VPNFilter – bo tak zostało ochrzczone zagrożenie wycelowane w routery WiFi zainfekował około… 500 000 urządzeń sieciowych. Lista podatnych na jego działanie modeli jest całkiem spora, oto tylko kilka z nich:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS: wersje: 1016, 1036, 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- QNAP NAS pracujące na QTS
- TP-Link R600VPN
Cyberzagrożenie łączy w sobie kilka funkcji: w porównaniu do podobnych tworów wycelowanych w urządzenia IoT jest w stanie m. in. przeprowadzać skanowanie w kierunku komponentów SCADA, a ponadto posiada mechanizmy pozwalające na zacieranie śladów. Jeżeli tylko serwer C&C wyda polecenie zainfekowanym routerom, aby wyczyścić oprogramowanie układowe, zostanie do zrobione czyniąc urządzenie sieciowe bezużytecznym. Mało tego, głębsze analizy pozwalają sądzić, iż za tym cyberzagrożeniem stoją Rosjanie: Cisco znalazło w VPNFilter części tożsame z BlackEnergy, który został wykorzystany do ataku na ukraińską elektrownię w latach 2015 – 2016. Jak wykazały amerykańskie służby, za BlackEnergy mieli stać właśnie nasi wschodni sąsiedzi.
Kogo infekuje VPNFilter?
Eksperci zanotowali infekcje w 53 różnych krajach, ale najważniejsze dla twórców zagrożenia jest przejęcie urządzeń sieciowych na Ukrainie. Jak się okazuje, w ostatnim czasie aktywność botnetu wzrosła i co więcej, uruchomiono kampanię wycelowaną wprost w Ukraińców: do tego celu nawet stworzono dedykowany serwer C&C, który ma zarządzać armią botów w tym państwie.
W tym momencie nie wiadomo jakie są cele grupy stojącej za VPNFilter, ale można sądzić, iż najbliższe ważne wydarzenia – m. in. finał Ligi Mistrzów oraz Dzień Konstytucji 27 czerwca mogą być kluczowymi datami, po których poznamy intencje cyberprzestępców. Co ciekawe, rok temu tego samego dnia odbył się zmasowany atak NonPetya, o który również oskarżani są Rosjanie.
VPNFilter zainstalowany na podatnych routerach jest w stanie podsłuchiwać ruch oraz przejmować ruch sieciowy. Ponadto, możliwa jest komunikacja z serwerami C&C za pośrednictwem sieci Tor. Mało tego, cyberzagrożenie jest w stanie przetrwać restart urządzenia lub przywrócenie go do stanu fabrycznego.
O routery trzeba bezwzględnie dbać
Jest to niesamowicie trudne w sytuacji, gdy nawet ich producenci często mają sobie za nic kwestie związane wprost z bezpieczeństwem. Aktualizowanie routerów to w wielu przypadkach mordęga – często należy pobrać obraz firmware’u i załadować go do urządzenia poprzez przeglądarkowy aplet, co jest poza zasięgiem możliwości wielu użytkowników (nam wydaje się to proste). Mało tego, nie każdy sobie zdaje sprawę z tego jak bardzo niebezpieczny może być słabo zabezpieczony router: brak świadomości w tej materii jest właściwie kluczowy.
The post Rosjanie chcieli zaatakować Ukrainę. Więc stworzyli ogromny botnet wycelowany w routery appeared first on AntyWeb.
Kontynuuj czytanie...