Несколько недель назад специалисты по информационной безопасности предупредили об опасном зловреде, получившем название VPNFilter. Как оказалось, главной целью этого malware являются роутеры самых разных производителей. Одной из первых на VPNFilter обратила внимание команда специалистов по инфобезу из Cisco Talos.

Зловред постоянно совершенствуется разработчиками. Недавно был обнаружен новый модуль, который использует тип атаки man-in-the-middle в отношении входящего трафика. Злоумышленники могут модифицировать трафик, проходящий через роутер. Также они без проблем могут перенаправлять любые данные на свои сервера. Модуль вируса получил название ssler.

Кроме модифицирования входящего трафика, ssler также может передавать своим создателям личные данные жертвы. Это могут быть пароли к разного рода ресурсам, которые киберпреступники затем используют с разными целями.

Для предотвращения кражи персональной информации обычно используется TLS шифрование, которое зловред может обойти. Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен. Затем заменяются заголовки запросов, что служит сигналом того, что точка доступа уязвима. Ssler специальным образом модифицирует трафик разных ресурсов, включая Google, Facebook, Twitter и Youtube. Дело в том, что указанные сервисы предоставляют дополнительную защиту. К примеру Google перенаправляет HTTP трафик на HTTPS сервера. Но модуль позволяет обойти и эту защиту, чтобы злоумышленники получали ничем не зашифрованный трафик.

C момента обнаружения вируса специалисты по информационной безопасности изучают его возможности. Сейчас оказалось, что он опаснее, чем считалось. Ранее, к примеру, специалисты Cisco утверждали, что главная задача злоумышленников — заражение сетевых устройств в офисах компаний и домах жертв. Возможно, для формирования ботнета. Но сейчас оказалось, что именно пользователи, вернее, их данные — основная цель.

«Изначально, когда мы обнаружили вирус, мы считали, что он создан для реализации разного рода сетевых атак. Но оказалось, что это вовсе не основная задача и возможность зловреда. Он создан, главным образом, для того, чтобы воровать данные пользователей и модифицировать трафик. К примеру, вирус может изменять трафик таким образом, что пользователь клиент-банка будет видеть прежнюю сумму на своем счету. А на самом деле денег там давно уже нет», — говорится в отчете специалистов по кибербезопасности.

Интересно, что большая часть зараженных устройств находится на/в Украине. Здесь не слишком распространены защитные меры вроде HTTP Strict Transport Security, поэтому данные пользователей под угрозой. Но и в других странах есть проблемы — например, в США и Западной Европе многие устройства, устаревшие морально, не поддерживают работу с HTTPS, продолжая использовать HTTP.

Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.

Полный список уязвимых устройств
Asus:
RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)

D-Link:
DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)

Huawei:
HG8245 (new)

Linksys:
E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N

Mikrotik:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)

Netgear:
DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)

QNAP:
TS251
TS439 Pro
Other QNAP NAS с QTS

TP-Link:
R600VPN
TL-WR741ND (new)
TL-WR841N (new)

Ubiquiti:
NSM2 (new)
PBE M5 (new)

Upvel:
Unknown Models* (new)

ZTE:
ZXHN H108N (new)

И это еще не все


Кроме всего, что было озвучено выше, в Talos сообщили об обнаружении снифер-модуля. Он анализирует трафик в поиске данных определенного типа, которые связаны с работой промышленных систем. Этот трафик проходит через TP-Link R600, что и определяется модулем. Кроме того, модуль ищет обращения к IP из определенного диапазона, а также пакеты данных, размер которых составляет 150 байт или более.



«Создатели вируса ищут вполне конкретные вещи. Они не стараются собрать как можно больше доступной информации, вовсе нет. Им нужны пароли, логины, обращение к определенному диапазону IP и тому подобные вещи. Мы пытаемся понять, кому все это может быть нужно», — заявляют исследователи.

Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения. При активации модуля вирус удаляется с устройства безо всяких следов.

Несмотря на то, что около недели назад ФБР обнаружило и изъяло главный сервер, ботнет до сих пор остается активным, принятых мер оказалось явно недостаточно.

Комментарии (45)


  1. MaxxONE
    08.06.2018 13:49

    TL-WR841N (new) — что значит new? Насколько он должен быть new?


    1. kirillzak
      08.06.2018 14:00

      Это значит, что в предыдущем списке его не было.


  1. HermaMora
    08.06.2018 14:05
    -1

    Мы пытаемся понять, кому все это может быть нужно

    Может быть разработчикам зловреда для перепродажи или личного использования?
    image


  1. Sklott
    08.06.2018 14:07
    +1

    А мне вот интересно, почему ни в одной статье про VPNFilter не написано как проверить заражен роутер или нет…
    Ведь наверняка на зараженном должны быть запущенны какие-нибудь определенные процессы и/или иметься какие-нибудь специфичные файлы…


    1. VolCh
      08.06.2018 14:24

      Вот, да. Особенно интересно стало увидев свой основной роутер в списке уявимых.


    1. Lure_of_Chaos
      08.06.2018 14:40

      Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения. При активации модуля вирус удаляется с устройства безо всяких следов.

      плюс интересно, есть ли способ этот модуль триггернуть.


    1. eagleivg
      08.06.2018 17:21
      +1

      В статье есть ссылка: blog.talosintelligence.com/2018/06/vpnfilter-update.html
      Там список файлов и их md5


      1. TheIseAse
        09.06.2018 16:54

        Ссылка выглядит, как будто блогпост о новом релизе. Скачайте прямо сейчас!


  1. vesper-bot
    08.06.2018 14:16

    Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен.

    Эммм, а разве браузер не должен заорать на такой даунгрейд соединений?


    А то, что вирус эволюционирует, это может значить, что тот сервер, который ФБР изъяли, был или не главным, или вообще ханипотом.


    1. zbestr
      08.06.2018 15:08

      Как я понимаю, если модуль MITM, то он может отдавать браузеру https, а с сайтом общаться по http.


      1. sumanai
        08.06.2018 15:18

        Это нужен свой сертификат в браузере.


        1. VolCh
          08.06.2018 16:27

          Редирект на свой сайт?


          1. kakutuzov
            08.06.2018 16:40

            Тогда это не будет отличаться от обычного фишинга.


            1. VolCh
              08.06.2018 17:27

              Будет. Пользователь сам набирает свой доверенный сайт или достаёт его из закладок. Тем более редирект можно делать не при первом обращении, чтоб не сильно палиться.


          1. sumanai
            08.06.2018 18:21

            Браузер его не примет для многих сайтов, так как соединение не по HTTPS.


  1. achekalin
    08.06.2018 14:49

    Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.

    Являлись. Микротики заткнули дыру уже больше года назад. Достаточно ROS обновить, и все.
    Афторы «новостей» такие афторы. Бери больше, переводи быстрее.


    1. oops1
      08.06.2018 15:12

      Какая версия ROS уязвима?
      6.40.4 — уязвима?


      1. achekalin
        08.06.2018 15:18

        Нет. Собственно, почитайте оповещение от микротиков. Поправили в 6.38.5, в марте 2017:

        What's new in 6.38.5 (2017-Mar-09 11:32):
        ...
        !) www - fixed http server vulnerability;
        ...


        Ваша же версия 6.40.4, хоть и ветке release (другими словами, вы сами выбрали «быть поближе к багам и фичам»), но вышла 2 октября 2017.

        Ну а вообще, эта «дыра» была дырой только для тех, кто веб-морду не закрыл от доступа «из мира» — что, полагаю, сделал все же каждый уважающий юзер. Тем более что с winbox веб и в принципе не нужен.


        1. mikhailian
          08.06.2018 15:33

          С winbox там вроде другой вектор атаки есть.


          1. achekalin
            08.06.2018 15:37

            Именно так, и его затыкали уже. Но при наличии в девайсе winbox оставлять открытым наружу веб — это даже как-то странно.


            1. mickvav
              08.06.2018 20:18

              Тут хотелось бы увидеть статистику микротиков по количеству скачиваний обновленных версий по отношению к общему количеству проданных устройств.


              1. achekalin
                09.06.2018 08:16

                Это где-то на форуме микротика спросить бы, тем более что обновление у них встроенное, значит, статистика может и собираться. Но вопрос, кто что наружу открывает. Оставить ssh, закрыл к нему доступ с нескольких всего ip — живи спокойно. А по фен-шую чтобы — закрыть все, кроме api-ssl, да и тот — с адреса управляющей машины.
                Вот остальные девайся по списку — это да, там может быть и печально.


              1. DaemonGloom
                09.06.2018 11:24

                Как раз микротики хороши тем, что в них обновления выходят даже для старого железа. И не обновлять их — странно.


                1. Meklon
                  09.06.2018 15:27

                  Их беда — потрясающая стабильность. Лежит в кладовке где-то в удаленном офисе и все. Все забыли про него. Частый кейс в небольших компаниях без централизованного управления и мониторинга.


        1. oops1
          08.06.2018 15:39

          Спасибо за ответ.
          Да, про эту уязвимость пишут расплывчато, что то не понятно было уязвим или нет.

          доступ снаружи я закрыл через 30 минут, после первого включения, зашел в лог а в логе попытки логина из вне…


    1. TechnoMag
      09.06.2018 03:00

      Только вот для TL-WR841N на офсайте прошивка от 2017-07-13. Да и, похоже, они не торопятся с обновлениями.


      1. achekalin
        09.06.2018 08:16

        Ну у них позиция другая: купил, и в сторону отойди, не мешай дальше продавать!
        Но есть же *wrt — кто мешает рискнуть?


        1. PaulAtreides
          09.06.2018 13:59

          Ой, промахнулся веткой. :)


      1. kirillzak
        09.06.2018 11:15

        Многие берут устройства этого производителя только для того, чтобы воткнуть туда OpenWRT…
        Единственный минус всего этого — это отсутствие поддержки аппаратного NAT и шифрования (если они есть, конечно же).


  1. NikiN
    08.06.2018 15:26

    1. achekalin
      08.06.2018 15:37

      Не пишут, кого русские на следующих выборах вместо неосилятора Трампа выберут? #шутка


      1. PaulAtreides
        09.06.2018 14:00

        Президентом США после Трампа будет Лиза Симпсон. Только тссс, это секрет, никому не говорите.


  1. Tsvetik
    08.06.2018 15:31
    +1

    Когда узнал, что на моем Zyxel Keenetic MIPS процессор, то очень огорчился. А теперь оказалось, что это большой плюс.


    1. XogN
      08.06.2018 16:06

      Я тоже теперь радуюсь, что в моем роутере стоит процессор Realtek RTL8196B.
      (Это архитектура Lexra RLX, урезанная разновидность MIPS)


  1. mikes
    08.06.2018 15:56

    интересно почему в списке роутеров оказался обычный коммутатор :)?


    1. Tyrauriel
      08.06.2018 16:15

      Когда-то давно пытался устроиться в техподдержку к региональному провайдеру, в первый же день попал на лекцию, вел кто-то из Д-линка.
      Мой вопрос — в чем принципиальная разница между роутером и управляемым коммутатором?
      Ответ — ни в чем, потому что коммутатор в принципе можно перешить в роутер и наоборот. Лишь бы была подходящая прошивка в наличии.

      Пример кстати Mikrotik CRS.
      P.S.
      Стажировку я так и не прошел.


      1. achekalin
        09.06.2018 08:18

        Коммутаторы обычно многое делают аппаратно, в т.ч. со штормами бороться — в роутерах это часто на проц ложится, а тот может и захлебнуться (пример — CRS125).


  1. Stas911
    08.06.2018 21:55

    Вытер пыль с роутера, чтобы проверить, подвержен ли — оказался такой старый, что даже вирусы для него уже не пишут


  1. Vilgelm
    09.06.2018 00:02
    +2

    Уязвимости программные или аппаратные? Если роутер уязвимый, но на нем стоит OpenWRT, то он уязвим или нет? В статье не раскрыт этот момент.


    1. IgorGIV
      09.06.2018 01:51

      Насколько я понял, этот момент не раскрыт, т.к. пока неясен сам механизм заражения устройств.


  1. Cenzo
    09.06.2018 04:02

    При активации модуля вирус удаляется с устройства безо всяких следов.

    Скорее я бы сказал, что он удаляет всё на устройстве, чем удаляется сам. Со следами в виде 0xFF.

    «The dstr module clears flash memory by overwriting the bytes of all available /dev/mtdX devices with a 0xFF byte. Finally, the shell command rm -rf /* is executed to delete the remainder of the file system and the device is rebooted. At this point, the device will not have any of the files it needs to operate and fail to boot.»


  1. Dioxin
    09.06.2018 10:01

    Пора засучивать рукава и мастерить свой проприетарный роутер


    1. ntfs1984
      09.06.2018 14:07

      Тсю, я давно так сделал.
      Есть отличные x86-решения, не требующие танцев с бубном и в принципе по приемлемой цене. У меня вот такое: image

      Устанавливается что угодно, Убунта с костылями с iptables, pfSense, ddwrt и тд. Гигабитные порты, SSD. Цена порядка 130 бакинских. Была пару лет назад.


      1. daggert
        09.06.2018 15:46

        А что это за милота?


      1. Googlist
        09.06.2018 17:00

        Как я понял єто APU2?
        www.pcengines.ch/apu2.htm
        Где покупали?
        Одно время ALIX использовал, остались самьіе приятньіе впечатления, но єто бьіло давно.