VPNFilter

VPNFilter este un malware cu mai multe etape conceput pentru a viza routerele de stocare conectate la rețea ( NAS) de la diferiți producători. Inițial (pe 24 mai 2018) s-a estimat că a infectat cel puțin 500.000 de dispozitive în întreaga lume ^[1] . Cu toate acestea, au fost descoperite ulterior alte modele vulnerabile la malware, care ar putea adăuga încă 200.000 de dispozitive la numărul total ^[2] . VPNFilter este foarte periculos : este capabil să fure date, chiar și din conexiunile care ar trebui să utilizeze criptarea ; conține, de asemenea, o funcție de autodistrugere (sau un modul opțional echivalent) concepută pentru a dezactiva complet un dispozitiv infectat la comandă. Poate chiar să rămână în memorie atunci când dispozitivul este repornit. ^[3] FBI consideră că a fost creat de grupul rus de hackeri numit Fancy Bear (Apt 28).

Mod de operare

VPNFilter este foarte versatil și este capabil să infecteze un număr încă necunoscut de dispozitive, inclusiv diverse routere și NAS (a se vedea lista actualizată de mai jos). De asemenea, se pare că a fost conceput pentru a viza dispozitivele de rețea industrială care utilizează protocolul Modbus pentru a vorbi și a controla mașinile din fabrici și depozite. Programul malware conține cod special, dedicat direcționării sistemelor de control care utilizează sistemul SCADA . ^[4]

Se crede că programele malware utilizează parole din fabrică și / sau vulnerabilități cunoscute ale software-urilor învechite pentru a infecta dispozitivele, totuși cercetătorii nu sunt siguri. Cu toate acestea, este recomandat să modificați parolele și să actualizați software-ul pentru a încerca să conțineți răspândirea malware-ului.

VPNFilter este foarte versatil / rezistent, deoarece este instalat în mai multe faze:

Etapa 1 adaugă cod străin la crontab , care este lista sarcinilor care rulează la intervale regulate controlate de programul de cron cron Linux. Acest lucru îi permite să rămână pe dispozitiv și să îl reinfecteze cu celelalte etape, chiar dacă acestea sunt eliminate.
Etapa 2 este partea principală a malware-ului. Include codul de bază care îndeplinește toate funcțiile principale (în unele versiuni chiar și cea de autodistrugere). De asemenea, execută instrucțiunile cerute de oricare dintre modulele de opțiune din etapa 3.
Etapa 3 include diverse module „plugin” care pot fi descărcate opțional pentru a efectua sarcini specifice, cum ar fi spionarea traficului de dispozitive industriale (Modbus SCADA), interceptarea sesiunilor criptate pentru a încerca să le transmiteți în clar, folosind software-ul Tor pentru a comunica cu „ „ web ” întunecat criptat etc.

Etapa 3 este cel mai versatil și potențial periculoase: se poate descărca diverse module opționale , inclusiv cele două dstr descoperit recent și plugin - uri ssler ^[2] .

Modulul dstr adaugă o funcție ck distr dispozitivului infectat pentru utilizări specifice , cum ar fi, de exemplu, să șteargă toate urmele de malware, astfel încât este mai analizat de către tehnicieni de calculator.
Modulul ssler este conceput pentru a lansa un atac man-in-the-middle (MITM) asupra traficului web de intrare către dispozitivul infectat.

Ce face

VPNFilter adulmecă date din rețeaua conectată la un dispozitiv infectat, colectând informații precum parole, nume de utilizator și alte acreditări, precum și date de control al rețelei industriale. De asemenea, face ca dispozitivul infectat să facă parte dintr-o botnet pe care o poate folosi ca sursă pentru atacuri care folosesc informațiile furate.

Măsuri de atenuare

Atât Cisco, cât și Symantec sugerează că proprietarii de dispozitive potențial infectate efectuează o resetare din fabrică . De obicei, această procedură se face cu un obiect ascuțit, cum ar fi o agrafă, prin apăsarea unui mic buton de resetare din spatele dispozitivului timp de 10-30 de secunde (în funcție de model). Acest lucru ar trebui să elimine complet malware-ul, dar are și efectul de a șterge orice modificări de configurare efectuate de utilizator (care trebuie apoi restaurate).

Dispozitive vulnerabile la VPNFilter (listă cunoscută)

Se crede că infecția inițială a VPNFilter poate apărea numai cu dispozitive care rulează firmware încorporat bazat pe Busybox sau Linux , compilat pentru un număr de procesoare, dar nu și Linux standard care rulează pe PC-uri.

Cercetătorii au identificat următoarele dispozitive ca fiind vulnerabile și, prin urmare, potențial infectate: ^[5] ^[6]

Dispozitive Asus:

RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U

Dispozitive D-Link:

DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N

Dispozitive Huawei:

HG8245

Dispozitive Linksys:

E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N

Dispozitive Mikrotik:

CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5
Mikrotik RouterOS, versiuni până la 6.38.5 sau până la 6.37.5 în funcție de versiune ^[7]

Dispozitive Netgear:

DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50

Dispozitive QNAP:

TS251
TS439 Pro
Alte NAS QNAP care rulează software QTS

Dispozitive TP-Link:

R600VPN
TL-WR741ND
TL-WR841N

Dispozitive Ubiquiti:

NSM2
PBE M5

Dispozitive Upvel:

Lista necunoscută în prezent (cercetătorii nu au putut să le identifice)

Dispozitive ZTE:

ZXHN H108N

Difuzie

Cisco Talos consideră că VPNFilter a infectat 500.000-1M de dispozitive la nivel mondial, ^[8] în 54 de țări diferite , deși cu un accent mai mare asupra Ucrainei .

Anchetă FBI

FBI-ul a jucat un rol foarte activ în combaterea acestui malware, confiscând domeniul toknowall.com utilizat de etapa 1 a malware-ului pentru localizarea și instalarea copiilor etapelor 2 și 3. ^[9]

Sfaturi FBI pentru toți proprietarii de router

Pe 25 mai 2018, FBI i-a sfătuit pe toți proprietarii de rotoare SOHO și NAS să-și repornească dispozitivul. ^[10] Aceasta ar trebui să elimine temporar etapele 2 și 3 și să lase doar etapa 1, care ar trebui apoi să încerce să descarce din nou celelalte etape. În acest fel, anchetatorii ar trebui să poată descoperi toate dispozitivele infectate și ar putea descoperi și alte origini ale infecției. ^[1] ^[11] ^[12]

Notă

^ ^a ^b arstechnica.com , https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/ .
^ ^a ^b ( EN ) VPNFilter malware care infectează 500.000 de dispozitive este mai rău decât am crezut , în Ars Technica . Adus pe 21 iunie 2018 .
^ (EN) VPNFilter malware afiliat la stat reprezintă o amenințare letală pentru routere , în SlashGear 24 mai 2018. Adus pe 31 mai 2018.
^ VPNFilter: Router malware nou cu capacități distructive
^ blog.talosintelligence.com , https://blog.talosintelligence.com/2018/06/vpnfilter-update.html .
^ (EN) VPNFilter: Router nou cu capacități malware distructive . Adus pe 21 iunie 2018 .
^ forum.mikrotik.com , https://forum.mikrotik.com/viewtopic.php?t=134776 .
^ (EN) Hackerii infectează 500.000 de routere pentru consumatori din întreaga lume cu malware , în Ars Technica. Adus pe 21 iunie 2018 .
^ FBI pentru toți utilizatorii de router: reporniți acum pentru a neutraliza programul malware VPNFilter din Rusia
^ (EN) Internet Crime Complaint Centre (IC3) | Actorii cibernetici străini vizează routerele de acasă și de birou și dispozitivele conectate la nivel mondial , la www.ic3.gov . Adus pe 21 iunie 2018 .
^ arstechnica.com , https://arstechnica.com/information-technology/2018/05/fbi-tells-router-users-to-reboot-now-to-kill-malware-infecting-500k-devices/ Titlu lipsă pentru url url ( ajutor ) .
^ thedailybeast.com , https://www.thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet .

Linkuri externe pentru informații suplimentare

Alertă FBI: Sunt toate routerele wireless infectate cu VPNFilter? Dar PC-urile? , pe blogsalutedigitale.it .

[:0-1] rstechnica.com , https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/ .

[:2-2] ( EN ) VPNFilter malware care infectează 500.000 de dispozitive este mai rău decât am crezut , în Ars Technica . Adus pe 21 iunie 2018 .

[:1-3] (EN) VPNFilter malware afiliat la stat reprezintă o amenințare letală pentru routere , în SlashGear 24 mai 2018. Adus pe 31 mai 2018.

[symantec-4] VPNFilter: Router malware nou cu capacități distructive

[5] .talosintelligence.com , https://blog.talosintelligence.com/2018/06/vpnfilter-update.html .

[6] (EN) VPNFilter: Router nou cu capacități malware distructive . Adus pe 21 iunie 2018 .

[7] rum.mikrotik.com , https://forum.mikrotik.com/viewtopic.php?t=134776 .

[8] (EN) Hackerii infectează 500.000 de routere pentru consumatori din întreaga lume cu malware , în Ars Technica. Adus pe 21 iunie 2018 .

[zdnet-9] FBI pentru toți utilizatorii de router: reporniți acum pentru a neutraliza programul malware VPNFilter din Rusia

[10] (EN) Internet Crime Complaint Centre (IC3) | Actorii cibernetici străini vizează routerele de acasă și de birou și dispozitivele conectate la nivel mondial , la www.ic3.gov . Adus pe 21 iunie 2018 .

[11] rstechnica.com , https://arstechnica.com/information-technology/2018/05/fbi-tells-router-users-to-reboot-now-to-kill-malware-infecting-500k-devices/ Titlu lipsă pentru url url ( ajutor ) .

[beast-12] thedailybeast.com , https://www.thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]