Новая кибератака на Украину: что такое вирус VPNFilter и как с ним бороться

Анастасия Пашинская
29 мая, 2018 вторник
17:10

По данным компании Cisco, в мире появился новый вирус VPNFilter. На этот раз основной целью кибератаки стали роутеры украинских пользователей

23 мая американский разработчик сетевого оборудования компания Cisco предупредила о более чем 500 тысячах зараженных роутеров и маршрутизаторов. Как сообщает компания, вирус VPNFilter был обнаружен в 54 странах, однако основная цель хакеров — Украина. К таким выводам пришли специалисты Cisco, после “всплеска” кибератак в Украине 8 мая. Cisco имеет также свою киберразведку — Cisco Talos, где уверены, что за кибератакой стоит российское правительство.

После публикации информации, правительство США сообщило, что оно будет бороться с хакерами, которые захватили контроль над сотней тысяч зараженных маршрутизаторов и устройства хранения. Для этого Федеральный суд в Пенсильвании дал разрешение ФБР взломать домен в Интернете, через который, по подозрению властей США, хакеры управляют зараженными устройствами.

Если домен действительно является инструментом хакеров по контролю над устройствами жертв кибератаки, то после взлома удастся отследить все зараженные устройства.

Пока что вирус не находится в активной стадии, чтобы его заметить. Скорее всего, его активируют к определенной значимой дате для страны. Киберполиция ранее считала, что такой датой станет суббота 26 мая, когда начался футбольный финал Лиги чемпионов. Однако расслабляться не стоит - впереди ещё несколько важных для страны дат.

Почему такое название: “VPNFilter”? Дело в том, что вирусу нужно замаскировать свои файлы. VPN сервисы — одни из самых распространенных программ среди пользователей. Поэтому папка на устройстве с подобным названием не у всех вызовет подозрение. Пользователь просто подумает, что это очередная системная папка и не станет в нее заглядывать.

Будет как с вирусом Petya.A?

null

Летом 2017 года по всему миру началась массовая атака вируса-вымогателя Petya.A, которій шифровал данные компьютеров своих жертв

Нет, на этот раз вирус под названием VPNFilter заражает роутеры и маршрутизаторы, через которые получает доступ ко всей подключенной к каналу технике. Это кибератака Интернета вещей, то есть всех устройств, которые подключаются к сети и взаимодействуют друг с другом без вмешательства человека.

Если у вас есть умный холодильник, который подключен к зараженному роутеру, то вполне возможно, что хакеры смогут его отключить или изменить его настройки. Последствия от этого не самые приятные, но гораздо страшнее, если хакеры получат доступ к объектам критической инфраструктуры и жизненно важным объектам, которые давно автоматизированы. Например, при контроле энергетического сектора, хакеры смогут отключить свет во всем городе.

Как он работает?

Вирус VPNFilter умеет самоуничтожаться, тем самым выводя из строя контролируемую технику. Помимо этого, вирус может долго незаметно присутствовать на устройстве для сбора информации.
Вирус состоит из трех этапов развития. Первый этап VPNFilter обеспечивает стабильность программы. То есть вирус способен “выжить” после перезагрузки в отличие от подобных вирусов для Интернета вещей.

На втором этапе вирус собирает метаданные, выполняет команды, фильтрует данные. На этой стадии хакеры через программу могут управлять устройствами. Некоторые версии вируса VPNFilter умеют самоуничтожаться, переписывая прошивку устройства. После перезагрузки “перепрошитая” вирусом техника выходит из строя.

Третий этап вредоносного ПО действует как дополнение для второго этапа. Специалисты Cisco Talos пока что выявили два модуля к вирусу: программа начинает работать как “сниффер” — перехватчик всего сетевого трафика (от паролей до данных SCADA Modbus, который используется на автоматических устройствах). Или же подключается к серверу злоумышленников через службу анонимного браузера Tor.

По мнению специалистов, это вредоносное ПО используется для создания расширенной, труднодоступной инфраструктуры по контролю над важными для жизни государства секторами. 

null

В блоге Talos Cisco можно ознакомиться с детально технической характеристикой вируса

Кто находится под угрозой?

  • На данный момент зафиксировано заражение этих моделей устройств:
  • Linksys Devices: E1200, E2500, WRVS4400N;
  • Mikrotik RouterOS (Всі версіі що нижче 6.42.1 )
  • Netgear Devices: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
  • QNAP Devices: TS251, TS439 Pro, Other QNAP NAS devices running QTS software;
  • TP-Link Devices R600VPN.

Однако, даже если марки вашего устройства в списке нет, если оно не было защищено надежным паролем, то риск заражения остается очень высоким.

Как защититься?

Защита от этого вируса чрезвычайно сложна из-за природы подвергаемых атаке устройств. Большинство из них подключены непосредственно к Интернету, без каких-либо устройств безопасности или антивирусов.

Если вы подозреваете, что ваше устройство было заражено, то обнулите его настройки до заводских. Для этого на корпусе самого устройства есть кнопка “reset”. После перезагрузки необходимо настроить роутер, а для безопасности поставить на него пароль. По совету Киберполиции Украины, также поможет установка новой версии ПО на роутер, так как некоторые производителей оборудования уже выпустили ПО, которое борется с вирусом.

У роутера есть свое меню. Чтобы зайти в меню подключенного роутера в адресной строке браузера следует набрать 192.168.0.1. или 192.168.1.1. (в зависимости от модели роутера).

Если роутер запросит пароль после сброса настроек, то его можно также увидеть на нижней крышке корпуса устройства. После того, как вы зашли в меню, обязательно поменяйте стандартній заводской пароль и имя пользователя.

Можно также разрешить доступ в меню роутера только для одного устройства с определенным IP.  При любом вопросе связывайтесь со службой поддержки компании, чье оборудование вы используете, а также с провайдером, который предоставляет интернет-услуги.

Кто атакует?

nullТакой логотип для своей команды использовале хакеры Fancy Bear (они же АРТ28 и Sofacy) для сайта, посвященному взлому Антидоппингового олимпийского комитета

Компания Cisco и правительство США связівают кибератаку с хакерской группировкой Sofacy. Хакеры также известны и под другими именами: "Fancy Bears", "APT28", "Tsar Team". Название команды разнятся из-за разных инструментов, которые хакеры применяют во время атак. Sofacy работают с 2008 года. 

Хакеры из группы Sofacy в основном атакуют сектора обороны, энергии, правительства, средства массовой информации США и европейских стран. Список атак команды обычно совпадает со списком интересов правительства Российской Федерации, из-за чего был сделан вывод о принадлежности хакеров к Главному разведывательному управлению России (ГРУ).

У хакеров есть собственные разработки ( XAgent, X-Tunnel, WinIDS, Foozer и DownRange) которые поражают операционную систему Windows и некоторые мобильные системы. Sofacy известна тем, что регистрирует домены, которые очень похожи на домены существующих организаций, чтобы выманить пароли и логины (фишинг). Именно это произошло в 2016 году, когда один из членов Демократической партии США попытался зайти на электронную почту. Вместо этого пользователь заполнил форму сайта-фальшивки. В результате ошибки, хакеры получили доступ к почтовому серверу партии. Sofacy также связывают с атаками на немецкий бундестаг и телевизионную станцию ​​TV5 Monde Франции в 2015 году.

Читайте также:
Наталка Діденко
11 мая, 2021 вторник
В Украину идут дожди и грозы, - синоптик Наталья Диденко
12 мая, 2021 среда
Медведчуку вручили ходатайство об аресте, - ОГП
долар
12 мая, 2021 среда
Официальный курс: доллар начал дешеветь
Киев
+11
  • Киев
  • Львов
  • Винница
  • Днепр
  • Донецк
  • Житомир
  • Запорожье
  • Ивано-Франковск
  • Кропивницкий
  • Луганск
  • Луцк
  • Николаев
  • Одесса
  • Полтава
  • Ровно
  • Сумы
  • Симферополь
  • Тернополь
  • Ужгород
  • Харьков
  • Херсон
  • Хмельницкий
  • Черкасси
  • Черновцы
  • Чернигов
  • USD 27.52
    Покупка 27.52
    Продажа 27.74
  • EUR
    Покупка 33.11
    Продажа 33.56
  • Актуальное
  • Важное
2021, четверг
13 мая
16:00
Эксперимент по вакцинации: в Моршине за неполный месяц привили первой дозой 61% населения
15:59
Обострение в Израиле: авиакомпании отменяют рейсы в страны
15:58
Сергей Николайчук
Сергей Николайчук: Шансы получить транш МВФ становятся мизерными
15:41
КМДА
Обыски в Киеве: полиция пришла в еще один департамент КГГА
15:38
Наталья Диденко
Синоптик Наталья Диденко предупредила о дождях и тепле до +28 ° C
15:27
самолет
МАУ отменила запланированные на 13 мая рейсы в Тель-Авив и обратно
15:22
"Акустические атаки" зацепили более сотни американских служащих за рубежом, - NYT
15:21
Мария Колесникова
Задержанному осенью лидеру белорусской оппозиции Колесниковой грозит 12 лет за решеткой
15:17
киберполиция
На фоне обострения на границах РФ увеличила количество кибератак против Украины, - СБУ
15:03
астероид
NASA: К Земле приближается астероид длиной более 100 метров
14:57
Укравтодор планирует проложить новую дорогу к популярному курорту на берегу Азовского моря
14:54
Авиакатастрофа самолета в Чугуеве: ГБР установило причины
14:49
У Навального заявили, что больше не будут планировать протесты
14:34
Виктор Медведчук
Печерский суд отказал нардепам ОПЗЖ взять Медведчука на поруки
14:32
тест на коронавирус
Минздрав планирует бесплатно протестировать 9 тыс. украинцев на антитела к коронавирусу
14:30
Украина завоевала еще две медали на ЧЕ по водным видам спорта
14:03
На Полтавщине столкнулись легковушка и грузовик: погибли два журналиста
На Полтавщине столкнулись легковушка и грузовик: погибли два журналиста
13:58
РНБО
СНБО закончил разработку Стратегии кибербезопасности
13:58
Дмитрий Песков
У Путина отреагировали на заявление ЕС: Россия не планирует поглощать Донбасс
13:45
Рональд Куман
"Барселона" нашла замену Куману на посту главного тренера
13:43
Все регионы Украины перешли в "желтую" зону карантина
13:38
Счетная палата в 2020 году выявила бюджетных нарушений на 26 млрд грн
13:27
Медведчук
Суд над Медведчуком: журналистов не пускают на заседание титушки
13:11
Виктор Медведчук
Медведчук рассчитывает на друзей: счета арестованы, поэтому залог не выплатит самостоятельно
13:01
Ломаченко получил дерзкий вызов от "нового Мейвезера"
12:59
"Киивгазенерджи" грозит штраф за несвоевременное объявление годового тарифа, - НКРЭКУ
12:55
Израиль солдаты
Израиль готовит наземную операцию в секторе Газа
12:50
школа каркнтин
В школах четырех областных центров занятия продолжатся и в июне
12:37
Украина и Франция подписали рамочные соглашения на 1,3 млрд евро: что они предусматривают
12:35
Алексей Арестович
Просим вернуть более 90 человек в рамках обмена пленными, - Арестович
12:22
Пора что-то решать в этом "Бермудском квадрате", - Усик требует назначить ему следующего соперника
12:18
Польша карантин
Польша решила ускорить выход из карантина
12:06
Виктор Медведчук
Прокуратура потребует для Медведчука арест с альтернативой залога в 300 млн грн, - Кузьмин
12:05
КМДА
Прокуратура сообщила о подозрении в хищении 13,5 млн грн трем чиновникам КГГА
11:59
Виталий Кличко
"Это давление на столичную власть": Кличко прокомментировал массовые обыски в КГГА
11:58
Дмитрий Кулеба
Кулеба встретился с главой МИД Венгрии: договорились о совместной поездке на Донбасс
11:44
Фьюри признался, что едва не погиб из-за алкоголя, наркотиков и психических расстройств
11:28
СБУ
В Мариуполе осудили завербованного русскими местного жителя: готовил теракт
11:27
Google
Google оштрафовали в Италии более чем €100 млн
11:15
Медведчук
Виталий Портников: Медведчук собрался на войну
Больше новостей