Более 500 000 роутеров и сетевых накопителей Linksys, MikroTik, Netgear, Qnap и TP-Link заражены вредоносным ПО VPNFilter. Масштаб атаки сопоставим с нашумевшим Mirai, последствия которого ощущаются до сих пор.

Информацию о вирусной пандемии опубликовало подразделение Talos (Cisco), занимающееся анализом угроз кибербезопасности.

Изучив поведение этого вредоносного ПО на сетевом оборудовании, специалисты Talos отметили несколько основных особенностей данного ПО:

  • кража учетных данных веб-приложений;
  • мониторинг протоколов Modbus SCADA;
  • вывод устройства из строя.

Сложность защиты и обнаружения данного ПО обусловлена характером атакованных устройств — роутеры и сетевые накопители находятся на сетевом периметре, слабо защищены и, как правило, не содержат IDS/IPS-систем ввиду технологической простоты и ограниченности ресурсов, характерных для embedded/IoT-устройств.

Вредоносная программа VPNFilter представляет собой модульную платформу, состоящую как минимум из двух основных компонентов: дроппера и управляющего модуля.

После заражения устройства на него устанавливается т.н. дроппер, способный «пережить» перезагрузку устройства, и скачивающий на него основной модуль.

Основной модуль, не сохраняющийся при перезагрузке, может осуществлять сбор файлов, выполнение команд, фильтрацию данных и управление устройствами. Также некоторые версии этого модуля содержат функции самоуничтожения и вывода устройства из строя путем перезаписи критичных областей памяти сетевого устройства.

Кроме того, существует несколько вспомогательных модулей, обладающих функционалом сетевых снифферов для сбора сетевого трафика, мониторинга протокола SCADA Modbus, а также коммуникационный модуль для взаимодействия со взломанными устройствами через сеть Tor.

image

Вредонос сканирует 23, 80, 2000 и 8080 TCP-порты для выявления и атаки на новые устройства под управлением Linux/Busybox.

Известно об успешных атаках на следующие устройства:

  • Linksys E1200;
  • Linksys E2500;
  • Linksys WRVS4400N;
  • Mikrotik RouterOS (1016, 1036 и 1072);
  • Netgear DGN2200;
  • Netgear R6400;
  • Netgear R7000;
  • Netgear R8000;
  • Netgear WNR1000;
  • Netgear WNR2000;
  • QNAP TS251;
  • QNAP TS439 Pro;
  • NAS QNAP с программным обеспечением QTS;
  • TP-Link R600VPN.

На данный момент неясен вектор заражения и загрузки первого модуля VPNFilter, но известны детали загрузки и управления зараженным устройством. После того как вредоносная программа завершила инициализацию, она начинает загружать страницы Photobucket.com (сайт хранения изображений). Вредоносная программа загружает первое изображение из галереи, на которую ссылается URL, а затем переходит к извлечению IP-адреса сервера загрузки. IP-адрес извлекается из шести целочисленных значений для широты и долготы GPS в информации EXIF.

В данный момент используются следующие C&C URL:

  • photobucket.com/user/nikkireed11/library
  • photobucket.com/user/kmila302/library
  • photobucket.com/user/lisabraun87/library
  • photobucket.com/user/eva_green1/library
  • photobucket.com/user/monicabelci4/library
  • photobucket.com/user/katyperry45/library
  • photobucket.com/user/saragray1/library
  • photobucket.com/user/millerfred/library
  • photobucket.com/user/jeniferaniston1/library
  • photobucket.com/user/amandaseyfried1/library
  • photobucket.com/user/suwe8/library
  • photobucket.com/user/bob7301/library


Если обратиться и получить изображение с photobucket.com не удалось, вредонос пытается получить изображение с домена toknowall.com.

Также существует и «запасной вариант» в виде листенера, который ожидает подключение к зараженному устройству с применением специализированных триггеров.

VPNFilter — довольно серьезная и опасная угроза, нацеленная на устройства, которые сложно защищать. Если в вашей инфраструктуре используются вышеперечисленные устройства, рекомендуется незамедлительно отключить его от сети, произвести жесткую перезагрузку устройства и ждать патч от производителя.

Комментарии (20)


  1. AcidVenom
    24.05.2018 11:15

    Заявление от Mikrotik.
    Если кратко, то уязвимость закрыта в Марте 2017 в прошивке 6.38.5 (bugfix — 6.37.5).


    1. zedalert
      25.05.2018 09:58

      Причём уязвимость как обычно присутствовала только если доступ к управлению включен для внешних сетей (не надо так делать).


  1. Chugumoto
    24.05.2018 11:39

    а это полный список устройств или только те, на которых пока обнаружено?


    1. LukaSafonov Автор
      24.05.2018 11:40

      Это те устройства, на которых обнаружено вредоносное ПО.


  1. Meklon
    24.05.2018 12:03
    +1

    Кстати, а как вообще проводить аудит сохранности прошивки роутера?


    1. Chugumoto
      24.05.2018 12:12

      теоретически, если есть доступ к консоли, то поиском новых файлов в файловой системе… но не все роутеры позволяют доступ этот получить, да и свою прошивку оригинальную ж еще нужно распаковать и посмотреть на данные исходные…


    1. LukaSafonov Автор
      24.05.2018 12:14

      Диффать с вендорской.


    1. KonstantinSpb
      24.05.2018 15:05

      Пользоваться чем-то вроде aide.sourceforge.net
      Хранить бд хэшей файлов на внешнем носителе, периодически скачивать с роутера rootfs и проверять, какие файлы изменились, иногда перезагружать роутер в случае если вирус/червь только в памяти находится.


    1. nestyurkin
      25.05.2018 12:44

      на mikrotik

      /system check-installation


  1. Alonso
    24.05.2018 12:13

    Спасибо за линк на сайт Mikrotik. Закрыто еще год назад, еще раз иллюстрирует важность своевременного патч менеджмента.


  1. ISVLabs
    24.05.2018 15:06

    самый верный метод защиты — почаще перепрошиваться с бекапом конфига и хардрезетом. автообновлению лично я не доверяю, но тоже можно настроить на некритичных железках.


    1. Chugumoto
      24.05.2018 18:46

      почаще перепрошиваться на что?
      есть вот наприимер в работе NETGEAR DG834
      подвержен/нет… непонятно… обновок нет давно…
      перепрошиваться той же самой прошивкой? я хотя не уверен, что так получится…


      1. ISVLabs
        24.05.2018 19:26

        а вот нефиг Нетгиры использовать :). я бы их только как дешёвый вариант для дома рекомендовал ввиду множественных глюков и дыр. Микротики тут рулят со всех сторон — и возможностями, и надёжностью, и поддержкой.
        Конечно, если нет более свежего варианта, но есть подозрение, что с железкой что-то не так, можно и на текущую отшиться, чтобы файловую систему гарантированно к исходному виду привести.


        1. Pensioner799
          25.05.2018 10:18

          Согласен!


        1. Chugumoto
          25.05.2018 11:39

          ммм… ну у меня он используется только как adsl-модем, а дальше rb951g-2hnd и т.д.
          был бы вариант с adsl от микротика взял бы, а так… приходится использовать что есть…


      1. Evengard
        25.05.2018 10:01

        openwrt/dd-wrt/tomatousb/т.д.


        1. Chugumoto
          25.05.2018 11:44

          что-то не нахожу под Netgear DG834 v4 (именно без G)
          как и на многие другие ADSL-роутеры в своё время.
          там часто проблема с дровами именно на ADSL


          1. Evengard
            25.05.2018 22:01

            Так он аналогичен версиям с G вроде, только без вайфая. Во всяком случае судя по compulsive-evasion.blogspot.ru/2010/06/openwrt-on-netgear-dg834-adsl-router-v2.html поставить туда реально.


    1. citizentwo
      25.05.2018 22:07

      Если все железо критичное и в работе 24/7 — кроме автообновления вариантов нет, как и нет гарантий того, что с новой прошивкой будет устранена старая уязвимость, Spectre в пример.


      1. ISVLabs
        26.05.2018 04:38

        если железо критичное, то обновление только ручками или, как минимум, под наблюдением. ибо, нет 100% гарантий, что после обновления всё продолжит работать.