причастности этой же группы российских хакеров и к вирусу VPNFilter.

Таким образом, VPNFilter — это одна из самых сложных вредоносных программных структур для заражения устройств со встроенной операционной системой, из всех известных на сегодняшний день. Она многоступенчатая, модульная и, в отличие от большинства других вредоносных программ, ориентированных на маршрутизаторы, способна сохранять свою функциональность даже после перегрузки зараженного устройства. Также по желанию злоумышленников это вредоносное ПО может вывести из строя зараженные устройства, сделав их непригодным к эксплуатации в дальнейшем без обращения за профессиональной помощью или использования специализированного инструментария.

«Деструктивная способность особенно примечательна», — отметили исследователи Cisco Talos в предварительном отчете. — «Это показывает, что злоумышленники предпочитают уничтожить устройства пользователей, чтобы скрыть результаты своей деятельности, а не просто стереть следы своей вредоносной программы. Если данная функциональность является частью их планов, то последствия выполнения этой команды могут иметь огромные масштабы: невозможность использования сотен тысяч устройств и, как следствие, блокирование доступа к Интернету для сотен тысяч человек по всему миру. Либо же атака может быть осуществлена на определенный географический регион, если такова будет цель у злоумышленников».

Читайте так же:
Как узнать забытый пароль от вашего роутера

Как происходит заражение?

Как происходит заражение VPNFilter

Хотя точные методы заражения пока не были установлены, исследователи предположили, что злоумышленники, вероятнее всего, использовали эксплойты, ориентированные на общеизвестные проблемы с безопасностью данных устройств, а не уязвимости нулевого дня. После успешной атаки на устройство жертвы, на первом этапе заражения злоумышленники разворачивают скомпилированный пакет для систем на базе ОС семейства Linux с поддержкой набора UNIX-утилит BusyBox. Эта полезная нагрузка первого этапа атаки позволяет изменять значения, хранящиеся в энергонезависимой памяти устройства (Non Volatile Random Access Memory, NVRAM) и добавлять себя в файлы crontab, содержащие инструкции для запуска планировщика заданий в ОС на базе Linux, чтобы закрепиться на этом устройстве.

Затем компонент первого этапа пытается подключиться к Photobucket.com, популярному сервису для хранения мультимедийных файлов, прежде всего картинок и фотографий, для скачивания загруженной туда злоумышленниками определенной фотографии из определенной галереи. EXIF данные (метаданные) этой фотографии содержат IP-адрес сервера загрузки, закодированного как адрес геолокации. (Данная возможность уже заблокирована ФБР со стороны серверов сервиса Photobucket.com).

Если это фото не удалось загрузить, вредоносная программа пытается получить доступ к резервной копии (бэкапу) этого фото для получения IP-адреса сервера загрузки. Если же и эта попытка провалилась, то она начинает слушать эфир в ожидании специального сетевого пакета, созданного злоумышленниками, содержащего IP-адрес сервера.

Таким образом, вредоносная программа имеет встроенную избыточность, чтобы гарантировать злоумышленникам, что они не потеряют контроль над ботнетом и смогут обновлять свою вредоносное программное обеспечение многими способами.

Как только связь с сервером удается установить, полезная нагрузка первого этапа переходит к загрузке более сложного программного компонента второго этапа, который подключается к серверу управления, размещенном в анонимной сети Tor, для получения инструкций. Этот компонент вредоносной программы способен выполнять команды оболочки на зараженном устройстве, перезагружать его, выводить из строя, загружать файлы с сервера, загружать на сервер локальные файлы, активировать устройство как прокси-сервер и многое другое.

Существует также возможность проинструктировать вредоносную программу загружать со сторонних серверов специальные плагины, а также выполнять их, что позволяет злоумышленникам реализовывать дополнительную функциональность. Исследователи из Cisco Systems Talos сообщили о наблюдении двух таких плагинов, но, как они подозревают, их намного больше.

Один из этих плагинов работал как локальный сниффер трафика, извлекая учетные данные и другую информацию из HTTP-соединений, проходящих через маршрутизатор. Он также отслеживал и производил мониторинг трафика по протоколам Modbus SCADA, что позволяет предположить, что одна из целей злоумышленников — определение сетей, связанных с промышленными системами управления.

Возможности и применение VPNFilter

Возможности и применение VPNFilter

Вредоносная программа VPNFilter имеет разнообразное применение, и ее очень сложно заблокировать. Она нацелена на устройства, которые непосредственно подключены к Интернету, не имеют запущенного программного обеспечения безопасности, редко обновляются и имеют известные уязвимости. Данное вредоносное программное обеспечение также использует сложные техники персистенции и управления, которые сложно отследить и пресечь.

Ботнет VPNFilter может быть использован для самых разнообразных целей. Так, злоумышленники могут использовать его, чтобы красть учетные данные пользователей, идентифицировать интересные частные сети и атаковать их изнутри, скрывать следы своей деятельности во время киберопераций против других целей, а также осуществлять DDoS-атаки.

В начале июня 2018 года исследователи Cisco Talos также сообщили том, что им удалось идентифицировать два новых модуля третьего этапа. Один из них может добавлять вредоносный код JavaScript в HTTP-трафик, что позволяет злоумышленникам доставлять эксплойты на компьютеры и телефоны, подключенные к зараженным маршрутизаторам. Другой из обнаруженных модулей может быть использован для стирания файловой системы, что позволяет, одновременно, как удалить с устройства следы вредоносного программного обеспечения, так и вывести это устройство из строя, сделав его не загружаемым.

«Новый модуль позволяет злоумышленникам доставлять эксплойты конечным точкам, используя возможности метода «человек посередине» (Man in the middle). Так, например, злоумышленники могут перехватывать сетевой трафик и внедрять в него вредоносный код без ведома пользователя», — заявили исследователи Talos в своем обновленном отчете, посвященном VPNFilter (https://blog.talosintelligence.com/2018/06/vpnfilter-update.html). — «Это новое наблюдение позволяет нам констатировать, что угроза выходит за рамки определения того, какие возможности появляются у злоумышленников на самом сетевом устройстве, и расширяет зону действия угрозы до уровня сетей, которые поддерживает скомпрометированное сетевое устройство».

Модуль «ssler», который выполняет инъекцию JavaScript, также всегда будет преобразовывать HTTPS-запросы в HTTP, используя методику, известную как SSLstrip, чтобы перехватывать учетные данные из веб-трафика. Но есть несколько доменов, включенных в своеобразный «белый список», соединение с которыми всегда будет осуществляться через HTTPS, куда, в том числе, входят: «www.google.com», «twitter.com», «www.facebook.com» и «www.youtube.com». Это, возможно, было реализовано для того, чтобы избежать массового возникновения ошибок в браузерах, которые пытаются связываться с этими сайтами исключительно через HTTPS из-за встроенных настроек.

«Сейчас стало очевидным, что масштабы этой компании злоумышленников оказались намного большими, чем первоначально предполагалось», — поведал Мунир Хахад (Mounir Hahad), глава Juniper Threat Labs в компании Juniper Networks, через блог компании, — «Возможность заражения конечных точек вводит новую переменную и делает процесс очистки более сложным, чем простая перезагрузка маршрутизатора. Любой эксплойт может быть использован злоумышленниками, управляющими данной угрозой, для атаки на компьютеры, находящимися за зараженным маршрутизатором».

Читайте так же:
Idle Miner Tycoon гайд и коды на купоны

Для людей, чьи модели маршрутизаторов попали в список уязвимых к VPNFilter (представлен ниже), исследователи из Juniper Threat Labs советуют прежде всего выполнить следующие рекомендации для смягчения последствий данной угрозы:

  1. Убедитесь, что у вас установлено новейшее обновление вашего антивирусного программного обеспечения, запущенного на всех конечных точках, связанных с этим маршрутизатором.
  2. Убедитесь, что все ваши программные системы имеют последние патчи безопасности.
  3. Включите двухфакторную аутентификацию для онлайновых учетных записей на всех сервисах, где это поддерживается.

Обновленный список устройств уязвимых к ботнету VPNFilter

Список устройств уязвимых к ботнету VPNFilter

Следующие устройства ASUS, D-LINK, HUAWEI, LINKSYS, MIKROTIK, NETGEAR и других производителей следует в первую очередь проверить на заражение вирусом VPNFilter:

Вирус вредоносного ПО VPNFilter: что это такое и как его удалить

Вирус VPNFilter — это опасная форма вредоносного вируса, который заражает ваш маршрутизатор, обеспечивая передачу всех ваших данных через гнусные источники без вашего ведома. Может быть трудно узнать, пострадали ли вы, но об этом стоит узнать.

VPNFilter в первую очередь влияет на маршрутизаторы, хотя просматриваемые вами сайты приводят к заражению вредоносным ПО. Он затрагивает все операционные системы, а также многие крупные бренды маршрутизаторов, в том числе D-Link, Mikrotik, Hyawei, Linksys, Asus, TP-Link и Netgear.

Что такое вирус VPNFilter?

Вирус VPNFilter представляет собой сложную и опасную форму вредоносного ПО , несмотря на его безобидное звучание.

Он заражает ваши устройства и маршрутизаторы, прежде чем шпионить за трафиком, проходящим между ними, прежде чем потенциально использовать такую ​​информацию по гнусным причинам.

Как работает VPNFilter?

Как уже упоминалось, VPNFilter ориентирован на маршрутизаторы и NAS / сетевые устройства хранения. Ориентируясь на известные недостатки и уязвимости внутри устройства, VPNFilter проникает в вашу сеть таким образом, что его трудно обнаружить, если вы не знаете, что искать.

Заражение вашей сети означает, что весь ваш интернет-трафик проходит через VPNFilter, поэтому преступники могут получить доступ к паролям, данным учетной записи и многому другому.

Важно быстро удалить угрозу, чтобы этого не произошло.

Как я узнаю, что у меня есть вирус VPNFilter?

К сожалению, обнаружить вредоносное ПО VPNFilter нелегко. После имплантации на ваш роутер он работает тихо, не давая никаких признаков того, что это происходит. Единственный потенциальный способ обнаружить проблему — это заметить, что происходит много активности данных, а вы мало что делаете. Это не очень легко заметить, хотя.

Вот почему важно регулярно выполнять сканирование антивирусного программного обеспечения или использовать инструменты обнаружения вредоносных программ, чтобы выявлять любые потенциальные проблемы при просмотре или загрузке файлов на ваш компьютер.

Как я получил вирус VPNFilter?

Вредоносные программы VPNFilter могут поступать из разных источников. Вы можете заразиться через внешние носители, такие как DVD или USB-накопитель. Вы также можете получить его с помощью вредоносной рекламы или всплывающих сообщений, а также путем загрузки незаконных программ, которые поставляются вместе с вредоносной программой.

Как мне избавиться от вируса VPNFilter?

Наиболее эффективный способ избавиться от вредоносного вируса VPNFilter — это использовать антивирусное программное обеспечение , а также приложение для удаления вредоносных программ. Оба могут обнаружить это прежде, чем это фактически заразит Ваш компьютер и маршрутизатор.

Антивирусное программное обеспечение может занять несколько часов, в зависимости от скорости вашего компьютера, но оно также предлагает вам лучшие способы удаления вредоносных файлов.

Также стоит установить инструмент для удаления вредоносных программ, который помогает обнаруживать такие вредоносные программы, как VPNFilter, и удалять их до того, как они вызовут какие-либо проблемы.

Как и антивирусное программное обеспечение, сканирование вредоносных программ может занять много часов в зависимости от размера жесткого диска вашего компьютера, а также его скорости.

В отличие от других вирусов, вам также необходимо удалить вредоносное ПО VPNFilter с вашего маршрутизатора. Для этого вам нужно сбросить настройки маршрутизатора до заводских настроек по умолчанию .

При полной перезагрузке маршрутизатора необходимо заново настроить маршрутизатор, как если бы он был новым. Он включает в себя создание нового пароля администратора и настройку беспроводной сети для всех ваших устройств. Ожидайте, что это займет немного времени, чтобы сделать правильно.

Как я могу избежать повторного получения вируса VPNFilter?

Существует несколько ключевых способов снизить вероятность повторного заражения VPNFilter (или получения любого другого вируса). Есть также конкретные советы, которые имеют непосредственное отношение к VPNFilter.

Малварь VPNFilter заразила 500 000 роутеров и IoT-устройств. Ее, предположительно, создали российские хакеры

Рекомендуем почитать:

Python для хакера

Специалисты Cisco Talos предупредили об обнаружении крупного ботнета, получившего название VPNFilter. Сложная малварь уже заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи подчеркивают, что VPNFilter – это вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стала малварь Hide and Seek), к тому же таящая в себе деструктивную функциональность.

VPNFilter

Исследователи рассказывают, что операторы VPNFilter, судя по всему, не использовали для заражения устройств какие-либо 0-day уязвимости, а эксплуатировали различные известные баги, обнаруженные ранее. Список моделей устройств, на которых был обнаружен VPNFilter, опубликованный компанией Symantec, можно увидеть ниже.

  • Linksys E1200;
  • Linksys E2500;
  • Linksys WRVS4400N;
  • Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;
  • Netgear DGN2200;
  • Netgear R6400;
  • Netgear R7000;
  • Netgear R8000;
  • Netgear WNR1000;
  • Netgear WNR2000;
  • QNAP TS251;
  • QNAP TS439 Pro;
  • Другие устройства QNAP NAS, работающие под управлением QTS;
  • TP-Link R600VPN.
Читайте так же:
Процесс Runtime Broker грузит систему – что предпринять

Аналитики Cisco Talos пишут, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии. Во время первой стадии бот VPNFilter прост и легковесен, его основная задача на этом этапе – инфицировать устройство и гарантировать устойчивое присутствие в системе. Как уже было сказано выше, ранее умение «переживать» перезагрузку IoT-девайсов демонстрировала только одна угроза — ботнет Hide and Seek. Стоит отметить, что по данным Symantec, избавиться от бота первой стадии все же возможно. Для этого потребуется произвести сброс устройства к заводским настройкам с последующей перезагрузкой.

Вторая стадия заражения, по мнению экспертов Cisco Talos, является наиболее опасной. Хотя сам бот второй стадии не способен выдержать перезагрузку устройства и, казалось бы, более безобиден, на самом деле это не так. В вопросах присутствия в системе бот второй стадии полагается на бота первой стадии. Фактически это означает, что даже если он будет удален с устройства из-за перезагрузки, то всегда сможет загрузиться повторно. Основной ролью бота второй стадии является подготовка к третьей фазе заражения.

Вместе с этим бот второй стадии обладает опасной функциональностью самоуничтожения, во время активации которой он перезаписывает критические части прошивки устройства и уводит его в перезагрузку. Аналитики предупреждают, что после этого зараженный гаджет превращается в бесполезный «кирпич» и не может загрузиться, так как необходимые для загрузки системы части прошивки подменяются случайным «мусором». По мнению специалистов Cisco Talos, после срабатывания функции самоуничтожения, большинство пользователей уже не сможет вернуть свои устройства в строй (за неимением необходимых технических знаний).

Третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов. В настоящее время аналитики обнаружили три плагина, задача которых заключается сниффании сетевого трафика и перехвате пакетов, мониторинге протоколов Modbus SCADA, а также взаимодействии с управляющим сервером посредством Tor. Вероятнее всего, в запасе у операторов VPNFilter припасены и другие вредоносные модули, которые пока не были применены.

Схема заражения и работы VPNFilter

Таким образом, операторы VPNFilter способны совершать самые разные противоправные действия посредством своего ботнета. Они могут перехватывать трафик и учетные данные от закрытых сетей и систем; могут обнаруживать промышленное SCADA-оборудование и заражать его специализированной малварью; могут использовать зараженные устройства как обычный ботнет, скрывая за ним различные атаки; и наконец, могут попросту вывести из строя сотни тысяч устройств.

Атака на Украину?

Исследователи подчеркивают, что в последнее время VPNFilter очень активно заражает устройства на территории Украины (для украинских ботов даже был создан отдельный C&C сервер). В связи с этим специалисты выражают серьезное беспокойство относительно функции самоуничтожения, выводящей пострадавшие устройства из строя. Ее активация может стать серьезным ударом для инфраструктуры страны.

Всплеск атак на устройства на территории Украины

Также нужно сказать, что в Cisco Talos обнаружили сходство VPNFilter с малварью BlackEnergy, которая использовалась в 2015-2016 годах для атак на энергетические компании Украины и привела к массовым отключениям электроэнергии на западе страны.

Служба безопасности Украины уже выпустила пресс-релиз, посвященный происходящему. Правоохранители считают, что операторы VPNFilter хотели приурочить атаку на государственные структуры и частные компании к финалу Лиги Чемпионов, который пройдет в Киеве 26 мая 2018 года.

Напомню, что некоторые компании и специалисты связывают малварь BlackEnergy с группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. Теперь с APT28 так же связывают и VPNFilter, а Служба безопасности Украины открыто приписывает авторство малвари РФ. Заметим, что специалисты Cisco Talos и Symantec пока никаких выводов не делают, отмечая, что расследование еще далеко от завершения.

Управляющие серверы обезврежены

Вскоре после публикации отчета-предупреждения Cisco Talos издание The Daily Beast сообщило, что в распоряжении его редакции оказался аффидевит, согласно которому ФБР решило обезвредить управляющие серверы VPNFilter, сочтя угрозу слишком опасной.

Согласно документу, западные правоохранители так же убеждены, что за созданием ботнета стоит группировка ATP28. Решение суда о блокировке управляющих серверов малвари было оперативно получено после предупреждения специалистов. В частности, под контроль ФБР перешел домен toknowall.com, к которому VPNFilter обращается за получением команд и дополнительных модулей.

К сожалению, угроза все равно сохраняется, так как синкхоллингом (sinkhole) доменов здесь, вероятно, обойтись не удастся. Учитывая, что еще на первом этапе заражения VPNFilter сообщает своим авторам IP-адреса зараженных устройств, операторы ботнета могут восстановить свою инфраструктуру в другом месте и вернуть контроль над инфицированными гаджетами.

В связи с этим пользователям потенциально уязвимых устройств настоятельно рекомендуется произвести сброс к заводским настройкам с последующей перезагрузкой и убедиться, что используется новейшая версия ПО. Также, если есть такая возможность, малварь можно поискать в следующих директориях: var/run/vpnfilterm, /var/run/vpnfilterw, var/run/torr и var/run/tord. Если таковые нашлись, следует удалить их содержимое.

голоса
Рейтинг статьи
Ссылка на основную публикацию