Вирус VPNFilter способен перехватывать идущие через сетевое оборудование данные и выводить оборудование из строя. Часть проанализированного кода «идентична» тому, что использовался в APT-кампании BlackEnergy.
Троян VPNFilter заразил 500 тыс. роутеров в 54 странах мира
Эксперты по безопасности с тревогой наблюдают за растущей эпидемией вредоносной программы VPNFilter, которая успела за относительно короткий срок заразить не менее 500 тыс. роутеров и иных сетевых устройств в 54 странах мира. Наибольшее количество заражений наблюдается на территории Украины.
В сообщении ИБ-компании Talos говорится, что в первую очередь под угрозой оказались роутеры и носители сетевого оборудования таких производителей, как Linksys, MikroTik, Netgear, QNAP и TP-Link, предназначенных для дома и офиса.
Вирус, по мнению фирмы, опасен прежде всего тем, что «позволяет похищать учетные данные сайтов и вести мониторинг протоколов Modbus SCADA». Иными словами, этот вирус целит прежде всего в критическую инфраструктуру. Эксперты Talos также отмечают, что не смогли пока полностью изучить вирус и не нашли пока способа нейтрализовать этот вредонос, теоретически «способный блокировать доступ в интернет для сотен тысяч» пользователей. Преждевременную публикацию эксперты объяснили растущими темпами заражений именно на территории Украины.
Talos отмечает также, что вредонос содержит некоторое количество кода, «персекающегося» с кодом вредоносных программ, использованных в контексте APT-кампании BlackEnergy.
Что известно на данный момент
Talos отметили следующие характеристики вредоносной программы VPNFilter. Троян обладает модульной многокомпонентной структурой. Модуль «первого этапа» обеспечивает устойчивое присутствие в зараженном устройстве. Вредонос способен «переживать» перезагрузку устройства, в отличие от многих других аналогичных программ.
Однако, удалить VPNFilter можно, сбросив устройство к заводским настройкам, который рекомендуется сделать всем владельцам названных роутеров. После сброса нужно обновить прошивку, сменить пароль и ограничить протоколы удаленного управления устройством.
Устойчивый C&C-механизм, обилие командных серверов страхует от неожиданных изменений в командной инфраструктуре. Модули «второго этапа» способны производить вывод данных, перехват файлов, локальное выполнение команд от операторов вредоноса, а также «убивать» прошивку устройства, делая его неработоспособным.
Модули «второго этапа» уничтожаются при перезагрузке устройства. Модули «третьего этапа» представляют собой плагины для компонентов второго этапа, расширяющие их функциональность. На данный момент известны анализатор траффика, способный перехватывать реквизиты доступа на различные сайты, и монитор протоколов Modbus SCADA.
Кампания по распространению VPNFilter началась не ранее 2016 г. Способы заражения устройств точно пока не известны, но, по предположению экспертов, в первую очередь жертвами становятся давно не обновлявшиеся сетевые устройства с прошивками, изобилующими неисправленными уязвимостями.
Безопасность роутеров — старая и устойчивая проблема
В последние годы количество вредоносных программ, атакующих именно сетевое оборудование, а не конечные устройства, устойчиво растет.
«Как правило, эти устройства один раз настраивают и забывают про их существование, даром, что через них идет весь трафик. Этим и пользуются злоумышленники, — отмечает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Сами пользователи очень часто игнорируют базовые требования к безопасности роутеров, оставляя заводские логины и пароли. В подобных случаях даже какие-либо эксплойты не нужны, чтобы перехватить контроль над устройством. При наличии анализатора трафика злоумышленники могут фактически видеть все данные, идущие через данный роутер.
На данный момент, по заявлению Talos, от угрозы очень трудно защититься. В первую очередь потому, что роутеры крайне редко оснащаются какими-либо собственными средствами защиты, так что они абсолютно открыты перед любыми кибератаками.
«Проблема усложняется тем, что большинство устройств, находящихся под угрозой, сегодня обладают уязвимостями, которые широко известны, но которые при этом сложно исправить среднестатистическому пользователю», — указывают эксперты.
В подобных случаях остается полагаться только на то, что производители устройств оперативно выпустят исправления для прошивок, и на внешние инструменты проверки сетевых устройств. Например, IoT Inspector — автоматический сканер аппаратно-программного обеспечения — позволяет анализировать программные оболочки множества IoT-устройств, включая роутеры, принтеры и т.д., на предмет имеющихся в них уязвимостей.
Для роутеров, чьи прошивки могут не обновляться годами, подобные сканеры могут стать необходимой страховкой от подобных инцидентов.
В свою очередь, Talos уже опубликовал обширный список Snort-сигнатур для известных уязвимостей, которые эксплуатируются VPNFilter. Этот список вряд ли является полным, учитывая, что исследование VPNFilter не окончено, но даже он может помочь предотвратить заражения пользователям уязвимых роутеров.