Odkryte ponad dwa tygodnie temu przez grupę Talos z firmy Cisco, złośliwe oprogramowanie o niewinnej nazwie VPNFilter, zdążyło zainfekować do tej pory już ponad 500 tyś. routerów. Jak wynika z najnowszych aktualizacji grupy Talos, malware stanowi poważniejsze zagrożenie niż początkowo przypuszczano. Naukowcy zidentyfikowali jeszcze więcej zainfekowanych wirusem marek i modeli urządzeń sieciowych. Odkryli także dodatkowe moduły ujawniające się podczas trzeciego etapu instalacji wirusa. Jeden z nich może zagrażać nie tylko urządzeniom sieciowym, ale także punktom końcowym z nimi połączonymi!
Jak atakuje malware?
Infekcja VPNFilter przebiega w trzech etapach. W wielkim skrócie, pierwsza faza instalacji polega na załadowaniu złośliwego pliku z malwarem do listy zadań uruchamianych wraz z urządzeniem sieciowym. Wirus jest na tyle przebiegły, że potrafi przeżyć nawet restart routera. Modyfikuje on pamięć NVRAM i niepostrzeżenie dodaje się do listy crontaba. Kiedy szkodnik przetrwa, rozpoczyna się etap drugi. Opiera się on na pobraniu modułu głównego – wykorzystywanego do zarządzania wirusem i ściągnięcia specjalnej wtyczki służącej stricte realizacji planów hakerów. Jest to ostatni i zarazem najbardziej rozbudowany etap przejęcia routera przez VPNFilter.
Schemat działania VPNFilter (źródło: Talos)
Możliwości znalezione w nowo odkrytym przez Talos module “ssler” trzeciego etapu, polegają na dostarczeniu szkodliwej zawartości nie tylko na urządzenia sieciowe, ale także do punktów końcowych. Infekujące pliki mogą przechwytywać ruch sieciowy i wprowadzać do niego złośliwy kod bez wiedzy użytkownika. Poza zupełnie niewidocznym dla użytkownika manipulowaniem ruchu dostarczanym do punktów końcowych w zainfekowanej sieci, moduł ssler ma również za zadanie wykraść wrażliwe dane, przekazywane pomiędzy połączonymi punktami końcowymi, a zewnętrznym Internetem. Szkodnik aktywnie sprawdza adresy internetowe pod kątem danych, głównie loginy, hasła oraz inne poufne informacje. Wszystko po to, aby następnie skopiować je i wysłać na serwery całodobowo kontrolowane przez hakerów.
Jak można zauważyć, zagrożenie ewidentnie rozszerza się i wykracza poza granicę dotychczasowego działania VPNFilter, które miało dotyczyć tylko ataków na urządzenia sieciowe. Pozostaje pytanie, czy faktycznie powinniśmy się obawiać ataku ze strony VPNFilter?
Jakie urządzenia zainteresowały do tej pory hakerów?
Na celowniku VPNFilter znalazły się m.in.: urządzenia takich firm jak: ASUS, D-Link, Huawei, Ubiquiti, UPVEL i ZTE, a także wiele więcej rozwiązań z wcześniej wymienianych, m.in.: Linksys, MikroTik, Netgear i TP-Link.
Obecnie na liście opublikowanej przez Cisco, zagrożonymi modelami są:
- Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
- D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N Huawei: HG8245
- Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
- Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5
- Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
- QNAP:TS251, TS439 Pro, NAS-y z oprogramowaniem QTS
- TP-Link: R600VPN, TL-WR741ND, TL-WR841N
- Ubiquiti: NSM2, PBE M5
- Upvel: modele nie są znane
- ZTE: ZXHN H108N
Jak nie paść ofiarą VPNFilter?
Na chwilę obecną, badacze wciąż nie są pewni, które luki w zabezpieczeniach zostały wykorzystane przez atakujących do zainstalowania złośliwego oprogramowania na urządzeniach. Sugerują natomiast wykonanie natychmiastowej aktualizacji urządzenia, ponieważ każda luka może być potencjalnie podatna na atak. Eksperci apelują również o zresetowanie routerów i przywrócenie ich funkcji do ustawień fabrycznych. Nie ma jednak 100% pewności, że
Zaleca się, aby:
- Użytkownicy routerów SOHO i / lub NAS zresetowali swoje urządzenia do domyślnych ustawień fabrycznych w celu usunięcia potencjalnie destrukcyjnego, trwałego złośliwego oprogramowania na drugim i trzecim etapie instalacji;
- Dostawcy usług internetowych, którzy udostępniają routery SOHO swoim użytkownikom, uruchomili ponownie routery w imieniu swoich Klientów
- Upewnić się, że obecnie używane urządzenie jest aktualne z najnowszą wersją, jeśli nie, niezwłocznie należy wykonać aktualizację
- Zabezpieczyć dane przechowywane na komputerze. Warto w tym celu zainwestować w odpowiednie oprogramowanie do ochrony punktów końcowych oraz brzegu sieci, m.in.: takie jak: ESET, Trend Micro, czy WatchGuard.
WatchGuard poinformował i uspokoił swoich Klientów, że VPNFilter nie zagraża ich urządzeniom. Producent zaleca natomiast ustawianie silnych, unikalnych haseł na kontach administracyjnych urządzeń i regularne sprawdzanie wszelkich dostępnych aktualizacji i ich instalowanie.
Źródło: Secplicity i Talos Blog
Redaktorka Net Complex Blog