Новий запис в блозі: VPNFilter. Факти і посилання

1. Що таке VPNFilter?
2. Що робить VPNFilter?
3. Чому VPNFilter небезпечний?
4. Чи несе VPNFilter загрози АСУ ТП?
5. Чи допомагає перезавантаження від VPNFilter?
6. Як діє VPNFilter (докладніше)?
7. Які пристрої уразливі?
8. Як битро перевірити свій роутер?
9. Як захистити себе від VPNFilter?
10. Що робити в разі зараження?
11. Хто стоїть за VPNFilter?
12. Матеріали по темі

Гучній в кінці весни шкідливому програмному забезпеченню VPNFilter співробітники Cisco Talos ще 23 травня дали докладний технічний опис, яке потім в різних інтерпретаціях і, обростаючи по шляху додатковими деталями, розійшлося по профільним (і не тільки) ЗМІ. Щоб кожен раз не вишукувати деталі по англомовним і (частіше - перекладним) російськомовним джерел, присвятив VPNFilter одну зі своїх улюблених рубрик: Факти і посилання.

Що таке VPNFilter?

VPNFilter - це шкідливе програмне забезпечення, що заразилися понад півмільйона мережевих Устройтво (перш за все - роутерів) в більш ніж 50 країнах. VPNFilter має модульну архітектуру, успішно переживає перезавантаження зараженого пристрою і може здійснювати збір конфіденційної інформаці, а також спотворення мережевого трафіку з різними деструктивними цілями.

Що робить VPNFilter?

VPNFilter може збирати конфіденційну інформацію (наприклад, паролі) і втручатися в мережевий трафік, що проходить через заражений роутер. Зокрема, в трафік (гіпотетично) може додаватися шкідливе ПО, що може привести до компрометації комп'ютерів і інших пристроїв, що підключаються до зараженому роутера. Також VPNFilter може блокувати трафік і навіть робити роутер непрацездатним.

Чому VPNFilter небезпечний?

Так як весь трафік всіх домашніх (офісних) пристроїв проходить через роутер, то при його злом вся передана конфіденційна інформація потрапляє в зону ризику, під загрозою опиняються також і самі підключаються. Нарешті, що знаходиться під управлінням зловмисників пристрій може бути використано як майданчик для проведення атак на інші цілі. При цьому з точки зору атакується загроза виходитиме від власника зараженого пристрою, а не від реального зловмисника.

Чи несе VPNFilter загрози АСУ ТП?

Як це не дивно, але, незважаючи на орієнтацію VPNFilter на моделі для дому та малих офісів, його автори виявляють особливий інтерес до промислових систем управління (SCADA) - в складі VPNFilter є окремий модуль, призначений для перехоплення комунікаційного протоколу Modbus (Широко застосовується в промисловості для організації зв'язку між електронними пристроями).

Чи допомагає перезавантаження від VPNFilter?

VPNFilter може пережити перезавантаження маршрутизатора (докладніше - нижче).

Як діє VPNFilter (докладніше)?

VPNFilter, судячи з усього, експлуатує відомі уразливості, наявні в застарілих версіях прошивок мережевих пристроїв. В силу модульности цього шкідливого ПО процес зараження розбивається на кілька етапів:

• Етап 1. Встановлюється Модуль 1, стійкий до перезавантаження пристрою. Основна мета першого етапу полягає в тому, щоб отримати постійний плацдарм і запустити розгортання шкідливого Модуля 2. На цьому етапі VPNFilter визначає доступні IP-адреси поточного сервера управління для скачування Модуля 2 (і 3). При цьому використовуються множинні надлишкові механізми, що роблять це шкідливе ПЗ надзвичайно надійним і здатним справлятися з непередбаченими змінами інфраструктури управління.
• Етап 2. Викачується і встановлюється Модуль 2, що дозволяє зловмисникам віддалено здійснювати збір файлів, виконувати команди і управляти зараженим пристроєм. Модуль 2 цієї статті не переживає перезавантаження пристрою.
• Етап 3. Модуль 3 (також не переймається перезавантаження) складається з різних доповнюють VPNFilter плагінів, призначених для виконання певних завдань:
  • ps - плагін, що дозволяє перехоплювати мережеві пакети і виявляти деякі типи трафіку: зокрема, TCP / IP-пакети Modbus;
  • tor - плагін відповідає за взаємодію VPNFilter зі своїм центром управління через мережу TOR;
  • ssler - плагін для перехоплення і зміни веб-трафіку на 80 порту за допомогою атак типу «людина в середині», також вміє примусово "знижувати" HTTPS до HTTP;
  • dstr - плагін дозволяє перезаписувати критичну частину прошивки пристрою і давати команду на його перезавантаження, роблячи таким чином пристрій непридатним для використання.

Після перезавантаження роутера запускається тільки перший модуль, а другий і третій модулі губляться і повинні бути завантажені заново. Саме з цієї причини можна зустріти рекомендації з перезавантаження пристроїв в якості способу боротьби. Проте, без додаткових кроків (див.нижче) тільки перезавантаження може не допомогти.

Які пристрої уразливі?

VPNFilter здатний заражати велику кількість різних роутерів (маршрутизаторів) і NAS-пристроїв (сервера для зберігання даних на файловому рівні). Як мінімум в небезпеці моделі роутерів для дому та малого офісу наступних виробників:

• Asus (RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U)
• D-Link (DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N)
• Huawei (HG8245)
• Linksys (E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N)
• MikroTik (CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5)
• Netgear (DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50)
• TP-Link (R600VPN, TL-WR741ND, TL-WR841N)
• Ubiquiti (NSM2, PBE M5)
• Upvel (невідомі моделі)
• ZTE (ZXHN H108N)

Уразливі NAS-пристрої:

• QNAP (TS251, TS439 Pro і інші з встановленим ПО QTS)

Початковий черв'як, який встановлює Модуль 1, може атакувати пристрої з прошивками на основі Busybox і Embedded Linux (спеціалізована версія, адаптована для використання в промислових і інших пристроях), скомпільованими під певні типи процесорів. Сервера і робочі станції на НЕ-Embedded Linux цим хробаком не пошкоджуються.

Як битро перевірити свій роутер?

Можна скористатися безкоштовною онлайн утилітою від Symantec: http://www.symantec.com/filtercheck/

Природно, під час перевірки треба бути підключеним до мережі Інтернет через перевіряється роутер.

Перевірка роутера на VPNFilter

Утиліта, правда, перевіряє тільки наявність однієї з компонент VPNFilter - плагіна ssler, але зате робить це швидко.

Як захистити себе від VPNFilter?

• Перезавантажити маршрутизатор. Це може тимчасово порушити роботу шкідливого ПО (його модулів 2 і 3) і потенційно може допомогти ідентифікувати вже заражені пристрої.
• По можливості відключити віддалене адміністрування пристрою відповідно до експлуатаційної документації.
• Змінити пароль адміністратора і інших використовуваних облікових записів на новий надійний і унікальний пароль.
• Включити шифрування, якщо пристрій дозволяє це зробити.
• Оновити прошивку до останньої доступної версії.

Для скачування свіжої прошивки розумно звернутися на сайт виробника і там же перевірити доступні рекомендацію (посилання на рекомендації деяких виробників нижче).

Що робити в разі зараження?

Symantec в разі впевненості в зараженні рекомендує наступні кроки:

1. Зберегти поточну конфігурацію пристрою і зробити скидання до заводських налаштувань (hard reset) відповідно до документації на пристрій.
2. Вимкнути і перезавантажити пристрій. Через особливості VPNFilter просте перезавантаження без скидання до заводських налаштувань може не допомогти (див. Вище).
3. Відключити пристрій від мережі Інтернет (по можливості) і змінити пароль адміністратора, установлений за замовчуванням.
4. Встановити свіжі патчі і останню версію прошивки відповідно до документації на пристрій і рекомендаціями виробника.

Хто стоїть за VPNFilter?

На думку представників ФБР VPNFilter розроблений російської угрупованням Fancy Bear, вважається також причетною до атаки на штаб демократів в ході виборів США в 2016 році.

Матеріали по темі

рекомендації виробників

російськомовні матеріали

англомовні матеріали

• New VPNFilter malware targets at least 500K networking devices worldwide , Cisco Talos
• VPNFilter Update - VPNFilter exploits endpoints, targets new devices , Cisco Talos
• VPNFilter: New Router Malware with Destructive Capabilities , Symantec
• VPNFilter malware now targeting even more router brands. How to check if you're affected , Symantec
• Reboot Your Router to remove VPNFilter? Why It's Not Enough , BleepingComputer
• VPNFilter Can Also Infect ASUS, D-Link, Huawei, Ubiquiti, UPVEL, and ZTE Devices , BleepingComputer
• Exclusive: FBI Seizes Control of Russian Botnet , Daily Beast
• Hackers infect 500,000 consumer routers all over the world with malware , Ars Technica