Несколько недель назад специалисты по информационной безопасности предупредили об опасном зловреде, получившем название VPNFilter. Как оказалось, главной целью этого malware являются роутеры самых разных производителей. Одной из первых на VPNFilter обратила внимание команда специалистов по инфобезу из Cisco Talos.
Зловред постоянно совершенствуется разработчиками. Недавно был обнаружен новый модуль, который использует тип атаки man-in-the-middle в отношении входящего трафика. Злоумышленники могут модифицировать трафик, проходящий через роутер. Также они без проблем могут перенаправлять любые данные на свои сервера. Модуль вируса получил название ssler.
Кроме модифицирования входящего трафика, ssler также может передавать своим создателям личные данные жертвы. Это могут быть пароли к разного рода ресурсам, которые киберпреступники затем используют с разными целями.
Для предотвращения кражи персональной информации обычно используется TLS шифрование, которое зловред может обойти. Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен. Затем заменяются заголовки запросов, что служит сигналом того, что точка доступа уязвима. Ssler специальным образом модифицирует трафик разных ресурсов, включая Google, Facebook, Twitter и Youtube. Дело в том, что указанные сервисы предоставляют дополнительную защиту. К примеру Google перенаправляет HTTP трафик на HTTPS сервера. Но модуль позволяет обойти и эту защиту, чтобы злоумышленники получали ничем не зашифрованный трафик.
C момента обнаружения вируса специалисты по информационной безопасности изучают его возможности. Сейчас оказалось, что он опаснее, чем считалось. Ранее, к примеру, специалисты Cisco утверждали, что главная задача злоумышленников — заражение сетевых устройств в офисах компаний и домах жертв. Возможно, для формирования ботнета. Но сейчас оказалось, что именно пользователи, вернее, их данные — основная цель.
«Изначально, когда мы обнаружили вирус, мы считали, что он создан для реализации разного рода сетевых атак. Но оказалось, что это вовсе не основная задача и возможность зловреда. Он создан, главным образом, для того, чтобы воровать данные пользователей и модифицировать трафик. К примеру, вирус может изменять трафик таким образом, что пользователь клиент-банка будет видеть прежнюю сумму на своем счету. А на самом деле денег там давно уже нет», — говорится в отчете специалистов по кибербезопасности.
Интересно, что большая часть зараженных устройств находится на/в Украине. Здесь не слишком распространены защитные меры вроде HTTP Strict Transport Security, поэтому данные пользователей под угрозой. Но и в других странах есть проблемы — например, в США и Западной Европе многие устройства, устаревшие морально, не поддерживают работу с HTTPS, продолжая использовать HTTP.
Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.
RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)
D-Link:
DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)
Huawei:
HG8245 (new)
Linksys:
E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N
Mikrotik:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)
Netgear:
DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)
QNAP:
TS251
TS439 Pro
Other QNAP NAS с QTS
TP-Link:
R600VPN
TL-WR741ND (new)
TL-WR841N (new)
Ubiquiti:
NSM2 (new)
PBE M5 (new)
Upvel:
Unknown Models* (new)
ZTE:
ZXHN H108N (new)
И это еще не все
Кроме всего, что было озвучено выше, в Talos сообщили об обнаружении снифер-модуля. Он анализирует трафик в поиске данных определенного типа, которые связаны с работой промышленных систем. Этот трафик проходит через TP-Link R600, что и определяется модулем. Кроме того, модуль ищет обращения к IP из определенного диапазона, а также пакеты данных, размер которых составляет 150 байт или более.
«Создатели вируса ищут вполне конкретные вещи. Они не стараются собрать как можно больше доступной информации, вовсе нет. Им нужны пароли, логины, обращение к определенному диапазону IP и тому подобные вещи. Мы пытаемся понять, кому все это может быть нужно», — заявляют исследователи.
Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения. При активации модуля вирус удаляется с устройства безо всяких следов.
Несмотря на то, что около недели назад ФБР обнаружило и изъяло главный сервер, ботнет до сих пор остается активным, принятых мер оказалось явно недостаточно.
Комментарии (45)
HermaMora
08.06.2018 14:05-1Мы пытаемся понять, кому все это может быть нужно
Может быть разработчикам зловреда для перепродажи или личного использования?
Sklott
08.06.2018 14:07+1А мне вот интересно, почему ни в одной статье про VPNFilter не написано как проверить заражен роутер или нет…
Ведь наверняка на зараженном должны быть запущенны какие-нибудь определенные процессы и/или иметься какие-нибудь специфичные файлы…VolCh
08.06.2018 14:24Вот, да. Особенно интересно стало увидев свой основной роутер в списке уявимых.
Lure_of_Chaos
08.06.2018 14:40Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения. При активации модуля вирус удаляется с устройства безо всяких следов.
плюс интересно, есть ли способ этот модуль триггернуть.
eagleivg
08.06.2018 17:21+1В статье есть ссылка: blog.talosintelligence.com/2018/06/vpnfilter-update.html
Там список файлов и их md5
vesper-bot
08.06.2018 14:16Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен.
Эммм, а разве браузер не должен заорать на такой даунгрейд соединений?
А то, что вирус эволюционирует, это может значить, что тот сервер, который ФБР изъяли, был или не главным, или вообще ханипотом.
achekalin
08.06.2018 14:49Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.
Являлись. Микротики заткнули дыру уже больше года назад. Достаточно ROS обновить, и все.
Афторы «новостей» такие афторы. Бери больше, переводи быстрее.oops1
08.06.2018 15:12Какая версия ROS уязвима?
6.40.4 — уязвима?achekalin
08.06.2018 15:18Нет. Собственно, почитайте оповещение от микротиков. Поправили в 6.38.5, в марте 2017:
What's new in 6.38.5 (2017-Mar-09 11:32):
...
!) www - fixed http server vulnerability;
...
Ваша же версия 6.40.4, хоть и ветке release (другими словами, вы сами выбрали «быть поближе к багам и фичам»), но вышла 2 октября 2017.
Ну а вообще, эта «дыра» была дырой только для тех, кто веб-морду не закрыл от доступа «из мира» — что, полагаю, сделал все же каждый уважающий юзер. Тем более что с winbox веб и в принципе не нужен.mikhailian
08.06.2018 15:33С winbox там вроде другой вектор атаки есть.
achekalin
08.06.2018 15:37Именно так, и его затыкали уже. Но при наличии в девайсе winbox оставлять открытым наружу веб — это даже как-то странно.
mickvav
08.06.2018 20:18Тут хотелось бы увидеть статистику микротиков по количеству скачиваний обновленных версий по отношению к общему количеству проданных устройств.
achekalin
09.06.2018 08:16Это где-то на форуме микротика спросить бы, тем более что обновление у них встроенное, значит, статистика может и собираться. Но вопрос, кто что наружу открывает. Оставить ssh, закрыл к нему доступ с нескольких всего ip — живи спокойно. А по фен-шую чтобы — закрыть все, кроме api-ssl, да и тот — с адреса управляющей машины.
Вот остальные девайся по списку — это да, там может быть и печально.
DaemonGloom
09.06.2018 11:24Как раз микротики хороши тем, что в них обновления выходят даже для старого железа. И не обновлять их — странно.
Meklon
09.06.2018 15:27Их беда — потрясающая стабильность. Лежит в кладовке где-то в удаленном офисе и все. Все забыли про него. Частый кейс в небольших компаниях без централизованного управления и мониторинга.
oops1
08.06.2018 15:39Спасибо за ответ.
Да, про эту уязвимость пишут расплывчато, что то не понятно было уязвим или нет.
доступ снаружи я закрыл через 30 минут, после первого включения, зашел в лог а в логе попытки логина из вне…
TechnoMag
09.06.2018 03:00Только вот для TL-WR841N на офсайте прошивка от 2017-07-13. Да и, похоже, они не торопятся с обновлениями.
achekalin
09.06.2018 08:16Ну у них позиция другая: купил, и в сторону отойди, не мешай дальше продавать!
Но есть же *wrt — кто мешает рискнуть?
kirillzak
09.06.2018 11:15Многие берут устройства этого производителя только для того, чтобы воткнуть туда OpenWRT…
Единственный минус всего этого — это отсутствие поддержки аппаратного NAT и шифрования (если они есть, конечно же).
NikiN
08.06.2018 15:26Там уже русские виноваты arstechnica.com/information-technology/2018/05/fbi-seizes-server-russia-allegedly-used-to-infect-500000-consumer-routers
achekalin
08.06.2018 15:37Не пишут, кого русские на следующих выборах вместо неосилятора Трампа выберут? #шутка
PaulAtreides
09.06.2018 14:00Президентом США после Трампа будет Лиза Симпсон. Только тссс, это секрет, никому не говорите.
mikes
08.06.2018 15:56интересно почему в списке роутеров оказался обычный коммутатор :)?
Tyrauriel
08.06.2018 16:15Когда-то давно пытался устроиться в техподдержку к региональному провайдеру, в первый же день попал на лекцию, вел кто-то из Д-линка.
Мой вопрос — в чем принципиальная разница между роутером и управляемым коммутатором?
Ответ — ни в чем, потому что коммутатор в принципе можно перешить в роутер и наоборот. Лишь бы была подходящая прошивка в наличии.
Пример кстати Mikrotik CRS.
P.S.
Стажировку я так и не прошел.achekalin
09.06.2018 08:18Коммутаторы обычно многое делают аппаратно, в т.ч. со штормами бороться — в роутерах это часто на проц ложится, а тот может и захлебнуться (пример — CRS125).
Stas911
08.06.2018 21:55Вытер пыль с роутера, чтобы проверить, подвержен ли — оказался такой старый, что даже вирусы для него уже не пишут
Cenzo
09.06.2018 04:02При активации модуля вирус удаляется с устройства безо всяких следов.
Скорее я бы сказал, что он удаляет всё на устройстве, чем удаляется сам. Со следами в виде 0xFF.
«The dstr module clears flash memory by overwriting the bytes of all available /dev/mtdX devices with a 0xFF byte. Finally, the shell command rm -rf /* is executed to delete the remainder of the file system and the device is rebooted. At this point, the device will not have any of the files it needs to operate and fail to boot.»
Dioxin
09.06.2018 10:01Пора засучивать рукава и мастерить свой проприетарный роутер
ntfs1984
09.06.2018 14:07Тсю, я давно так сделал.
Есть отличные x86-решения, не требующие танцев с бубном и в принципе по приемлемой цене. У меня вот такое:
Устанавливается что угодно, Убунта с костылями с iptables, pfSense, ddwrt и тд. Гигабитные порты, SSD. Цена порядка 130 бакинских. Была пару лет назад.Googlist
09.06.2018 17:00Как я понял єто APU2?
www.pcengines.ch/apu2.htm
Где покупали?
Одно время ALIX использовал, остались самьіе приятньіе впечатления, но єто бьіло давно.
MaxxONE
TL-WR841N (new) — что значит new? Насколько он должен быть new?
kirillzak
Это значит, что в предыдущем списке его не было.