Главная » Софт » Вирус VPNFilter, заразивший 500 тыс. роутеров оказался еще опаснее, чем считалось

Вирус VPNFilter, заразивший 500 тыс. роутеров оказался еще опаснее, чем считалось

Как оказалось, главной целью этого malware являются роутеры самых разных производителей. Несколько недель назад специалисты по информационной безопасности предупредили об опасном зловреде, получившем название VPNFilter. Одной из первых на VPNFilter обратила внимание команда специалистов по инфобезу из Cisco Talos.

Недавно был обнаружен новый модуль, который использует тип атаки man-in-the-middle в отношении входящего трафика. Зловред постоянно совершенствуется разработчиками. Также они без проблем могут перенаправлять любые данные на свои сервера. Злоумышленники могут модифицировать трафик, проходящий через роутер. Это могут быть пароли к разного рода ресурсам, которые киберпреступники затем используют с разными целями. Модуль вируса получил название ssler.
Кроме модифицирования входящего трафика, ssler также может передавать своим создателям личные данные жертвы.

Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен. Для предотвращения кражи персональной информации обычно используется TLS шифрование, которое зловред может обойти. Ssler специальным образом модифицирует трафик разных ресурсов, включая Google, Facebook, Twitter и Youtube. Затем заменяются заголовки запросов, что служит сигналом того, что точка доступа уязвима. К примеру Google перенаправляет HTTP трафик на HTTPS сервера. Дело в том, что указанные сервисы предоставляют дополнительную защиту. Но модуль позволяет обойти и эту защиту, чтобы злоумышленники получали ничем не зашифрованный трафик.

Сейчас оказалось, что он опаснее, чем считалось. C момента обнаружения вируса специалисты по информационной безопасности изучают его возможности. Возможно, для формирования ботнета. Ранее, к примеру, специалисты Cisco утверждали, что главная задача злоумышленников — заражение сетевых устройств в офисах компаний и домах жертв. Но сейчас оказалось, что именно пользователи, вернее, их данные — основная цель.

Но оказалось, что это вовсе не основная задача и возможность зловреда. «Изначально, когда мы обнаружили вирус, мы считали, что он создан для реализации разного рода сетевых атак. К примеру, вирус может изменять трафик таким образом, что пользователь клиент-банка будет видеть прежнюю сумму на своем счету. Он создан, главным образом, для того, чтобы воровать данные пользователей и модифицировать трафик. А на самом деле денег там давно уже нет», — говорится в отчете специалистов по кибербезопасности.

Здесь не слишком распространены защитные меры вроде HTTP Strict Transport Security, поэтому данные пользователей под угрозой. Интересно, что большая часть зараженных устройств находится на/в Украине. Но и в других странах есть проблемы — например, в США и Западной Европе многие устройства, устаревшие морально, не поддерживают работу с HTTPS, продолжая использовать HTTP.

На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.

Полный список уязвимых устройств

Asus:
RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)

D-Link:
DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)

Huawei:
HG8245 (new)

Linksys:
E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N

Mikrotik:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)

Netgear:
DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)

QNAP:
TS251
TS439 Pro
Other QNAP NAS с QTS

TP-Link:
R600VPN
TL-WR741ND (new)
TL-WR841N (new)

Ubiquiti:
NSM2 (new)
PBE M5 (new)

Upvel:
Unknown Models* (new)

ZTE:
ZXHN H108N (new)

И это еще не все

Кроме всего, что было озвучено выше, в Talos сообщили об обнаружении снифер-модуля. Он анализирует трафик в поиске данных определенного типа, которые связаны с работой промышленных систем. Этот трафик проходит через TP-Link R600, что и определяется модулем. Кроме того, модуль ищет обращения к IP из определенного диапазона, а также пакеты данных, размер которых составляет 150 байт или более.

Они не стараются собрать как можно больше доступной информации, вовсе нет. «Создатели вируса ищут вполне конкретные вещи. Мы пытаемся понять, кому все это может быть нужно», — заявляют исследователи. Им нужны пароли, логины, обращение к определенному диапазону IP и тому подобные вещи.

При активации модуля вирус удаляется с устройства безо всяких следов. Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения.

Несмотря на то, что около недели назад ФБР обнаружило и изъяло главный сервер, ботнет до сих пор остается активным, принятых мер оказалось явно недостаточно.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Всемирная организация здравоохранения официально признала существование игровой зависимости

В новую версию Международной классификации болезней, которую разрабатывает Всемирная организация здравоохранения, наряду с зависимостью от азартных игр вошла зависимость от онлайн- и офлайн-видеоигр как психическое расстройство. Отдельный идентификатор получили «опасные игры», которые увеличивают риск нанесения физического или психического вреда пациенту ...

[Перевод] Конструкция async/await в JavaScript: сильные стороны, подводные камни и особенности использования

Конструкция async/await появилась в стандарте ES7. Её можно считать замечательным улучшением в сфере асинхронного программирования на JavaScript. Она позволяет писать код, который выглядит как синхронный, но используется для решения асинхронных задач и не блокирует главный поток. Несмотря на то, что ...