16 Июня, 2018

VPNFilter более опасен, чем считали ранее

Владимир Безмалый

В начале июня ФБР рекомендовало перезагрузить маршрутизатор, чтобы помочь сорвать распространение неприятного вредоносного ПО под названием VPNFilter. Теперь похоже, что угроза может быть гораздо более серьезной, чем предполагали.

Вредоносное ПО VPNFilter распространяется гораздо быстрее, чем предполагалось ранее. Когда Томас Фокс-Брюстер (Forbes) впервые сообщил о вредоносном ПО, он указал на исследование Cisco Talos, в котором говорилось о 500 000 зараженных устройств.

Как считалось первоначально, VPNFilter способен заражать 16 различных устройств, включая аппаратные средства, продаваемые Linksys, Netgear и TP-Link. Однако как выяснилось в дальнейшем, Sofacy разработала обновленную версию вредоносного ПО. Новый VPNFilter выглядит еще более опасным, чем оригинал.

Сегодня число уязвимых устройств составляет уже 71 и включает несколько моделей Asus и D-Link. Более того, перезагрузка не обеспечивает быстрое исправление. Помимо возможности заражать больше устройств, новый штамм VPNFilter может пережить перезагрузку. Если ваш маршрутизатор входит в число уязвимых, то вы должны немедленно обновить прошивку. BleepingComputer собрал полный список устройств, требующих исправления.

Новые плагины VPNFilter

Кроме того, исследователи также обнаружили новые возможности VPNFilter, упакованные как плагины третьего этапа, в составе трехступенчатой системы развертывания вредоносных программ.

VPNFilter

Эксперты Cisco заявили, что обнаружили два новых плагина третьей стадии.

  • ssler— плагин для перехвата и изменения веб-трафика на порту 80 с помощью атак типа man-in-the-middle. Плагин также поддерживает понижение HTTPS до HTTP.
  • dstr— плагин для перезаписывания файлов прошивки устройства. Cisco доказала, что VPNFilter может стереть прошивку устройства, но в своем недавнем отчете эта функция была определена как третий плагин третьего этапа.

Эти два новых плагина добавляют к двум уже известным.

  • ps — плагин, который может прослушивать сетевые пакеты и обнаруживать определенные типы сетевого трафика. Cisco полагает, что этот плагин использовался для поиска пакетов TCP/IP Modbus, часто используемых промышленным программным обеспечением и оборудованием SCADA, но в своем последнем отчете утверждается, что плагин также будет искать промышленное оборудование, которое подключается к VPN TP-Link R600
  • tor — плагин, используемый ботами VPNFilter для связи с сервером управления через сеть Tor.

Технические подробности о вредоносном ПО VPNFilter доступны в  первом отчете  Cisco . Подробности о плагинах третьего уровня ssler, dstr и ps доступны в этом отчете .

 

comments powered by Disqus