Одна из моделей роутеров, заражаемых VPNFilter

На днях стало известно о том, что ФБР просит пользователей интернета в США перезагрузить свои роутеры для того, чтобы избавиться от вируса VPNFilter. Malware о котором идет речь, как считают специалисты, заразило сотни тысяч различных сетевых устройств. Избавиться от него можно очень простым способом — просто перезагрузить свой роутер.

О самом зловреде рассказывали специалисты компании Cisco Talos на прошлой неделе. В настоящее время количество зараженных вирусом роутеров достигло полумиллиона и продолжает увеличиваться. Это роутеры не одного и не двух производителей, а многих известных вендоров, включая Linksys, Mikrotik, Netgear, QNAP и TP-Link.

VPNFilter позволяет своим создателям получать данные переписки пользователя зараженного роутера, осуществлять атаки на другие устройства или даже выводить из строя сетевое устройство всего одной командой. Выполнение ее приводит к полной неработоспособности зараженной системы.

По мнению специалистов Cisco Talos, разработчики вируса — российская команда взломщиков, известная как Sofacy, Fancy Bear, APT 28 и Pawn Storm. О причастности к разработке вируса именно этой группы говорят косвенные признаки, на которые и обратили внимание специалисты по информационной безопасности. Для того, чтобы избавиться от вредоносного ПО, нужно вернуть роутер к фабричным настройкам или хотя бы перезагрузить его. Известно, что многие зловредные программы уничтожаются, если зараженное устройство перезагрузить. Но это, к сожалению, характерно лишь для относительно простых устройств.

ФБР удалось обнаружить основной сервер группы, который был изъят для дальнейшего изучения. Именно благодаря этому агенты ФБР смогли выяснить, сколько именно устройств было заражено этим вирусом (об этом говорилось в самом начале).

Собственно, если перезагрузка может помочь, то почему и не попробовать, верно? ФБР предлагает выполнить эту операцию не только пользователям тех моделей роутеров, о которых известно, что они уязвимы, но и тех, которые пока что не фигурируют в сводках специалистов по кибербезопасности. Таким образом можно просто перестраховаться.

Кроме того, владельцам потенциально уязвимых устройств советуют убрать возможность удаленной настройки роутера и вообще отключить всякий удаленный доступ во избежание дальнейших проблем. Второй шаг — обновление прошивки, это позволит изменить многое, защитив сетевые устройства и сами сети еще лучше.

После перезагрузки устройства окажутся уязвимыми для повторного заражения. Но если соблюдать элементарные правила работы в сети, то вряд ли что изменится.


Интерфейс перезагрузки отличается от роутера к роутеру, но смысл все равно один — перезагрузить систему

Кроме ФБР еще и Министерство внутренней безопасности попросило граждан США перезагрузить последние для того, чтобы снизить количество зараженных устройств. Среди потенциально уязвимых роутеров следующие:
  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS devices running QTS software
  • TP-Link R600VPN

Что касается совета перезапустить роутер, то оно вполне адекватное, причем сделать это стоит не только тем, кто живет в США, ведь VPNFilter поражает устройства по всему миру.

Роутеры в наше время — один из наиболее уязвимых для зловредов элементов сетевой инфраструктуры. Большинство IoT-вирусов рассчитаны на первоначальное поражение именно роутеров. Далее варианты действий злоумышленников разнятся. Кто-то может передавать все данные о действиях пользователей, еще кто-то — определенным образом модифицировать трафик. Внимание производителей роутеров не раз и не два обращали на эту проблему, но, к сожалению, пока что она остается актуальной. И хотя избавиться от зловреда можно всего лишь перезагрузив роутер, все равно массовое их заражение приводит к весьма печальным последствиям.

Комментарии (19)


  1. Ghost_nsk
    28.05.2018 11:57
    +2

    Не одного же меня посетила мысль что перезагрузка нужна для применения новых конфигов?


    1. SellerOfSmiles
      28.05.2018 12:09

      Отчет Cisco Talos содержит подробное описание того как работает этот зловред. И перезагружать устройства он вообще-то умеет сам.
      Заражение проходит в три этапа. На первом этапе в устройство заливается что-то вроде руткита. Он записывает себя во флеш и от этой штуки перезагрузкой не избавишься. На втором и третьем этапе в установленный руткит загружаются плагины, ради которых собственно и заражали устройство. Эти плагины не сохраняются во флеше и загружаются руткитом с «основного сервера».


      1. demimurych
        28.05.2018 12:51

        Ну все логично. Поскольку сервер в их руках то перезагрузкой мы избавляемся от плагинов вирусописателей и подгружаем нужные нам.


  1. nerudo
    28.05.2018 11:57
    +1

    «ФБР успешно пропатчила прошивки ваших маршрутизаторов. Требуется перезагрузка, чтобы изменения вступили в силу»


  1. RadicalDreamer
    28.05.2018 14:24
    -1


    1. RadicalDreamer
      28.05.2018 17:13

      Зря минусуете, вся суть совета отражена в одной картинке.
      Тем более что

      После перезагрузки устройства окажутся уязвимыми для повторного заражения.

      Не вижу в статье технических деталей по поводу попадания зловреда на устройство. Как понять, что устройство заражено, и если так — то как часто перезагружать?


      1. mayorovp
        28.05.2018 18:37
        +1

        Если они и правда вывели из строя сервер(ы) откуда скачивается основной модуль червя — то одной перезагрузки достаточно. До тех пор пока авторы червя не выпустят новую версию.


      1. achekalin
        29.05.2018 06:59

        А надо не перепечатку Маркса читать, а исходное сообщение у Циски:

        The VPNFilter malware is a multi-stage, modular platform with versatile capabilities to support both intelligence-collection and destructive cyber attack operations.

        The stage 1 malware persists through a reboot, which sets it apart from most other malware that targets internet-of-things devices because malware normally does not survive a reboot of the device. The main purpose of stage 1 is to gain a persistent foothold and enable the deployment of the stage 2 malware. Stage 1 utilizes multiple redundant command and control (C2) mechanisms to discover the IP address of the current stage 2 deployment server, making this malware extremely robust and capable of dealing with unpredictable C2 infrastructure changes.

        The stage 2 malware, which does not persist through a reboot, possesses capabilities that we have come to expect in a workhorse intelligence-collection platform, such as file collection, command execution, data exfiltration and device management. However, some versions of stage 2 also possess a self-destruct capability that overwrites a critical portion of the device's firmware and reboots the device, rendering it unusable. Based on the actor's demonstrated knowledge of these devices, and the existing capability in some stage 2 versions, we assess with high confidence that the actor could deploy this self-destruct command to most devices that it controls, regardless of whether the command is built into the stage 2 malware.

        In addition, there are multiple stage 3 modules that serve as plugins for the stage 2 malware. These plugins provide stage 2 with additional functionality. As of this writing, we are aware of two plugin modules: a packet sniffer for collecting traffic that passes through the device, including theft of website credentials and monitoring of Modbus SCADA protocols, and a communications module that allows stage 2 to communicate over Tor. We assess with high confidence that several other plugin modules exist, but we have yet to discover them.


  1. Aleksazhko
    28.05.2018 17:15

    Микротики заявили, что уязвимость устранена в марте. Марте прошлого года. Хотя я слабо представляю себе, как у них что-то стороннее в принципе может запуститься.


    1. SellerOfSmiles
      28.05.2018 17:39
      +1

      Все зараженные устройства работают на прошивках основанных на ядре Linux с установленным Busybox. Я как бы ни на что не намекаю, но мне сразу вспомнилась та история когда в сетевом стеке FreeBSD нашли АНБшную закладку. :)

      А в твоем рутованном Android стоит Busybox? :-]


      1. Aleksazhko
        28.05.2018 19:18
        +2

        Из принципа не разлочиваю и не рутую. Прошли те времена, когда хочется на основном телефоне этим заниматься. Искаропки.


      1. robert_ayrapetyan
        28.05.2018 20:22

        OpenBSD же.


        1. SellerOfSmiles
          28.05.2018 20:32

          Да, точно. И не АНБшную, а ФБРовскую. :)


    1. achekalin
      29.05.2018 06:58

      Да вот они сами пишут, что проблема в webfig была, если он висел на 80 порту и не было файрвольных правил для закрытия его.

      Честно говоря, на фоне «достижений» по дырам других вендоров, Микротики молодцы.


  1. devalone
    28.05.2018 23:25
    +1

    По мнению специалистов Cisco Talos, разработчики вируса — российская команда взломщиков, известная как Sofacy, Fancy Bear, APT 28 и Pawn Storm. О причастности к разработке вируса именно этой группы говорят косвенные признаки, на которые и обратили внимание специалисты по информационной безопасности

    Интересно, по каким косвенным признакам определяют. Стиль работы зловреда?


  1. shuvaevgl
    29.05.2018 00:33

    QNAP TS251 и прочие модели — это же вообще не роутеры, а NAS. Это сетевые хранилища подвержены взлому этим вирусом или просто список устройств кривой?


    1. Aleksazhko
      29.05.2018 07:03

      http-сервер подвержен. Список кривоват.


  1. achekalin
    29.05.2018 06:53
    +1

    Автор не столько бы переводил чужие источники (причем не исходные, а пост на Арстехнике про пост на Циске), сколько попробовал бы разобраться: перезагрузка от этого зловреда, судя по сообщению циски, не помогает. Далее, про список железок: тот же Mikrotik сразу же вышел с опровержением, написав, что дыра заткнута уже какое-то время (с марта 2017, если что), и хорошим решением будет не перезагрузка, а обновление до свежей ROS плюс затыкание ненужных доступов (это вообще универсальное решение из серии «хуже не сделает»).

    Вот цитата из оповещения Циски:

    The VPNFilter malware is a multi-stage, modular platform with versatile capabilities to support both intelligence-collection and destructive cyber attack operations.

    The stage 1 malware persists through a reboot, which sets it apart from most other malware that targets internet-of-things devices because malware normally does not survive a reboot of the device.


    Выделение моё. Возможно, ФБР и захватило управляющие центры зловреда, и перезагрузка поможет тем, что первая сфаза заражения после ребута не сможет получить от центра информацию и бинарники заражения, но кто знает, что будет завтра, так что лечить все же придется.


  1. REPISOT
    29.05.2018 10:25
    +1

    Второй шаг — обновление прошивки, это позволит изменить многое, защитив сетевые устройства и сами сети еще лучше.
    Сегодня наша команда сыграла плохо, завтра мы будем играть еще лучше.