Ботнет VPNFilter все еще активен и ищет новые устройства для заражения - «Новости»
Opera подала жалобу на уловки Microsoft, заставляющие использовать её браузер Edge - «Новости сети»
Opera подала жалобу на уловки Microsoft, заставляющие использовать её браузер Edge - «Новости сети»
Рублёвый стейблкоин A7A5 набрал популярность — он помогает российским компаниям бороться с санкциями - «Новости сети»
Рублёвый стейблкоин A7A5 набрал популярность — он помогает российским компаниям бороться с санкциями - «Новости сети»
Австралия впервые запустила свою космическую ракету — полёт продлился всего 14 секунд и завершился взрывом - «Новости сети»
Австралия впервые запустила свою космическую ракету — полёт продлился всего 14 секунд и завершился взрывом - «Новости сети»
Из-за отключений мобильной связи в России взлетел спрос на домашний интернет — очереди на подключение растянулись на месяцы - «Новости сети»
Из-за отключений мобильной связи в России взлетел спрос на домашний интернет — очереди на подключение растянулись на месяцы - «Новости сети»
Micron представила первый в мире SSD с PCIe 6.0 — серверный Micron 9650 со скоростью 28 Гбайт/с - «Новости сети»
Micron представила первый в мире SSD с PCIe 6.0 — серверный Micron 9650 со скоростью 28 Гбайт/с - «Новости сети»
Google тестирует Web Guide – новый формат поисковой выдачи с ИИ-поддержкой - «Новости мира Интернет»
Google тестирует Web Guide – новый формат поисковой выдачи с ИИ-поддержкой - «Новости мира Интернет»
В почтовом спаме увеличилось количество писем с вложенными изображениями или файлами - «Новости мира Интернет»
В почтовом спаме увеличилось количество писем с вложенными изображениями или файлами - «Новости мира Интернет»
Sony представила FlexStrike – беспроводной файтстик для PS5 и ПК - «Новости мира Интернет»
Sony представила FlexStrike – беспроводной файтстик для PS5 и ПК - «Новости мира Интернет»
Microsoft представила ИИ-помощника Copilot Appearance с мимикой - «Новости мира Интернет»
Microsoft представила ИИ-помощника Copilot Appearance с мимикой - «Новости мира Интернет»
Яндекс представил ИИ-архитектуру TabM для работы с табличными данными - «Новости мира Интернет»
Яндекс представил ИИ-архитектуру TabM для работы с табличными данными - «Новости мира Интернет»
Новости мира Интернет » Новости » Ботнет VPNFilter все еще активен и ищет новые устройства для заражения - «Новости»

Специалисты компаний JASK и GreyNoise Intelligence предупреждают, что ботнет VPNFilter, контроль над управляющими серверами которого недавно перехватило ФБР, пытается вернуться в строй и ищет новые роутеры для заражения.


По данным специалистов, все сканы направлены на поиск роутеров Mikrotik  с открытым портом 2000. Как и ранее, злоумышленники концентрируются исключительно на украинских пользователях. VPNFilter и до этого очень активно заражал устройства на территории Украины, а исследователи обнаружили, что для украинских ботов даже был создан отдельный C&C сервер.


Напомню, что оригинальный VPNFilter было обнаружен в мае текущего года. Сложная малварь заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи Cisco Talos, первыми рассказвшие об угрозе, подчеркивали, что VPNFilter – это всего вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стала малварь Hide and Seek), к тому же таящая в себе деструктивную функциональность.


Операторы VPNFilter не используют для заражения устройств какие-либо 0-day уязвимости, а эксплуатируют различные известные баги, обнаруженные ранее. Список моделей устройств, на которых был обнаружен VPNFilter, можно увидеть ниже.


  • Linksys E1200;

  • Linksys E2500;

  • Linksys WRVS4400N;

  • Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;

  • Netgear DGN2200;

  • Netgear R6400;

  • Netgear R7000;

  • Netgear R8000;

  • Netgear WNR1000;

  • Netgear WNR2000;

  • QNAP TS251;

  • QNAP TS439 Pro;

  • другие устройства QNAP NAS, работающие под управлением QTS;

  • TP-Link R600VPN.

Аналитики Cisco Talos сообщали, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии и состоит из трех разных ботов. И если бот первой стадии прост и легковесен, он умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов, которые могут перехватывать и «слушать» трафик жертвы, а также обнаруживать SCADA-системы.


Кроме того, в коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее.


После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену  toknowall.com. После этого ФБР и производители уязвимых устройств опубликовали подробные инструкции для владельцев уязвимых устройств, рассказав, какие шаги нужно предпринять, для защиты от VPNFilter.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты компаний JASK и GreyNoise Intelligence предупреждают, что ботнет VPNFilter, контроль над управляющими серверами которого недавно перехватило ФБР, пытается вернуться в строй и ищет новые роутеры для заражения. По данным специалистов, все сканы направлены на поиск роутеров Mikrotik с открытым портом 2000. Как и ранее, злоумышленники концентрируются исключительно на украинских пользователях. VPNFilter и до этого очень активно заражал устройства на территории Украины, а исследователи обнаружили, что для украинских ботов даже был создан отдельный C Linksys E2500; Linksys WRVS4400N; Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072; Netgear DGN2200; Netgear R6400; Netgear R7000; Netgear R8000; Netgear WNR1000; Netgear WNR2000; QNAP TS251; QNAP TS439 Pro; другие устройства QNAP NAS, работающие под управлением QTS; TP-Link R600VPN. Аналитики Cisco Talos сообщали, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии и состоит из трех разных ботов. И если бот первой стадии прост и легковесен, он умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов, которые могут перехватывать и «слушать» трафик жертвы, а также обнаруживать SCADA-системы. Кроме того, в коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену toknowall.com. После этого ФБР и производители уязвимых устройств опубликовали подробные инструкции для владельцев уязвимых устройств, рассказав, какие шаги нужно предпринять, для защиты от VPNFilter. Источник новости - google.com

Смотрите также

А что там на главной? )))



Комментарии )))