Несколько недель назад мы узнали, что вредоносное ПО под названием VPN Filter заразило более 500 000 маршрутизаторов и других устройств по всему миру. VPN Filter был замечен примерно в 54 странах, но увеличение активности в Украине показало, что вредоносная программа была создана российской разведкой, которая пытается сорвать Украину либо в финале Лиги чемпионов в конце мая, либо до местных торжеств в конце июня.
Разумеется, Кремль отрицал какую-либо причастность к VPN Filter. С тех пор ФБР выпустило предупреждение пользователям Интернета о перезапуске своих маршрутизаторов. Команда Cisco Talos по безопасности теперь вернулась с более подробной информацией о VPN Filter, которая показывает, что вредоносное ПО еще более опасно и страшно, чем мы думали.
VPN Filter нацелен на еще большее количество устройств, чем было сообщено впервые. Он распространяется на модели от ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE, а также новые модели от производителей, которые уже были упомянуты ранее, включая Linksys, MikroTik, Netgear и TP-Link, До 200 000 дополнительных маршрутизаторов во всем мире рискуют заразиться.
Но это не все.
Cisco обнаружила, что вредоносное ПО может выполнять атаки типа «человек-в-середине». Это означает, что вредоносное ПО способно вводить вредоносный контент в трафик, проходящий через зараженный маршрутизатор и его целевые объекты.
Аналогичным образом оно может украсть учетные данные, которые передаются между компьютером и веб-сайтом. Имена пользователей и пароли могут быть скопированы и отправлены на серверы, контролируемые хакерами. Как это вообще возможно? VPN Filter понижает HTTPS-соединения до HTTP, что означает, что вредоносное ПО, по сути, стремится обойти шифрование.
Cisco считает, что угроза, исходящая от VPN Filter, больше, чем предполагалось первоначально.
«Первоначально, когда мы это видели, мы думали, что, в первую очередь, это было сделано для атак на маршрутизацию в Интернете», — сказал Крэг Уильямс «Talos» ArsTechnica . «Но похоже, что [злоумышленники] пошли гораздо дальше, и теперь помимо этого они могут манипулировать всем, что происходит через скомпрометированное устройство. Они могут изменить баланс вашего банковского счета так, чтобы он выглядел нормально, а в то же время они будут перекачивать с него деньги, а также ключи PGP и тому подобное. Они могут манипулировать всем происходящим и выходящим из устройства».
Атаки кажутся невероятно целенаправленными, поскольку хакеры ищут конкретные вещи. «Они ищут очень конкретные вещи», — сказал Уильямс. «Они не пытаются собрать столько трафика, сколько могут. Они могут покинуть вас после того, как были сделаны некоторые очень незначительные действия, такие как получение всех ваших учетных данных и паролей. У нас нет большого количества информации об этом, кроме того, что VPN Filter невероятно целеустремлен и невероятно изощрен. Мы все еще пытаемся выяснить, кто все это использует».
Но даже это еще не все. Вредоносная программа также может загрузить модуль саморазрушения, который стирает все данные на устройстве и перезагружает его.
Избавиться от VPNFilter — непростая задача. Вредоносная программа сконструирована таким образом, что атака на первом этапе действует как бэкдор на устройствах, которые могут быть заражены, и используется для загрузки дополнительных полезных загрузок, этапов 2 и 3, которые применяют более сложные функции, средние атаки и самоуничтожение.
«Все владельцы маршрутизаторов должны с самого начала предполагать, что их устройство было заражено, и выполнить заводскую перезагрузку» — говорит Арс и добавляет, что затем необходимо сделать обновление программного обеспечения, которое может удалить уязвимости устройства для заражения первой ступени. Также рекомендуется изменить пароли по умолчанию и отключить удаленное администрирование. Однако даже эти меры, по данным экспертов ФБР, могут оказаться недостаточными.