✔Ботнет VPNFilter все еще активен и ищет новые устройства для заражения - «Новости»

05 июня 2018 726 Новости 0

По данным специалистов, все сканы направлены на поиск роутеров Mikrotik с открытым портом 2000. Как и ранее, злоумышленники концентрируются исключительно на украинских пользователях. VPNFilter и до этого очень активно заражал устройства на территории Украины, а исследователи обнаружили, что для украинских ботов даже был создан отдельный C&C сервер.

Напомню, что оригинальный VPNFilter было обнаружен в мае текущего года. Сложная малварь заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи Cisco Talos, первыми рассказвшие об угрозе, подчеркивали, что VPNFilter – это всего вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стала малварь Hide and Seek), к тому же таящая в себе деструктивную функциональность.

Операторы VPNFilter не используют для заражения устройств какие-либо 0-day уязвимости, а эксплуатируют различные известные баги, обнаруженные ранее. Список моделей устройств, на которых был обнаружен VPNFilter, можно увидеть ниже.

Linksys E1200;

Linksys E2500;

Linksys WRVS4400N;

Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;

Netgear DGN2200;

Netgear R6400;

Netgear R7000;

Netgear R8000;

Netgear WNR1000;

Netgear WNR2000;

QNAP TS251;

QNAP TS439 Pro;

другие устройства QNAP NAS, работающие под управлением QTS;

TP-Link R600VPN.

Аналитики Cisco Talos сообщали, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии и состоит из трех разных ботов. И если бот первой стадии прост и легковесен, он умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов, которые могут перехватывать и «слушать» трафик жертвы, а также обнаруживать SCADA-системы.

Кроме того, в коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее.

После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену toknowall.com. После этого ФБР и производители уязвимых устройств опубликовали подробные инструкции для владельцев уязвимых устройств, рассказав, какие шаги нужно предпринять, для защиты от VPNFilter.

Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Специалисты компаний JASK и GreyNoise Intelligence предупреждают, что ботнет VPNFilter, контроль над управляющими серверами которого недавно перехватило ФБР, пытается вернуться в строй и ищет новые роутеры для заражения. По данным специалистов, все сканы направлены на поиск роутеров Mikrotik с открытым портом 2000. Как и ранее, злоумышленники концентрируются исключительно на украинских пользователях. VPNFilter и до этого очень активно заражал устройства на территории Украины, а исследователи обнаружили, что для украинских ботов даже был создан отдельный C Linksys E2500; Linksys WRVS4400N; Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072; Netgear DGN2200; Netgear R6400; Netgear R7000; Netgear R8000; Netgear WNR1000; Netgear WNR2000; QNAP TS251; QNAP TS439 Pro; другие устройства QNAP NAS, работающие под управлением QTS; TP-Link R600VPN. Аналитики Cisco Talos сообщали, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии и состоит из трех разных ботов. И если бот первой стадии прост и легковесен, он умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов, которые могут перехватывать и «слушать» трафик жертвы, а также обнаруживать SCADA-системы. Кроме того, в коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее. После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену toknowall.com. После этого ФБР и производители уязвимых устройств опубликовали подробные инструкции для владельцев уязвимых устройств, рассказав, какие шаги нужно предпринять, для защиты от VPNFilter. Источник новости - google.com