VPNФильтр

Вредоносное ПО, нацеленное на сетевые маршрутизаторы и устройства хранения данных

VPNFilter — вредоносное ПО , предназначенное для заражения маршрутизаторов и некоторых сетевых устройств хранения данных. По оценкам, по состоянию на 24 мая 2018 года оно заразило около 500 000 маршрутизаторов по всему миру, хотя число подверженных риску устройств больше. ^[1] Оно может красть данные, содержит «аварийный выключатель», предназначенный для отключения зараженного маршрутизатора по команде, и способно сохраняться, если пользователь перезагрузит маршрутизатор. ^[2] ФБР считает, что оно было создано российской группировкой Fancy Bear . ^{[3] [4]} В феврале 2022 года CISA объявило, что новое вредоносное ПО под названием Cyclops Blink , созданное Sandworm, заменило VPNFilter. ^[5]

Операция

VPNFilter — вредоносное ПО, заражающее ряд различных видов сетевых маршрутизаторов и устройств хранения данных. Похоже, оно было разработано частично для атаки на последовательные сетевые устройства, использующие протокол Modbus для связи с промышленным оборудованием и управления им, например, на заводах и складах. Вредоносное ПО имеет специальный, выделенный код для атаки на системы управления, использующие SCADA . ^[6]

Первоначальный вектор заражения пока неизвестен. Группа безопасности Cisco Talos выдвигает гипотезу, что вредоносное ПО использует известные уязвимости безопасности маршрутизаторов для заражения устройств. ^[7]

Это программное обеспечение устанавливается в несколько этапов:

1. Этап 1 включает червя , который добавляет код в crontab устройства (список задач, запускаемых через регулярные интервалы планировщиком cron в Linux). Это позволяет ему оставаться на устройстве после перезагрузки и повторно заражать его последующими этапами, если они удалены. Этап 1 использует известные URL-адреса для поиска и установки вредоносного ПО этапа 2. Если эти известные URL-адреса отключены, этап 1 устанавливает прослушиватель сокетов на устройстве и ждет, пока с ним свяжутся системы управления и контроля. ^[8]
2. Этап 2 представляет собой тело вредоносной программы, включая базовый код, который выполняет все обычные функции и выполняет любые инструкции, запрошенные специальными, дополнительными модулями этапа 3.
3. Этап 3 может быть любым из различных «модулей», которые сообщают вредоносному ПО о выполнении определенных действий, таких как прослушивание сетевых данных, сбор учетных данных, использование в качестве ретрансляционной точки для сокрытия источника последующих атак или сбор данных на промышленных устройствах управления (Modbus SCADA). Затем любые извлеченные данные могут быть зашифрованы через сеть Tor . ^[6]

Смягчение

Cisco и Symantec предлагают владельцам затронутых устройств выполнить сброс настроек к заводским . Обычно это делается с помощью небольшого заостренного предмета, например, выпрямленной скрепки, для нажатия на маленькую кнопку сброса на задней панели устройства в течение 10–30 секунд (время зависит от модели). Это удалит вредоносное ПО, но также восстановит все исходные настройки маршрутизатора. Если на маршрутизаторе включено удаленное управление, сброс настроек к заводским часто отключает его (настройка по умолчанию для многих маршрутизаторов). Удаленное управление считается одним из возможных векторов для первоначальной атаки.

Перед повторным подключением маршрутизатора с заводскими настройками к Интернету следует изменить пароли по умолчанию на устройстве, чтобы предотвратить повторное заражение. ^[9]

Устройства под угрозой

Первоначальный червь, который устанавливает VPNFilter, может атаковать только устройства, работающие под управлением встроенной прошивки на основе Busybox на Linux, скомпилированной только для определенных процессоров. Это не включает невстроенные устройства Linux, такие как рабочие станции и серверы. ^[10]

Известно, что прошивка, предоставленная производителем на следующих моделях маршрутизаторов, подвержена риску: ^{[11] [8]}

Асус

РТ-AX92U

РТ-AC66U

РТ-Н10

РТ-Н10Е

РТ-Н10У

РТ-Н56У

РТ-Н66У

D-Link

ДЕС-1210-08П

ДИР-300

ДИР-300А

ДСР-250Н

ДСР-500Н

ДСР-1000

ДСР-1000Н

Хуавей

HG8245

Linksys

Е1200

Е2500

Е3000

Е3200

Е4200

РВ082

WRVS4400N

Микротик

CCR1009

CCR1016

CCR1036

CCR1072

CRS109

CRS112

CRS125

РБ411

РБ450

РБ750

РБ911

РБ921

РБ941

РБ951

РБ952

РБ960

РБ962

РБ1100

РБ1200

РБ2011

РБ3011

RB-паз

РБ Омнитик

STX5

Версии Mikrotik RouterOS до 6.38.5 в текущих цепочках релизов или до 6.37.5 в цепочках исправлений ошибок ^[12]

Netgear

ДГ834

1000 динар

DGN2200

DGN3500

ФВС318Н

МБРН3000

6400р

7000р.

8000р

1000 индийских рупий

WNR2000

2200 индийских рупий

4000 индийских рупий

ВНДР3700

ВНДР4000

WNDR4300

WNDR4300-TN

UTM50

QNAP

ТС251

TS439 Про

Другие устройства QNAP NAS с программным обеспечением QTS

TP-Link

R600VPN

TL-WR741ND

TL-WR841N

Вездесущий

НСМ2

ПБЭ М5

Upvel

Неизвестные модели ^{[nb 1]}

ЗТЕ

ZXHN H108N

Эпидемиология

По данным Cisco Talos, VPNFilter заразил около 500 000 устройств по всему миру ^[10] примерно в 54 странах, хотя пропорционально больше всего заражений было на Украине .

Расследование ФБР

ФБР взяло на себя важную роль в борьбе с этим вредоносным ПО, проведя расследование, которое привело к аресту доменного имени toknowall.com, которое якобы использовалось для перенаправления запросов с этапа 1 вредоносного ПО, что позволяло ему находить и устанавливать копии этапов 2 и 3. ^[4] Министерство юстиции США также обязало сайт Photobucket отключить известные URL-адреса, используемые для распространения вредоносного ПО этапа 2. ^{[7] [13]}

Рекомендация ФБР по удалению инфекции

25 мая 2018 года ФБР рекомендовало пользователям перезагрузить свои устройства, подверженные риску. ^[14] Это временно удалит 2-й и 3-й этапы вредоносного ПО. 1-й этап останется, что заставит маршрутизатор попытаться повторно загрузить полезную нагрузку и снова заразить маршрутизатор. Однако до рекомендации Министерство юстиции США изъяло веб-конечные точки, которые вредоносное ПО использует для установки 2-го этапа.

Без этих URL-адресов вредоносная программа должна полагаться на резервный сокет-слушатель для установки Этапа 2. Этот метод требует, чтобы системы управления и контроля субъекта угрозы связывались с каждой системой для установки Этапа 2, что увеличивает риск идентификации субъекта угрозы. ^[7] ФБР также рекомендовало пользователям отключить удаленное управление на своих устройствах и обновить прошивку. Обновление прошивки удаляет все стадии вредоносной программы, хотя возможно, что устройство может быть повторно заражено. ^[14]

ФБР заявило, что это поможет им найти серверы, распределяющие полезную нагрузку. ^{[15] [16] [3]}

Примечания

1. Было обнаружено вредоносное ПО, нацеленное на Upvel как на поставщика, но мы ^{[ кто? ]} не можем определить, на какое конкретно устройство оно нацелено.

Ссылки

1. "Обновление VPNFilter и наш первый обзор саммита". Cisco Talos Intelligence . 2018-06-21 . Получено 2018-06-26 .
2. "Вредоносное ПО VPNFilter, связанное с государством, представляет смертельную угрозу для маршрутизаторов". SlashGear . 2018-05-24 . Получено 2018-05-31 .
3. Кевин Поулсен (23 мая 2018 г.). "Эксклюзив: ФБР захватывает контроль над российским ботнетом". Daily Beast .
4. ФБР всем пользователям маршрутизаторов: перезагрузите сейчас, чтобы нейтрализовать российское вредоносное ПО VPNFilter
5. "Новый вредоносный песчаный червь Cyclops Blink заменяет VPNFilter | CISA". www.cisa.gov . Получено 27.06.2022 .
6. VPNFilter: новое вредоносное ПО для маршрутизаторов с деструктивными возможностями
7. "VPNFilter, неотфильтрованная история". Talos . 2018-05-29 . Получено 2018-06-26 .
8. Уильям Ларджент (6 июня 2018 г.). «Обновление VPNFilter — VPNFilter использует конечные точки, нацеливаясь на новые устройства».
9. "Советы по безопасности для вредоносного ПО VPNFilter на некоторых устройствах NETGEAR". Netgear . 2018-06-06 . Получено 2018-06-26 .
10. "Хакеры заражают вредоносным ПО 500 000 маршрутизаторов потребителей по всему миру". Ars Technica . Получено 31 мая 2018 г.
11. "VPNFilter: новое вредоносное ПО для маршрутизаторов с деструктивными возможностями" . Получено 31 мая 2018 г.
12. "Официальное заявление VPNfilter - MikroTik" . forum.mikrotik.com . Проверено 31 мая 2018 г.
13. «ПОДТВЕРЖДЕНИЕ В ПОДДЕРЖКУ ЗАЯВЛЕНИЯ О ВЫДАЧЕ ОРДЕРА НА ИЗЪЯТИЕ». 22 мая 2018 г.
14. «ИНОСТРАННЫЕ КИБЕРПРЕСТУПНИКИ НАЦЕЛЕНЫ НА ДОМАШНИЕ И ОФИСНЫЕ МАРШРУТИЗАТОРЫ И СЕТЕВЫЕ УСТРОЙСТВА ПО ВСЕМУ МИРУ». 25 мая 2018 г.
15. Дэн Гудин (25 мая 2018 г.). «ФБР просит пользователей маршрутизаторов перезагрузиться сейчас, чтобы уничтожить вредоносное ПО, заражающее 500 тыс. устройств». Ars Technica .
16. Дэн Гудин (24 мая 2018 г.). «Хакеры заражают вредоносным ПО 500 000 маршрутизаторов потребителей по всему миру». Ars Technica .