Более 500 000 роутеров и сетевых накопителей Linksys, MikroTik, Netgear, Qnap и TP-Link заражены вредоносным ПО VPNFilter. Масштаб атаки сопоставим с нашумевшим Mirai, последствия которого ощущаются до сих пор.

Информацию о вирусной пандемии опубликовало подразделение Talos (Cisco), занимающееся анализом угроз кибербезопасности.

Изучив поведение этого вредоносного ПО на сетевом оборудовании, специалисты Talos отметили несколько основных особенностей данного ПО:

  • кража учетных данных веб-приложений;
  • мониторинг протоколов Modbus SCADA;
  • вывод устройства из строя.

Сложность защиты и обнаружения данного ПО обусловлена характером атакованных устройств — роутеры и сетевые накопители находятся на сетевом периметре, слабо защищены и, как правило, не содержат IDS/IPS-систем ввиду технологической простоты и ограниченности ресурсов, характерных для embedded/IoT-устройств.

Вредоносная программа VPNFilter представляет собой модульную платформу, состоящую как минимум из двух основных компонентов: дроппера и управляющего модуля.

После заражения устройства на него устанавливается т.н. дроппер, способный «пережить» перезагрузку устройства, и скачивающий на него основной модуль.

Основной модуль, не сохраняющийся при перезагрузке, может осуществлять сбор файлов, выполнение команд, фильтрацию данных и управление устройствами. Также некоторые версии этого модуля содержат функции самоуничтожения и вывода устройства из строя путем перезаписи критичных областей памяти сетевого устройства.

Кроме того, существует несколько вспомогательных модулей, обладающих функционалом сетевых снифферов для сбора сетевого трафика, мониторинга протокола SCADA Modbus, а также коммуникационный модуль для взаимодействия со взломанными устройствами через сеть Tor.

image

Вредонос сканирует 23, 80, 2000 и 8080 TCP-порты для выявления и атаки на новые устройства под управлением Linux/Busybox.

Известно об успешных атаках на следующие устройства:

  • Linksys E1200;
  • Linksys E2500;
  • Linksys WRVS4400N;
  • Mikrotik RouterOS (1016, 1036 и 1072);
  • Netgear DGN2200;
  • Netgear R6400;
  • Netgear R7000;
  • Netgear R8000;
  • Netgear WNR1000;
  • Netgear WNR2000;
  • QNAP TS251;
  • QNAP TS439 Pro;
  • NAS QNAP с программным обеспечением QTS;
  • TP-Link R600VPN.

На данный момент неясен вектор заражения и загрузки первого модуля VPNFilter, но известны детали загрузки и управления зараженным устройством. После того как вредоносная программа завершила инициализацию, она начинает загружать страницы Photobucket.com (сайт хранения изображений). Вредоносная программа загружает первое изображение из галереи, на которую ссылается URL, а затем переходит к извлечению IP-адреса сервера загрузки. IP-адрес извлекается из шести целочисленных значений для широты и долготы GPS в информации EXIF.

В данный момент используются следующие C&C URL:

  • photobucket.com/user/nikkireed11/library
  • photobucket.com/user/kmila302/library
  • photobucket.com/user/lisabraun87/library
  • photobucket.com/user/eva_green1/library
  • photobucket.com/user/monicabelci4/library
  • photobucket.com/user/katyperry45/library
  • photobucket.com/user/saragray1/library
  • photobucket.com/user/millerfred/library
  • photobucket.com/user/jeniferaniston1/library
  • photobucket.com/user/amandaseyfried1/library
  • photobucket.com/user/suwe8/library
  • photobucket.com/user/bob7301/library

Если обратиться и получить изображение с photobucket.com не удалось, вредонос пытается получить изображение с домена toknowall.com.

Также существует и «запасной вариант» в виде листенера, который ожидает подключение к зараженному устройству с применением специализированных триггеров.

VPNFilter — довольно серьезная и опасная угроза, нацеленная на устройства, которые сложно защищать. Если в вашей инфраструктуре используются вышеперечисленные устройства, рекомендуется незамедлительно отключить его от сети, произвести жесткую перезагрузку устройства и ждать патч от производителя.