Новая кибератака на Украину: что такое вирус VPNFilter и как с ним бороться

Анастасия Пашинская
29 мая, 2018 вторник
17:10

По данным компании Cisco, в мире появился новый вирус VPNFilter. На этот раз основной целью кибератаки стали роутеры украинских пользователей

23 мая американский разработчик сетевого оборудования компания Cisco предупредила о более чем 500 тысячах зараженных роутеров и маршрутизаторов. Как сообщает компания, вирус VPNFilter был обнаружен в 54 странах, однако основная цель хакеров — Украина. К таким выводам пришли специалисты Cisco, после “всплеска” кибератак в Украине 8 мая. Cisco имеет также свою киберразведку — Cisco Talos, где уверены, что за кибератакой стоит российское правительство.

После публикации информации, правительство США сообщило, что оно будет бороться с хакерами, которые захватили контроль над сотней тысяч зараженных маршрутизаторов и устройства хранения. Для этого Федеральный суд в Пенсильвании дал разрешение ФБР взломать домен в Интернете, через который, по подозрению властей США, хакеры управляют зараженными устройствами.

Если домен действительно является инструментом хакеров по контролю над устройствами жертв кибератаки, то после взлома удастся отследить все зараженные устройства.

Пока что вирус не находится в активной стадии, чтобы его заметить. Скорее всего, его активируют к определенной значимой дате для страны. Киберполиция ранее считала, что такой датой станет суббота 26 мая, когда начался футбольный финал Лиги чемпионов. Однако расслабляться не стоит - впереди ещё несколько важных для страны дат.

Почему такое название: “VPNFilter”? Дело в том, что вирусу нужно замаскировать свои файлы. VPN сервисы — одни из самых распространенных программ среди пользователей. Поэтому папка на устройстве с подобным названием не у всех вызовет подозрение. Пользователь просто подумает, что это очередная системная папка и не станет в нее заглядывать.

Будет как с вирусом Petya.A?

null

Летом 2017 года по всему миру началась массовая атака вируса-вымогателя Petya.A, которій шифровал данные компьютеров своих жертв

Нет, на этот раз вирус под названием VPNFilter заражает роутеры и маршрутизаторы, через которые получает доступ ко всей подключенной к каналу технике. Это кибератака Интернета вещей, то есть всех устройств, которые подключаются к сети и взаимодействуют друг с другом без вмешательства человека.

Если у вас есть умный холодильник, который подключен к зараженному роутеру, то вполне возможно, что хакеры смогут его отключить или изменить его настройки. Последствия от этого не самые приятные, но гораздо страшнее, если хакеры получат доступ к объектам критической инфраструктуры и жизненно важным объектам, которые давно автоматизированы. Например, при контроле энергетического сектора, хакеры смогут отключить свет во всем городе.

Как он работает?

Вирус VPNFilter умеет самоуничтожаться, тем самым выводя из строя контролируемую технику. Помимо этого, вирус может долго незаметно присутствовать на устройстве для сбора информации.
Вирус состоит из трех этапов развития. Первый этап VPNFilter обеспечивает стабильность программы. То есть вирус способен “выжить” после перезагрузки в отличие от подобных вирусов для Интернета вещей.

На втором этапе вирус собирает метаданные, выполняет команды, фильтрует данные. На этой стадии хакеры через программу могут управлять устройствами. Некоторые версии вируса VPNFilter умеют самоуничтожаться, переписывая прошивку устройства. После перезагрузки “перепрошитая” вирусом техника выходит из строя.

Третий этап вредоносного ПО действует как дополнение для второго этапа. Специалисты Cisco Talos пока что выявили два модуля к вирусу: программа начинает работать как “сниффер” — перехватчик всего сетевого трафика (от паролей до данных SCADA Modbus, который используется на автоматических устройствах). Или же подключается к серверу злоумышленников через службу анонимного браузера Tor.

По мнению специалистов, это вредоносное ПО используется для создания расширенной, труднодоступной инфраструктуры по контролю над важными для жизни государства секторами. 

null

В блоге Talos Cisco можно ознакомиться с детально технической характеристикой вируса

Кто находится под угрозой?

  • На данный момент зафиксировано заражение этих моделей устройств:
  • Linksys Devices: E1200, E2500, WRVS4400N;
  • Mikrotik RouterOS (Всі версіі що нижче 6.42.1 )
  • Netgear Devices: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
  • QNAP Devices: TS251, TS439 Pro, Other QNAP NAS devices running QTS software;
  • TP-Link Devices R600VPN.

Однако, даже если марки вашего устройства в списке нет, если оно не было защищено надежным паролем, то риск заражения остается очень высоким.

Как защититься?

Защита от этого вируса чрезвычайно сложна из-за природы подвергаемых атаке устройств. Большинство из них подключены непосредственно к Интернету, без каких-либо устройств безопасности или антивирусов.

Если вы подозреваете, что ваше устройство было заражено, то обнулите его настройки до заводских. Для этого на корпусе самого устройства есть кнопка “reset”. После перезагрузки необходимо настроить роутер, а для безопасности поставить на него пароль. По совету Киберполиции Украины, также поможет установка новой версии ПО на роутер, так как некоторые производителей оборудования уже выпустили ПО, которое борется с вирусом.

У роутера есть свое меню. Чтобы зайти в меню подключенного роутера в адресной строке браузера следует набрать 192.168.0.1. или 192.168.1.1. (в зависимости от модели роутера).

Если роутер запросит пароль после сброса настроек, то его можно также увидеть на нижней крышке корпуса устройства. После того, как вы зашли в меню, обязательно поменяйте стандартній заводской пароль и имя пользователя.

Можно также разрешить доступ в меню роутера только для одного устройства с определенным IP.  При любом вопросе связывайтесь со службой поддержки компании, чье оборудование вы используете, а также с провайдером, который предоставляет интернет-услуги.

Кто атакует?

nullТакой логотип для своей команды использовале хакеры Fancy Bear (они же АРТ28 и Sofacy) для сайта, посвященному взлому Антидоппингового олимпийского комитета

Компания Cisco и правительство США связівают кибератаку с хакерской группировкой Sofacy. Хакеры также известны и под другими именами: "Fancy Bears", "APT28", "Tsar Team". Название команды разнятся из-за разных инструментов, которые хакеры применяют во время атак. Sofacy работают с 2008 года. 

Хакеры из группы Sofacy в основном атакуют сектора обороны, энергии, правительства, средства массовой информации США и европейских стран. Список атак команды обычно совпадает со списком интересов правительства Российской Федерации, из-за чего был сделан вывод о принадлежности хакеров к Главному разведывательному управлению России (ГРУ).

У хакеров есть собственные разработки ( XAgent, X-Tunnel, WinIDS, Foozer и DownRange) которые поражают операционную систему Windows и некоторые мобильные системы. Sofacy известна тем, что регистрирует домены, которые очень похожи на домены существующих организаций, чтобы выманить пароли и логины (фишинг). Именно это произошло в 2016 году, когда один из членов Демократической партии США попытался зайти на электронную почту. Вместо этого пользователь заполнил форму сайта-фальшивки. В результате ошибки, хакеры получили доступ к почтовому серверу партии. Sofacy также связывают с атаками на немецкий бундестаг и телевизионную станцию ​​TV5 Monde Франции в 2015 году.

Теги:
Киев
+14°C
  • Киев
  • Львов
  • Винница
  • Днепр
  • Донецк
  • Житомир
  • Запорожье
  • Ивано-Франковск
  • Кропивницкий
  • Луганск
  • Луцк
  • Николаев
  • Одесса
  • Полтава
  • Ровно
  • Сумы
  • Симферополь
  • Тернополь
  • Ужгород
  • Харьков
  • Херсон
  • Хмельницкий
  • Черкасси
  • Черновцы
  • Чернигов
  • USD 39.05
    Покупка 39.05
    Продажа 39.52
  • EUR
    Покупка 42.21
    Продажа 42.93
  • Актуальное
  • Важное