Атака российского ботнета VPNFilter на Украину: как он работает и как защититься?
В среду 23 мая 2018 года специалисты по безопасности из Cisco и Symantec сообщили о подготовке масштабной кибератаки с использованием вируса VPNfliter. Хакерам удалось инфицировать по меньшей мере 500 000 сетевых устройств в 54 странах, но преимущественно в Украине.
Кто и зачем?
В ФБР ботнет изучали с августа прошлого года и установили, что организатором атаки является хакерская группировка Sofacy Group (также Fancy Bear и APT28), которая предположительно работает из России. Эта группа стояла за атакой вируса Black Energy на украинские энергосистемы в декабре 2015 года, когда без электричества осталось около 225 тысяч человек. Собственно, код старого зловреда частично пересекается с VPNfliter.
Точно неизвестно, чего хотели добиться злоумышленники. В СБУ считают, что их целью было отключить интернет во время финала Лиги чемпионов по футболу в эту субботу.
Как это работает?
Вирус атакует роутеры и сетевые хранилища NAS, программное обеспечение которых давно не обновлялось. В группу риска также входят устройства с логином и паролем по умолчанию. После проникновения VPNfliter загружает основной код с удалённого сервера. После установки начинается вторая стадия, когда хакеры получают контроль над маршрутизатором и могут «окирпичить» его. С помощью дополнительных модулей (их выделяют в третью стадию) вирус сканирует сеть для поиска новых жертв, а также перехватыватывает интернет-трафик. Это в том числе незашифрованные пароли и данные по протоколу MOFBUS, который используется в промышленных сетях управления.
В списке уязвимых устройств значатся:
Linksys: E1200, E2500, WRVS4400N;
MikroTik: 1016, 1036, 1072 на RouterOS версии ниже 6.42.1;
Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
QNAP: TS251, TS439 Pro и другие NAS на старых версиях QTS (4.2.6 build 20170628, 4.3.3 build 20170703 или ранее);
TP-Link: R600VPN.
Как обезопасить себя?
ФБР уже получили контроль над доменом ToKnowAll.com, который использовался для управления ботнетом, но пока рано расслабляться. Простая перезагрузка устраняет только вторую и третью стадию вируса, поэтому специалисты рекомендуют:
- создать резервную копию конфигурации устройства
- сделать сброс до заводских настроек для полного удаления вируса
- восстановить сетевую конфигурацию
- установить рекомендуемые производителем обновления ПО
Некоторые сервис-провайдеры могут произвести удалённую перезагрузку маршутизатора по просьбе клиента. В Киберполиции Украины добавляют, что при наличии доступа к файловой системе можно заглянуть в директории «/var/run/vpnfilterw», «var/run/tor», «var/run/torrc», «var/run/tord» и удалить их содержимое.
Для своих NAS-хранилищ QNAP предлагает произвести проверку на наличие вредоносного ПО специальной утилитой. На роутерах Netgear нужно убедиться, что функция удалённого управления отключена. К слову, это не какая-то новая дыра в безопасности — та же MikroTik заявила, что уязвимость они закрыли ещё в марте 2017 года. Пользователи давно могли обновить систему.
Киберполиция уже составила список скомпрометированных IP-адресов операторов. По словам главы Интернет-ассоциации Украины Александра Федиенко, из них 90% приходятся на роутеры с операционной системой MikroTik.
В блоге Cisco Talos указаны ивестные адреса серверов управления ботнетом как для первой, так и второй стадии. Их можно заблокировать самостоятельно.
Фото: ИТ-Интегратор
Для тех, кто хочет знать больше:
Подписывайтесь на наш нескучный канал в Telegram, чтобы ничего не пропустить.
Поделиться
