image

Введение


Аналитическое подразделение Cisco Talos, совместно с технологическими партнерами, выявило дополнительные подробности, связанные с вредоносным ПО «VPNFilter». С момента первой публикации по данной тематике мы обнаружили, что вредоносное ПО VPNFilter нацелено на большее количество моделей устройств и расширили список компаний, продукция которых может быть инфицирована. Кроме того, мы установили, что вредоносное ПО обладает дополнительными функциями, включая возможность реализации атак на пользовательские оконечные устройства. В недавней публикации в блоге Talos рассматривалась крупномасштабная кампания по распространению VPNFilter на сетевые устройства для дома или малого офиса, а также на ряд сетевых систем хранения данных. В той же публикации упоминалось, что исследование угрозы продолжается. После выпуска первой публикации несколько отраслевых партнеров предоставили нам дополнительные сведения, которые помогли нам продвинуться в расследовании. В рамках данной публикации мы представляем результаты этого расследования, полученные в течение последней недели.
Во-первых, мы установили, что список производителей оборудования, продукция которых является целью вредоносной кампании, необходимо дополнить новыми участниками. Это оборудование компаний ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. Также были выявлены дополнительные модели устройств, выпущенных Linksys, MikroTik, Netgear и TP-Link, подверженных данной атаке. В настоящее момент времени наше расследование не выявило фактов уязвимости сетевых устройств, выпущенных Cisco. Обновленный список устройств приведен ниже.

Кроме того, мы обнаружили новый вредоносный модуль, функционирующий на этапе 3, который обеспечивает добавление вредоносного контента в веб-трафик при передаче такого трафика через инфицированное устройство. На момент первой публикации мы не располагали всей информацией о модулях, функционирующих на этапе 3. Новый модуль позволяет инициаторам вредоносной кампании реализовывать эксплойты, направленные на оконечные устройства пользователей, с применением подхода «атакующий-посередине» (т.е. выполнять перехват сетевого трафика и инъекцию вредоносного кода в трафик без ведома пользователя). Благодаря новым результатам расследования, мы можем подтвердить, что возможности угрозы выходят за рамки сетевого устройства, и угроза может распространяться дальше в сеть, в которую входит скомпрометированное сетевое устройство. Технические сведения об этом модуле, который называется «ssler», представлены ниже.

Кроме того, мы обнаружили дополнительный модуль, функционирующий на этапе 3, который предоставляет любому модулю, функционирующему на этапе 2 и не поддерживающему «kill», возможность вывести устройство из строя. При запуске этот модуль удаляет все следы присутствия вредоносного VPNFilter на устройстве и переводит устройство в неработоспособное состояние. Результаты анализа этого модуля, который называется «dstr», также представлены ниже.

Наконец, мы продолжили исследование пакетного сниффера, функционирующего на этапе 3, включая подробный анализ методов обнаружения трафика Modbus.

Технические сведения


Новые модули, функционирующие на этапе 3


'ssler' (модуль взлома оконечных устройств — инъекция JavaScript)

Модуль ssler (мы произносим это название «Esler») предоставляет возможности кражи данных и инъекции кода JavaScript путем перехвата всего трафика, предназначенного для порта 80 и передаваемого через устройство. Этот модуль поддерживает список параметров, которые определяют поведение модуля и те веб-сайты, для трафика к которым перехват будет осуществляться. Первый параметр определяет каталог на устройстве, в которой будут храниться украденные данные. Назначение других параметров описано ниже:

  • dst: — используется в созданных правилах iptables для указания IP-адреса или CIDR-диапазона адресов получателя, к которому должно применяться правило.
  • src: — используется в созданных правилах iptables для указания IP-адреса или CIDR-диапазона адресов отправителя, к которому должно применяться правило.
  • dump: — все HTTP-заголовки запросов к любому домену, указанному в параметре dump, будут сохранены в файле reps_*.bin file.
  • site: — если домен указан как значение параметра site, его веб-страницы будут целью инъекции JavaScript.
  • hook: — этот параметр определяет URL-адрес файла JavaScript для инъекции.

Первое действие, выполняемое модулем ssler, — настройка iptables устройства для перенаправления всего трафика, адресованного на порт 80, на локальный сервис, который функционирует на порту 8888. Он запускается с помощью команды insmod для вставки в ядро трех модулей iptables (ip_tables.ko, iptable_filter.ko, iptable_nat.ko) и затем выполняет следующие команды shell:

  • iptables -I INPUT -p tcp --dport 8888 -j ACCEPT
  • iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8888
  • Example: ./ssler logs src:192.168.201.0/24 dst:10.0.0.0/16

-A PREROUTING -s 192.168.201.0/24 -d 10.0.0.0/16 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8888

Примечание. Чтобы убедиться, что эти правила не будут удалены, ssler удаляет их и сразу добавляет обратно примерно каждые четыре минуты.

Любые исходящие веб-запросы на порт 80 будут перехвачены модулем ssler, они могут быть проанализированы и модифицированы перед передачей легитимному сервису HTTP. Для всех HTTP-запросов выполняется перевод с https на http. Перед отправкой запросов легитимным HTTP-серверам в них вносятся следующие изменения:

  • Все вхождения строки «https://» заменяются на «http://», чтобы преобразовать запросы защищенных HTTP-ресурсов на запросы к незащищенным, чтобы обеспечить возможность получения конфиденциальных данных, например, учетных данных.
  • Если в запросе содержится заголовок Connection: keep-alive, он заменяется на Connection: close
  • Если в запросе содержится заголовок Accept-Encoding со значением gzip, он заменяется на Accept-Encoding: plaintext/none, чтобы предотвратить сжатие ответов с использованием gzip (есть исключения для определенных типов файлов, например, графических файлов).

Если хост указан в качестве значения параметра dump:, подробные сведения о запросе сохраняются на диск для последующего сбора злоумышленником, включая URL, порт и все заголовки запроса. Если хост не указан в качестве значения параметра dump:, то будут сохраняться только запросы с заголовком Authorization или URL-адреса, содержащие учетные данные. URL-адреса, содержащие учетные данные, определяются по следующим критериям — они должны содержать строку «assword=» или «ass=» и одну из следующих строк:

  • sername=
  • ser=
  • ame=
  • ogin=
  • ail=
  • hone=
  • session%5Busername
  • session%5Bpassword
  • session[password

Все POST-запросы к accounts.google.com, содержащие строку «signin», также будут сохранены для последующего сбора.

После всех вышеперечисленных модификаций модуль ssler инициирует подключение к легитимному HTTP-серверу и отправляет модифицированный запрос на порт 80. Затем модуль ssler получает ответ от HTTP-сервера и вносит в ответ следующие изменения до передачи ответа жертве:

  • Ответ с https:// в заголовке Location преобразуется в http://
  • Следующие поля игнорируются, т.е. не пересылаются клиенту:
    • Alt-Scv
    • Vary
    • Content-MD5
    • content-security-policy
    • X-FB-Debug
    • public-key-pins-report-only
    • Access-Control-Allow-Origin
  • Для всего ответа выполняется преобразование из https с http — все вхождения https:// заменяются на \x20http://.
  • Если домен (или часть имени домена, например «google») указан в качестве значения параметра site:, выполняется попытка инъекции JavaScript во все ответы Content-Type: text/html или Content-Type: text/javascript. Требованием является наличие строки и ее достаточная длина, чтобы значение параметра hook: поместилось в нее. Тег будет заменен на

    Все домены, для запросов к которым выполняется замена https на http (т.е. домены содержатся в ссылках), добавляются в список sslstripped-доменов. Последующие запросы, перехваченные модулем ssler к доменам, входящим в этот список, будут выполняться по HTTPS (порт 443), а не по HTTP (порт 80). По умолчанию в списке содержатся четыре домена, поэтому модуль ssler будет всегда подключаться к этим доменам по HTTPS (порт 443): www.google.com, twitter.com, www.facebook.com, or www.youtube.com.

    'dstr' (модуль вывода устройства из строя)

    Модули dstr используются для вывода инфицированного устройства из строя путем удаления файлов, необходимых для нормальной работы. Этот модуль удаляет все файлы и каталоги, связанные с работой вредоносного ПО, до удаления остальных файлов в системе, возможно, это должно предотвратить обнаружение вредоносного ПО при расследовании инцидента.

    Мы выполнили подробный анализ модуля dstr_i586. Этот модуль сначала удалял себя с диска, а затем завершал выполнение родительского процесса, функционирующего на этапе 2. Затем он выполняет поиск всех запущенных процессов с именами vpnfilter, security и tor и завершает их работу. Затем он явно удаляет следующие файлы и каталоги:

    • /var/tmp/client_ca.crt
    • /var/tmp/client.key
    • /var/tmp/client.crt
    • /var/run/vpnfilterm/htpx
    • /var/run/vpnfilter
    • /var/run/vpn.tmp
    • /var/run/vpn.pid
    • /var/run/torrc
    • /var/run/tord/hidden_ssh/private_key
    • /var/run/tord/hidden_ssh/hostname
    • /var/run/tor
    • /var/run/msvf.pid
    • /var/run/client_ca.crt
    • /var/run/client.key
    • /var/run/client.crt
    • /var/pckg/mikrotik.o
    • /var/pckg/.mikrotik.
    • /var/msvf.pid
    • /var/client_ca.crt
    • /var/client.key
    • /var/client.crt
    • /tmp/client_ca.crt
    • /tmp/client.key
    • /tmp/client.crt
    • /flash/nova/etc/loader/init.x3
    • /flash/nova/etc/init/security
    • /flash/nova/etc/devel-login
    • /flash/mikrotik.o
    • /flash/.mikrotik.
    • /var/run/vpnfilterw/
    • /var/run/vpnfilterm/
    • /var/run/tord/hidden_ssh/
    • /var/run/tord/
    • /flash/nova/etc/loader/
    • /flash/nova/etc/init/

    Модуль dstr выполняет очистку флэш-памяти устройства путем перезаписи байтов всех доступных устройств /dev/mtdX значением 0xFF. Затем выполняется shell-команда rm -rf /*, призванная удалить все содержимое файловой системы, и устройство перезагружается. В этот момент времени на устройстве нет никаких файлов, необходимых для работы, и устройство не сможет загрузиться.

    Дополнительное исследование пакетного сниффера, функционирующего на этапе 3

    'ps' (пакетный сниффер, функционирующий на этапе 3)

    Одним из образцов пакетного сниффера, функционирующего на этапе 3, которым мы располагаем, является образец R600VPN (архитектура Lexra, напоминает MIPS). Этот образец представляет собой пакетный сниффер, который выполняет поиск параметров для реализации базовой аутентификации и мониторинг трафика ICS traffic, разработанный для TP-LINK R600-VPN. Вредоносное ПО использует механизм «raw socket» для обнаружения подключений к заранее заданному IP-адресу, при этом он учитывает только TCP-пакеты длиной не менее 150 байт (примечание: указана полная длина пакета с учетом всех заголовков. В зависимости от размера TCP-заголовка, может выполняться журналирование PDU длиной от 56 до 96 байт). Этот сниффер обеспечивает доступ к сетевому трафику только для чтения, но не для модификации. Для реализации функций, обеспечивающих модификацию трафика, потребуется существенная модификация трафика.

    image

    В пакетах, которые передаются на порт, отличный от 502, выполняется поиск параметров базовой аутентификации, при обнаружении таких параметров они журналируются.

    • Else: (трафик, отличный от Modbus): сбор учетных данных, используемых для базовой аутентификации HTTP
      • IP-адрес получателя == аргумент командной строки
      • Порт отправителя > 1024
      • Порт отправителя != 8080
      • Порт отправителя != 8088
      • Длина пакета данных > 20 байт
      • В пакете не содержится ни одна из следующих строк

        <?xml
        Basic Og==
        /tmUnblock.cgi
        Password Required
        <div
        <form
        <input
        this. and .get
        {
        }
        200 OK
        <span
        <SPAN
        <DIV
    • В пакете содержится 'Authorization: Basic' ИЛИ одно сочетание имя пользователя/пароль

      • Имя пользователя
        • User=
        • user=
        • Name=
        • name=
        • Usr=
        • usr=
        • Login=
        • login=
      • Пароль
        • Pass=
        • pass=
        • Password=
        • password=
        • Passwd=
        • passwd=
    • Журналирование: выполняется журналирование IP-адресов и портов (но не содержимого пакетов), связанных с портом 502. Проверка, является ли трафик трафиком Modbus, не выполняется.
      • Modbus: журналирование SourceIP, SourcePort, DestinationIP, DestinationPort и пометка *modbus*
      • Прочий трафик: запись всего содержимого пакета в журнал в том и только в том случае, если пакет удовлетворяет критериям базовой аутентификации HTTP

    Заключение


    Новые результаты расследования убедили нас, что угроза, связанная с вредоносным ПО VPNFilter, продолжает расти. Мы не только установили новые модели и марки инфицированных устройств, но и обнаружили возможности вредоносного ПО, связанные со взломом оконечных устройств. Тем самым, область воздействия этой угрозы выходит за рамки сетевых устройств и в нее попадают сети, обслуживаемые инфицированными устройствами. В случае успешной атаки злоумышленник сможет выполнить развертывание любого требуемого функционального модуля для реализации своих целей, включая руткиты, средства извлечения информации и разрушительное вредоносное ПО.

    Talos выражает благодарность всем самостоятельным исследователям, компаниям и технологическим партнерам со всего мира, которые поделились информацией и приняли участие в анализе этой угрозы. Ваши действия помогли нам сформировать более глубокое представление об этой вредоносной кампании, а в некоторых случаях и существенно улучшили ситуацию. Мы прекрасно понимаем, что это командный вид спорта, и искренне благодарим вас за помощь.

    Мы продолжим следить за VPNFilter и сотрудничать с нашими партнерами, чтобы оценивать уровень угрозы по мере ее развития, а также обеспечить надежную защиту наших клиентов и информированность сообщества.

    Обновленный список индикаторов компрометации (IOC)


    Как указано выше, мы подозреваем, что существуют дополнительные индикаторы компрометации и версии этого вредоносного ПО, о которых мы не знаем в настоящее время. Приведенный ниже список IOC отражает наши текущие представления. Новые IOC выделены ПОЛУЖИРНЫМ шрифтом.

    Известные домены и IP-адреса C2


    Связанные с 1-м этапом


    photobucket[.]com/user/nikkireed11/library
    photobucket[.]com/user/kmila302/library
    photobucket[.]com/user/lisabraun87/library
    photobucket[.]com/user/eva_green1/library
    photobucket[.]com/user/monicabelci4/library
    photobucket[.]com/user/katyperry45/library
    photobucket[.]com/user/saragray1/library
    photobucket[.]com/user/millerfred/library
    photobucket[.]com/user/jeniferaniston1/library
    photobucket[.]com/user/amandaseyfried1/library
    photobucket[.]com/user/suwe8/library
    photobucket[.]com/user/bob7301/library
    toknowall[.]com

    Связанные со 2-м этапом


    91.121.109[.]209
    217.12.202[.]40
    94.242.222[.]68
    82.118.242[.]124
    46.151.209[.]33
    217.79.179[.]14
    91.214.203[.]144
    95.211.198[.]231
    195.154.180[.]60
    5.149.250[.]54
    94.185.80[.]82
    62.210.180[.]229
    91.200.13[.]76
    23.111.177[.]114

    6b57dcnonk2edf5a[.]onion/bin32/update.php
    tljmmy4vmkqbdof4[.]onion/bin32/update.php
    zuh3vcyskd4gipkm[.]onion/bin32/update.php
    4seiwn2ur4f65zo4.onion/bin256/update.php
    zm3lznxn27wtzkwa.onion/bin16/update.php

    Известные хэш-суммы файлов


    Вредоносное ПО, функционирующее на 1-м этапе


    50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
    0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
    b9770ec366271dacdae8f5088218f65a6c0dd82553dd93f41ede586353986124
    51e92ba8dac0f93fc755cb98979d066234260eafc7654088c5be320f431a34fa
    6a76e3e98775b1d86b037b5ee291ccfcffb5a98f66319175f4b54b6c36d2f2bf
    313d29f490619e796057d50ba8f1d4b0b73d4d4c6391cf35baaaace71ea9ac37

    Вредоносное ПО, функционирующее на 2-м этапе


    9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
    d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
    4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
    9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
    37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
    776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
    8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
    0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
    2ffbe27983bc5c6178b2d447d8121cefaa5ffa87fe7b9e4f68272ce54787492f
    1e741ec9452aab85a2f7d8682ef4e553cd74892e629012d903b521b21e3a15bf
    90efcaeac13ef87620bcaaf2260a12895675c74d0820000b3cd152057125d802
    eaf879370387a99e6339377a6149e289655236acc8de88324462dcd0f22383ff
    081e72d96b750a38ef45e74d0176beb982905af4df6b8654ea81768be2f84497
    24b3931e7d0f65f60bbb49e639b2a4c77de83648ff08e097ff0fa6a53f5c7102
    4497af1407d33faa7b41de0c4d0741df439d2e44df1437d8e583737a07ec04a1
    579b2e6290c1f7340795e42d57ba300f96aef035886e80f80cd5d0bb4626b5fc
    eeb3981771e448b7b9536ba5d7cd70330402328a884443a899696a661e4e64e5
    952f46c5618bf53305d22e0eae4be1be79329a78ad7ec34232f2708209b2517c
    e70a8e8b0cd3c59cca8a886caa8b60efb652058f50cc9ff73a90bc55c0dc0866
    5be57b589e5601683218bb89787463ca47ce3b283d8751820d30eee5e231678c
    fe46a19803108381d2e8b5653cc5dce1581a234f91c555bbfff63b289b81a3dc
    ae1353e8efe25b277f52decfab2d656541ffdf7fd10466d3a734658f1bc1187a
    2ef0e5c66f6d46ddef62015ea786b2e2f5a96d94ab9350dd1073d746b6922859
    181408e6ce1a215577c1daa195e0e7dea1fe9b785f9908b4d8e923a2a831fce8
    2aa7bc9961b0478c552daa91976227cfa60c3d4bd8f051e3ca7415ceaeb604ca
    375ededc5c20af22bdc381115d6a8ce2f80db88a5a92ebaa43c723a3d27fb0d6
    0424167da27214cf2be0b04c8855b4cdb969f67998c6b8e719dd45b377e70353
    7e5dca90985a9fac8f115eaacd8e198d1b06367e929597a3decd452aaa99864b
    8de0f244d507b25370394ba158bd4c03a7f24c6627e42d9418fb992a06eb29d8
    7ee215469a7886486a62fea8fa62d3907f59cf9bf5486a5fe3a0da96dabea3f9
    ff70462cb3fc6ddd061fbd775bbc824569f1c09425877174d43f08be360b2b58
    f5d06c52fe4ddca0ebc35fddbbc1f3a406bdaa5527ca831153b74f51c9f9d1b0
    bc51836048158373e2b2f3cdb98dc3028290e8180a4e460129fef0d96133ea2e
    d9a60a47e142ddd61f6c3324f302b35feeca684a71c09657ddb4901a715bd4c5
    95840bd9a508ce6889d29b61084ec00649c9a19d44a29aedc86e2c34f30c8baf
    3bbdf7019ed35412ce4b10b7621faf42acf604f91e5ee8a903eb58bde15688ff
    9b455619b4cbfeb6496c1246ba9ce0e4ffa6736fd536a0f99686c7e185eb2e22
    bfd028f78b546eda12c0d5d13f70ab27dff32b04df3291fd46814f486ba13693
    a15b871fcb31c032b0e0661a2d3dd39664fa2d7982ff0dbc0796f3e9893aed9a
    d1bc07b962ccc6e3596aa238bb7eda13003ea3ca95be27e8244e485165642548
    eec5cd045f26a7b5d158e8289838b82e4af7cf4fc4b9048eaf185b5186f760db
    29ae3431908c99b0fff70300127f1db635af119ee55cd8854f6d3270b2e3032e
    ca0bb6a819506801fa4805d07ee2ebaa5c29e6f5973148fe25ed6d75089c06a7
    6d8877b17795bb0c69352da59ce8a6bfd7257da30bd0370eed8428fad54f3128
    5cf43c433fa1e253e937224254a63dc7e5ad6c4b3ab7a66ec9db76a268b4deeb
    a6e3831b07ab88f45df9ffac0c34c4452c76541c2acd215de8d0109a32968ace
    f4f0117d2784a3b8dfef4b5cb7f2583dd4100c32f9ee020f16402508e073f0a1
    7093cc81f32c8ce5e138a4af08de6515380f4f23ed470b89e6613bee361159e1
    350eaa2310e81220c409f95e6e1e53beadec3cffa3f119f60d0daace35d95437
    776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
    d2de662480783072b82dd4d52ab6c57911a1e84806c229f614b26306d5981d98
    c8a82876beed822226192ea3fe01e3bd1bb0838ab13b24c3a6926bce6d84411b
    f30a0fe494a871bd7d117d41025e8d2e17cd545131e6f27d59b5e65e7ab50d92
    8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
    0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
    2c2412e43f3fd24d766832f0944368d4632c6aa9f5a9610ab39d23e79756e240
    218233cc5ef659df4f5fdabe028ab43bc66451b49a6bfa85a5ed436cfb8dbc32
    cccbf9bff47b3fd391274d322076847a3254c95f95266ef06a3ca8be75549a4b
    ab789a5a10b4c4cd7a0eb92bbfcf2cc50cb53066838a02cfb56a76417de379c5
    4896f0e4bc104f49901c07bc84791c04ad1003d5d265ab7d99fd5f40ec0b327f
    5e715754e9da9ed972050513b4566fb922cd87958ecf472d1d14cd76923ae59a
    797e31c6c34448fbecda10385e9ccfa7239bb823ac8e33a4a7fd1671a89fe0f6
    48bfcbc3162a0b00412cba5eff6c0376e1ae4cfbd6e35c9ea92d2ab961c90342
    7a66d65fa69b857beeeaaef67ec835900eee09a350b6f51f51c83919c9223793
    b0edf66d4f07e5f58b082f5b8479d48fbab3dbe70eba0d7e8254c8d3a5e852ef
    840ba484395e15782f436a7b2e1eec2d4bf5847dfd5d4787ae64f3a5f668ed4f
    80c20db74c54554d9936a627939c3c7ea44316e7670e2f7f5231c0db23bc2114
    5dabbce674b797aaa42052b501fb42b20be74d9ffcb0995d933fbf786c438178
    055bbe33c12a5cdaf50c089a29eaecba2ccf312dfe5e96183b810eb6b95d6c5a
    c084c20c94dbbffed76d911629796744eff9f96d24529b0af1e78cda54cdbf02
    5f6ee521311e166243d3e65d0253d12d1506750c80cd21f6a195be519b5d697f
    fcb6ff6a679ca17d9b36a543b08c42c6d06014d11002c09ba7c38b405b50debe
    a168d561665221f992f51829e0b282eeb213b8aca3a9735dbbaecc4d699f66b9
    98112bd4710e6ffe389a2beb13ff1162017f62a1255c492f29238626e99509f3
    afacb38ea3a3cafe0f8dbd26dee7de3d0b24cdecae280a9b884fbad5ed195de7
    b431aebc2783e72be84af351e9536e8110000c53ebb5db25e89021dc1a83625e
    2b39634dce9e7bb36e338764ef56fd37be6cd0faa07ee3673c6e842115e3ceb1
    11533eedc1143a33c1deae105e1b2b2f295c8445e1879567115adebfdda569e2
    36e3d47f33269bef3e6dd4d497e93ece85de77258768e2fa611137fa0de9a043
    e6c5437e8a23d50d44ee47ad6e7ce67081e7926a034d2ac4c848f98102ddb2f8
    1cb3b3e652275656b3ae824da5fb330cccd8b27892fb29adc96e5f6132b98517
    ec88fe46732d9aa6ba53eed99e4d116b7444afd2a52db988ea82f883f6d30268
    99944ad90c7b35fb6721e2e249b76b3e8412e7f35f6f95d7fd3a5969eaa99f3d
    8505ece4360faf3f454e5b47239f28c48d61c719b521e4e728bc12d951ecf315
    dd88273437031498b485c380968f282d09c9bd2373ef569952bc7496ebadadde
    6e7bbf25ea4e83229f6fa6b2fa0f880dde1594a7bec2aac02ff7d2d19945d036
    f989df3aeede247a29a1f85fc478155b9613d4a416428188eda1a21bd481713a
    4af2f66d7704de6ff017253825801c95f76c28f51f49ee70746896df307cbc29
    ba9fee47dcc7bad8a7473405aabf587e5c8d396d5dd5f6f8f90f0ff48cc6a9ce
    5d94d2b5f856e5a1fc3a3315d3cd03940384103481584b80e9d95e29431f5f7a
    33d6414dcf91b9a665d38faf4ae1f63b7aa4589fe04bdd75999a5e429a53364a
    14984efdd5343c4d51df7c79fd6a2dfd791aa611a751cc5039eb95ba65a18a54
    879be2fa5a50b7239b398d1809e2758c727e584784ba456d8b113fc98b6315a2
    c0cfb87a8faed76a41f39a4b0a35ac6847ffc6ae2235af998ee1b575e055fac2
    fc9594611445de4a0ba30daf60a7e4dec442b2e5d25685e92a875aca2c0112c9
    81cbe57cd80b752386ee707b86f075ad9ab4b3a97f951d118835f0f96b3ae79d
    4e022e4e4ee28ae475921c49763ee620b53bf11c2ad5fffe018ad09c3cb078cc
    a3cf96b65f624c755b46a68e8f50532571cee74b3c6f7e34eecb514a1eb400cf
    ff471a98342bafbab0d341e0db0b3b9569f806d0988a5de0d8560b6729875b3e
    638957e2def5a8fda7e3efefff286e1a81280d520d5f8f23e037c5d74c62553c
    4ffe074ad2365dfb13c1c9ce14a5e635b19acb34a636bae16faf9449fb4a0687
    4c596877fa7bb7ca49fb78036b85f92b581d8f41c5bc1fa38476da9647987416
    49a0e5951dbb1685aaa1a6d2acf362cbf735a786334ca131f6f78a4e4c018ed9
    0dc1e3f36dc4835db978a3175a462aa96de30df3e5031c5d0d8308cdd60cbede
    e74ae353b68a1d0f64b9c8306b2db46dfc760c1d91bfdf05483042d422bff572
    00c9bbc56388e3fffc6e53ef846ad269e7e31d631fe6068ff4dc6c09fb40c48b
    c2bcde93227eb1c150e555e4590156fe59929d3b8534a0e2c5f3b21ede02afa0
    70c271f37dc8c3af22fdcad96d326fe3c71b911a82da31a992c05da1042ac06d
    ffb0e244e0dabbaabf7fedd878923b9b30b487b3e60f4a2cf7c0d7509b6963ba
    dbede977518143bcee6044ed86b8178c6fc9d454fa346c089523eedee637f3be
    4d6cbde39a81f2c62d112118945b5eeb1d73479386c962ed3b03d775e0dccfa0
    fa229cd78c343a7811cf8314febbc355bb9baab05b270e58a3e5d47b68a7fc7d
    4beba775f0e0b757ff32ee86782bf42e997b11b90d5a30e5d65b45662363ece2
    a41da0945ca5b5f56d5a868d64763b3a085b7017e3568e6d49834f11952cb927
    f3d0759dfab3fbf8b6511a4d8b5fc087273a63cbb96517f0583c2cce3ff788b8
    fa4b286eeaf7d74fe8f3fb36d80746e18d2a7f4c034ae6c3fa4c917646a9e147
    be3ddd71a54ec947ba873e3e10f140f807e1ae362fd087d402eff67f6f955467
    6449aaf6a8153a9ccbcef2e2738f1e81c0d06227f5cf4823a6d113568f305d2a
    39dc1aded01daaf01890db56880f665d6cafab3dea0ac523a48aa6d6e6346fff
    01d51b011937433568db646a5fa66e1d25f1321f444319a9fba78fd5efd49445
    099a0b821f77cb4a6e6d4a641ed52ee8fea659ee23b657e6dae75bb8ca3418c3
    4cbf9ecb6ca4f2efed86ba6ebf49436c65afe7ae523ec9dae58e432a9d9a89d0
    66a98ad0256681313053c46375cb5c144c81bf4b206aaa57332eb5f1f7176b8c
    97d00fc2bc5f5c9a56b498cf83b7a801e2c11c056772c5308ee7adea50556309
    9e854d40f22675a0f1534f7c31626fd3b67d5799f8eea4bd2e2d4be187d9e1c7
    a125b3e627ecd04d0dd8295e12405f2590144337481eb21086c4afb337c5b3f2
    a7d154eaee39ff856792d86720a8d193da3d73bfe4ac8364da030d80539e9ac2
    b2dd77af9dd9e8d7d4ebc778f00ff01c53b860a04c4e0b497f2ae74bb8a280c0

    Модули, функционирующие на 3-м этапе


    f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
    afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719
    acf32f21ec3955d6116973b3f1a85f19f237880a80cdf584e29f08bd12666999
    47f521bd6be19f823bfd3a72d851d6f3440a6c4cc3d940190bdc9b6dd53a83d6
    d09f88baf33b901cc8a054d86879b81a81c19be45f8e05484376c213f0eedda2
    2af043730b632d237964dd6abd24a7f6db9dc83aab583532a1238b4d4188396b
    4bfc43761e2ddb65fedab520c6a17cc47c0a06eda33d11664f892fcf08995875
    e7f65aeec592b047ac1726ef0d8245229041474a2a71b7386e72ad5db075f582
    cd8cf5e6a40c4e87f6ee40b9732b661a228d87d468a458f6de231dd5e8de3429
    4fa1854fbec31f87ae306034fd01567841159ca7793eba58b90be5f7fc714d62
    bad8a5269e38a2335be0a03857e65ff91620a4d1e5211205d2503ef70017b69c
    d1e6ec5761f78899332b170c4ca7158dccd3463dab2e58e51e5b6c0d58c7d84f
    ff118edb9312c85b0b7ff4af1fc48eb1d8c7c8da3c0e1205c398d2fe4a795f4b
    7f6f7c04826c204e2fc5c1eddb8332afe1669a4856229921c227694899e7ada8
    6807497869d9b4101c335b1688782ab545b0f4526c1e7dd5782c9deb52ee3df4
    ae74f62881eb224e58f3305bb1da4f5cb7ccff53c24ab05db622807d74e934fb
    3df17f01c4850b96b00e90c880fdfabbd11c64a8707d24488485dd12fae8ec85
    8f3e1e3f0890ad40d7fa66939561e20c0e5fd2a02b1dea54f3899aff9c015439
    1367060db50187eca00ad1eb0f4656d3734d1ccea5d2d62f31f21d4f895e0a69
    82cd8467e480bcd2e2fc1efb5257bbe147386f4a7651d1da2bfd0ab05e3d86b9
    94eefb8cf1388e431de95cab6402caa788846b523d493cf8c3a1aa025d6b4809
    9b039787372c6043cce552675e3964bf01de784d1332ddc33e4419609a6889f1
    78fee8982625d125f17cf802d9b597605d02e5ea431e903f7537964883cf5714
    e7aee375215e33fc5aebd7811f58a09c37d23e660f3250d3c95aec48ad01271c
    3bd34426641b149c40263e94dca5610a9ecfcbce69bfdd145dff1b5008402314

    Контрольные суммы самоподписанного сертификата


    d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747
    c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851
    f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d
    be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5
    27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302
    110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
    fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f
    b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78
    cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526
    110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
    909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b
    044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4
    c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
    8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d
    d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806
    c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412

    Устройства, подверженные атаке


    Мы установили, что перечисленные ниже устройства подвержены атаке. Учитывая масштабы исследования, многие наблюдения выполняются удаленно без физического доступа к устройству, поэтому во многих случаях нам трудно определить конкретную версию ПО и модель устройства.

    Учитывая накопленный объем информации об этой угрозе, мы полагаем, что данный список не является исчерпывающим, и угрозе могут быть подвержены и другие устройства.

    Продукция Asus:


    • RT-AC66U (новое)
    • RT-N10 (новое)
    • RT-N10E (новое)
    • RT-N10U (новое)
    • RT-N56U (новое)
    • RT-N66U (новое)

    Продукция D-Link:


    • DES-1210-08P (новое)
    • DIR-300 (новое)
    • DIR-300A (новое)
    • DSR-250N (новое)
    • DSR-500N (новое)
    • DSR-1000 (новое)
    • DSR-1000N (новое)

    Продукция Huawei:


    • HG8245 (новое)

    Продукция Linksys:


    • E1200
    • E2500
    • E3000 (новое)
    • E3200 (новое)
    • E4200 (новое)
    • RV082 (новое)
    • WRVS4400N

    Продукция Mikrotik:


    • CCR1009 (новое)
    • CCR1016
    • CCR1036
    • CCR1072
    • CRS109 (новое)
    • CRS112 (новое)
    • CRS125 (новое)
    • RB411 (новое)
    • RB450 (новое)
    • RB750 (новое)
    • RB911 (новое)
    • RB921 (новое)
    • RB941 (новое)
    • RB951 (новое)
    • RB952 (новое)
    • RB960 (новое)
    • RB962 (новое)
    • RB1100 (новое)
    • RB1200 (новое)
    • RB2011 (новое)
    • RB3011 (новое)
    • RB Groove (новое)
    • RB Omnitik (новое)
    • STX5 (новое)

    Продукция Netgear:


    • DG834 (новое)
    • DGN1000 (новое)
    • DGN2200
    • DGN3500 (новое)
    • FVS318N (новое)
    • MBRN3000 (новое)
    • R6400
    • R7000
    • R8000
    • WNR1000
    • WNR2000
    • WNR2200 (новое)
    • WNR4000 (новое)
    • WNDR3700 (новое)
    • WNDR4000 (новое)
    • WNDR4300 (новое)
    • WNDR4300-TN (новое)
    • UTM50 (новое)

    Продукция QNAP:


    • TS251
    • TS439 Pro
    • Другие сетевые системы хранения данных QNAP под управлением ПО QTS

    Продукция TP-Link:


    • R600VPN
    • TL-WR741ND (новое)
    • TL-WR841N (новое)

    Продукция Ubiquiti:


    • NSM2 (новое)
    • PBE M5 (новое)

    Продукция Upvel:


    • Неизвестные модели* (новое)

    Продукция ZTE:


    • ZXHN H108N (новое)

    * Мы обнаружили вредоносное ПО, предназначенное для продукции Upvel, но пока не можем определить конкретные модели устройств, на которые оно ориентировано.

Комментарии (20)


  1. MOPOH
    08.06.2018 14:32

    С подозрением посмотрел на свой zyxel, он в ответ подмигнул мне зелёным светодиодом…


    1. alukatsky Автор
      08.06.2018 14:34
      +1

      Правильного ли оттенка был зеленый миг?


  1. Uranic2
    08.06.2018 15:13

    Две недели назад перестал работать интернет. Перезагрузка моего ASUS RT18 не помогла, в службе поддержки провайдера интернета сказали, что модем нормально подключается к ним. Подключится к роутеру не смог. Уже думал покупать новый, но сбросил до заводских настроек, перепрошил последней прошивкой, настроил и опять все заработало. И вот что это было? Как проверить не заражен ли сейчас мой модем?


    1. alukatsky Автор
      08.06.2018 15:15

      RT18 в списке отсутствует


      1. Uranic2
        08.06.2018 15:27

        Угу, тока последний абзац уж больно страшен:

        Учитывая накопленный объем информации об этой угрозе, мы полагаем, что данный список не является исчерпывающим, и угрозе могут быть подвержены и другие устройства.


    1. Bibliolog
      08.06.2018 19:30

      Та же ситуация была с ASUS RTN15U, сбросил до заводских — помогло. А за неделю до этого 100КБ входящего на все уст-ва с wi-fi и отсутствие исходящего. Тогда просто перезагрузил роутер и сменил ssid и пароль. Теперь задумался об open source прошивке…


  1. ImJustCurious
    08.06.2018 15:51

    Нигде так и не написали как именно происходит заражение роутера, и как это задетектить. Подключаться любым возможным способом и смотреть содержимое флэш памяти?

    P.S. Обнаружил свой асус в списке уязвимых. Обновлений для прошивки на данный момент нет, последнее было почти месяц назад. Можно начинать паниковать?


    1. alukatsky Автор
      08.06.2018 15:53

      А вы в первой части (https://blog.talosintelligence.com/2018/05/VPNFilter.html) смотрели? Мы ее, правда, на русский не переводили


      1. ImJustCurious
        08.06.2018 16:21

        Посмотрел, спасибо. Насколько я понял из

        We are unsure of the particular exploit used in any given case, but most devices targeted, particularly in older versions, have known public exploits or default credentials that make compromise relatively straightforward.
        сейчас точно не известно, как происходит само заражение. Поэтому и рекомендации в статье самые классические — своевременно обновлять ПО. Однако информации о том, как проверить свой роутер на присутствие в нем vpnfilter там вроде нет.


        1. alukatsky Автор
          08.06.2018 16:37

          Ну написано, что в большинстве случаев использовались либо известные эксплойты, либо пароли по умолчанию.


          1. pvs043
            08.06.2018 17:14

            Т.е. на моего старичка D-Link DIR-300 червяк не пролезет, если стандартный пароль админа изменен?
            Новых прошивок к нему давным-давно нет, на уровне провайдера включен «стандартный» файрволл (надеюсь, telnet блокирует).


            1. eugenex15
              08.06.2018 17:33

              на свои dlinkи и tplinkи установил LEDE (OpenWrt) забыв про родные прошивки
              что со стареньким mikrotikoм делать?!


              1. DaemonGloom
                09.06.2018 13:15

                Если он совсем старый (MIPSLE) — закрыть управление снаружи (http и winbox). Все последние крупные уязвимости были либо через дыры в управлении, либо через стандартные пароли.
                Все прочие старые микротики обновляются прекрасно на новый софт.
                Вашему сколько лет уже?


  1. safari2012
    08.06.2018 17:23

    Что такое Netgear WNDR3700(новое). У меня 3800, который, вроде как сделан на базе 3700. Всё никак не собирусь перешить на OpenWRT. Пора уже или можно пока расслабиться?


    1. Renaissance
      08.06.2018 19:19

      Сужу по своему опыту с WNR2200 (тоже в списке уязвимых) — определенно стоит. После перехода с заводской на WRT-производные (сначала DD-WRT, затем LEDE/OpenWRT) роутер зажил по настоящему новой жизнью. Ну и ковыряться и настраивать на нем всякие штуки довольно интересно и расширяет кругозор.


    1. safari2012
      09.06.2018 17:04

      Подскажите, у кого такой же роутер wndr3800, что лучше (стабильнее) работает, OpenWRT, DD-WRT или Tomato?


  1. kt97679
    08.06.2018 19:35

    Asus RT-n56u бывает двух модификаций. Вы случайно не знаете уязвимы ли обе или только какая-то одна? Уязвима только стоковая прошивка или известны проблемы с альтернативными прошивками?


  1. AcidVenom
    08.06.2018 20:08

    И еще раз: заявление Mikrotik. Уязвимость была закрыта в 6.38.5 (6.37.5) еще в Марте 2017. Простое же обновление прошивки удаляет закладки.
    У тех, кто попался, либо бездарно настроен файервол, либо вообще не настроен.


  1. vanburg
    09.06.2018 08:09

    Весь оптоволоконный Ростелеком на Huawei 8245(H), но у них, вроде, ремутная прошивка. Надо будет проверить, залатали ли


    1. Sokol666
      09.06.2018 18:26

      не все. Часть на Sercomm у Билайна такие-же роутеры. Информации про их защищенность мы наверное никогда не увидим.