VPNFilter – причины и методы удаления вируса

Как удалить VPNFilter | Советы удаления

VPNFilter (также известный как вирус VPNFilter) — это вредоносная программа, которая перехватывает сетевой трафик, изменяет настройки на маршрутизаторе тоном, не терпящим возражений, и принимает удаленные команды для запуска дополнительных атак (аналогично содержимое любой Троян).

Кампания эта угроза нацелена на Украине и в промышленном секторе, особенно, но не исключительно. Следуйте инструкции в этой статье для снятия VPNFilter (также известный как вирус VPNFilter) сразу и возвращаясь каких-либо угрожающих изменений настроек маршрутизаторов или сетевых устройств хранения данных.

Скачать утилитучтобы удалить VPNFilter

Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.

Интернет вещей приобретает новую опасность этап в игре

При некоторых инфекциях вещей разрешается не более чем перезагрузка зараженного устройства, новый задействуя шпионские кампании по всему миру, но особенно для Украины, в обход этого простого решения.

Шпионских, VPNFilter, как представляется, быть продуктом группы Sofacy: российские актеры опасный уровень опыт подобный создатели Stuxnet и Havex.

А VPNFilter, подобно им, включает в себя особенности, характерные для протоколов SCADA, глубина и анти-безопасности на его борту находятся за пределами области, характерной для промышленных систем значительно.

Скачать утилитучтобы удалить VPNFilter

Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.

На этот раз эксперты вредоносных программ не отметить любое использование ‘нулевого дня’ стиля подвиги в кампании VPNFilter по. Сейчас, любой полностью пропатченный оборудования должны быть застрахованы от ее первоначальные источники заражения.

Очистка фильтра между Вами и веб

Пользователи полагая, что их устройства потенциально скомпрометированных следует соблюдать совершенно конкретные указания на соответствующие меры предосторожности.

Типичные рекомендации включают перезагрузка маршрутизатора для снижения VPNFilter его одного формата этапа, прежде чем принимать дальнейшие меры и установке любых доступных обновлений для вашей прошивки.

Кроме того, пользователи должны менять пароли, и связанные учетные данные безопасности, от их настройки по умолчанию. В крайнем случае, полный сброс настроек устройства может потребоваться.

По состоянию на 24 мая, ФБР изъяли домен в инфраструктуре команды VPNFilter и контроля за нарушение его коммуникаций.

Тем не менее, шпионское ПО и трояны по-прежнему классифицируется как высокий уровень угрозы со сложными эксфильтрации данных и аппаратных средств уничтожения.

Специализированных продуктов защиты от вредоносных программ может вылечить зараженного устройства, когда это необходимо, или удалить VPNFilter до завершения ее недобровольный, эксплуатирующих установки.

Скачать утилитучтобы удалить VPNFilter

Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.

Антиукраинской угрозы, не скудны; вредоносные программы эксперты также отмечают подобные кампании с использованием вредных шифрования (например, GandCrab3 Ransomware) или руткит на основе сохраняемости (в соответствии с Uroburos). Что делает VPNFilter меньше, чем обычно не предпочитаемые жертвы, но широкий и агрессивно стойких сферу ее грузоподъемность, как только он принимает это.

Удалить из Windows 7 и Windows Vista

1. Нажмите кнопку Пуск и выберите Панель управления.
2. Выберите удалить программу и удалить VPNFilter.

Удалить с Windows XP

1. Откройте меню Пуск и панель управления.
2. Выберите Установка и удаление программ и удалить VPNFilter.

Удалить из Windows 8

1. Одновременно нажмите клавишу Windows + R и введите в панели управления.
2. Нажмите Enter и перейдите к удалить программу.
3. Найдите нежелательных приложений и удалите VPNFilter.

Удалите VPNFilter от Internet Explorer

1. Запустите Internet Explorer и выберите значок шестеренки.
2. Откройте Управление надстройками и удалить нежелательные extensons.
3. Снова нажмите значок шестеренки и перейти к свойства обозревателя.

4. На вкладке Общие замените текущую домашнюю страницу тот, который вы предпочитаете.
5. Нажмите кнопку ОК.
6. Нажмите значок шестеренки еще один раз и получить доступ к параметрам Интернет.
7. Перейдите на вкладку Дополнительно и выберите Reset.

8. Флажок и снова нажмите Reset.

Удалите VPNFilter от Mozilla Firefox

1. Запустите браузер и откройте меню.
2. Дополнения контакты и перейдите к Extensions.
3. Удалите нежелательные расширения из списка.
4. В то же время нажмите клавиши Alt + H.
5. Выберите сведения об устранении неполадок и нажмите Сброс.
6. Когда откроется диалоговое окно Новый, снова нажмите Reset.

Удалите VPNFilter от Google Chrome

1. Запустите браузер и откройте меню.
2. Выберите Инструменты и перейти к расширения.
3. Выберите нежелательные дополнения и нажмите значок корзины рядом с ним.
4. Снова получить доступ к меню и перейти к настройкам.

5. Нажмите Управление поисковыми под Поиск и удаление текущего поиска.
6. Выберите новый инструмент поиска.
7. Откройте настройки и выберите пункт Показать дополнительные параметры.

8. Коснитесь сброс настроек браузера, а затем нажмите Сброс еще раз для подтверждения ваших действий.

* SpyHunter сканера, опубликованные на этом сайте, предназначен для использования только в качестве средства обнаружения. более подробная информация о SpyHunter.

Чтобы использовать функцию удаления, вам нужно будет приобрести полную версию SpyHunter. Если вы хотите удалить SpyHunter, нажмите здесь.

Новый троян напал на роутеры. Полмиллиона устройств заражены, все Linksys, MikroTik и TP-Link беззащитны

Эксперты по безопасности с тревогой наблюдают за растущей эпидемией вредоносной программы VPNFilter, которая успела за относительно короткий срок заразить не менее 500 тыс. роутеров и иных сетевых устройств в 54 странах мира. Наибольшее количество заражений наблюдается на территории Украины.

В сообщении ИБ-компании Talos говорится, что в первую очередь под угрозой оказались роутеры и носители сетевого оборудования таких производителей, как Linksys, MikroTik, Netgear, QNAP и TP-Link, предназначенных для дома и офиса.

Вирус, по мнению фирмы, опасен прежде всего тем, что «позволяет похищать учетные данные сайтов и вести мониторинг протоколов Modbus SCADA». Иными словами, этот вирус целит прежде всего в критическую инфраструктуру.

Эксперты Talos также отмечают, что не смогли пока полностью изучить вирус и не нашли пока способа нейтрализовать этот вредонос, теоретически «способный блокировать доступ в интернет для сотен тысяч» пользователей.

Преждевременную публикацию эксперты объяснили растущими темпами заражений именно на территории Украины.

Talos отмечает также, что вредонос содержит некоторое количество кода, «персекающегося» с кодом вредоносных программ, использованных в контексте APT-кампании BlackEnergy.

Что известно на данный момент

Talos отметили следующие характеристики вредоносной программы VPNFilter. Троян обладает модульной многокомпонентной структурой. Модуль «первого этапа» обеспечивает устойчивое присутствие в зараженном устройстве. Вредонос способен «переживать» перезагрузку устройства, в отличие от многих других аналогичных программ.

Троян VPNFilter стремительно заразил 500 тыс. роутеров в 54 странах

Однако, удалить VPNFilter можно, сбросив устройство к заводским настройкам, который рекомендуется сделать всем владельцам названных роутеров. После сброса нужно обновить прошивку, сменить пароль и ограничить протоколы удаленного управления устройством.

Устойчивый C&C-механизм, обилие командных серверов страхует от неожиданных изменений в командной инфраструктуре. Модули «второго этапа» способны производить вывод данных, перехват файлов, локальное выполнение команд от операторов вредоноса, а также «убивать» прошивку устройства, делая его неработоспособным.

Модули «второго этапа» уничтожаются при перезагрузке устройства. Модули «третьего этапа» представляют собой плагины для компонентов второго этапа, расширяющие их функциональность. На данный момент известны анализатор траффика, способный перехватывать реквизиты доступа на различные сайты, и монитор протоколов Modbus SCADA.

Кампания по распространению VPNFilter началась не ранее 2016 г. Способы заражения устройств точно пока не известны, но, по предположению экспертов, в первую очередь жертвами становятся давно не обновлявшиеся сетевые устройства с прошивками, изобилующими неисправленными уязвимостями.

Безопасность роутеров — старая и устойчивая проблема

В последние годы количество вредоносных программ, атакующих именно сетевое оборудование, а не конечные устройства, устойчиво растет.

«Как правило, эти устройства один раз настраивают и забывают про их существование, даром, что через них идет весь трафик. Этим и пользуются злоумышленники, — отмечает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services.

— Сами пользователи очень часто игнорируют базовые требования к безопасности роутеров, оставляя заводские логины и пароли. В подобных случаях даже какие-либо эксплойты не нужны, чтобы перехватить контроль над устройством.

При наличии анализатора трафика злоумышленники могут фактически видеть все данные, идущие через данный роутер.

На данный момент, по заявлению Talos, от угрозы очень трудно защититься. В первую очередь потому, что роутеры крайне редко оснащаются какими-либо собственными средствами защиты, так что они абсолютно открыты перед любыми кибератаками.

«Проблема усложняется тем, что большинство устройств, находящихся под угрозой, сегодня обладают уязвимостями, которые широко известны, но которые при этом сложно исправить среднестатистическому пользователю», — указывают эксперты.

Например, IoT Inspector — автоматический сканер аппаратно-программного обеспечения — позволяет анализировать программные оболочки множества IoT-устройств, включая роутеры, принтеры и т.д.

, на предмет имеющихся в них уязвимостей.

Для роутеров, чьи прошивки могут не обновляться годами, подобные сканеры могут стать необходимой страховкой от подобных инцидентов.

В свою очередь, Talos уже опубликовал обширный список Snort-сигнатур для известных уязвимостей, которые эксплуатируются VPNFilter. Этот список вряд ли является полным, учитывая, что исследование VPNFilter не окончено, но даже он может помочь предотвратить заражения пользователям уязвимых роутеров.

Вирус VPNFilter: описание, возможности, список уязвимых устройств

Усовершенствованный ботнет VPNFilter, который уже поработил более 500 000 маршрутизаторов и NAS-устройств по всему миру, оказался намного опаснее, чем предполагали эксперты.

Оказалось, что вирус обладает дополнительной функциональностью, которая позволяет ему привести захваченные устройства в нерабочее состояние, заражать любые подключенные оконечные устройства (ПК/телефоны) и воровать учетные данные пользователей даже при использовании безопасного https соединения.

Новый список устройств, уязвимых к вредоносному программному обеспечению VPNFilter, содержит на данный момент уже более 50 моделей роутеров и продуктов NAS (Network attached storage – сетевая система для хранения данных на файловом уровне), и, как отмечают исследователи, он, вероятнее всего, все еще не является полным. К примеру, один из обнаруженных образцов вредоносного программного обеспечения VPNFilter был явно нацелен на устройства компании UPVEL, но пока не удалось точно идентифицировать, какие именно модели этого поставщика являются уязвимыми к вирусу VPNFilter.

Огромное количество устройств, на которые нацелено вредоносное ПО, явно указывает на трудоемкую и слаженную работу по разработке и тестированию, которую проделали создатели вредоносного программного обеспечения и ботнета VPNFilter.

Ведь основная цель атаки злоумышленников — экосистема роутеров для дома и малых офисов — имеет невероятное разнообразие.

И, хотя большинство прошивок маршрутизаторов основаны на Linux, существуют огромные различия между разными версиями ПО этого типа, и не только между разными решениями от разных производителей, но и даже между разными моделями устройств из одной линейки продуктов того же производителя.

Кроме учета этих различий при создании своего вредоносного программного обеспечения, злоумышленники также должны были написать различные вариации под разные архитектуры процессоров и разработать эксплойты, которые бы надежно работали с большим количеством устройств. Добавьте к вышесказанному многоступенчатую модульную структуру вредоносного ПО и его сложный механизм сохранения, и становится очевидным, что ботнет VPNFilter был создан высококвалифицированной группой хакеров, имеющих доступ к большому количеству ресурсов.

Описание вируса

Впервые детальная информация об этой угрозе появилась 23 мая 2018 года. Так, исследователи из подразделения Cisco Systems Talos в своем предварительном отчете, посвященном этой угрозе (https://blog.talosintelligence.com/2018/05/VPNFilter.html), сообщили о заражении более чем 500 000 роутеров и других устройств сложным вредоносным программным обеспечением.

Этот массивный ботнет, согласно оценкам исследователей, состоял из скомпрометированных устройств, расположенных в более чем 54 странах мира, — в основном это определенные модели маршрутизаторов для дома и малого бизнеса от Linksys, MikroTik, Netgear и TP-Link, а также устройств для сетевого хранения данных (NAS) от QNAP (с тех пор, как мы уже отмечали выше, список производителей и моделей значительно расширился).

Данные устройства были заражены многоступенчатой вредоносной программной структурой, которая существует в различных версиях (к примеру, исследователи идентифицировали версии ПО, ориентированные на архитектуры процессоров x86 и MIPS).

Кроме того, было обнаружено, что код вредоносного ПО VPNFilter имеет сходство с BlackEnergy, троянской программой, которая была использована для кибератаки на украинские энергосистемы в декабре 2015 года, что позволило исследователям сделать предположение о причастности этой же группы российских хакеров и к вирусу VPNFilter.

Таким образом, VPNFilter — это одна из самых сложных вредоносных программных структур для заражения устройств со встроенной операционной системой, из всех известных на сегодняшний день.

Она многоступенчатая, модульная и, в отличие от большинства других вредоносных программ, ориентированных на маршрутизаторы, способна сохранять свою функциональность даже после перегрузки зараженного устройства.

Также по желанию злоумышленников это вредоносное ПО может вывести из строя зараженные устройства, сделав их непригодным к эксплуатации в дальнейшем без обращения за профессиональной помощью или использования специализированного инструментария.

«Деструктивная способность особенно примечательна», — отметили исследователи Cisco Talos в предварительном отчете. — «Это показывает, что злоумышленники предпочитают уничтожить устройства пользователей, чтобы скрыть результаты своей деятельности, а не просто стереть следы своей вредоносной программы.

Либо же атака может быть осуществлена на определенный географический регион, если такова будет цель у злоумышленников».

Как происходит заражение?

Хотя точные методы заражения пока не были установлены, исследователи предположили, что злоумышленники, вероятнее всего, использовали эксплойты, ориентированные на общеизвестные проблемы с безопасностью данных устройств, а не уязвимости нулевого дня.

После успешной атаки на устройство жертвы, на первом этапе заражения злоумышленники разворачивают скомпилированный пакет для систем на базе ОС семейства Linux с поддержкой набора UNIX-утилит BusyBox.

Эта полезная нагрузка первого этапа атаки позволяет изменять значения, хранящиеся в энергонезависимой памяти устройства (Non Volatile Random Access Memory, NVRAM) и добавлять себя в файлы crontab, содержащие инструкции для запуска планировщика заданий в ОС на базе Linux, чтобы закрепиться на этом устройстве.

Затем компонент первого этапа пытается подключиться к Photobucket.

com, популярному сервису для хранения мультимедийных файлов, прежде всего картинок и фотографий, для скачивания загруженной туда злоумышленниками определенной фотографии из определенной галереи.

EXIF данные (метаданные) этой фотографии содержат IP-адрес сервера загрузки, закодированного как адрес геолокации. (Данная возможность уже заблокирована ФБР со стороны серверов сервиса Photobucket.com).

Если это фото не удалось загрузить, вредоносная программа пытается получить доступ к резервной копии (бэкапу) этого фото для получения IP-адреса сервера загрузки. Если же и эта попытка провалилась, то она начинает слушать эфир в ожидании специального сетевого пакета, созданного злоумышленниками, содержащего IP-адрес сервера.

Таким образом, вредоносная программа имеет встроенную избыточность, чтобы гарантировать злоумышленникам, что они не потеряют контроль над ботнетом и смогут обновлять свою вредоносное программное обеспечение многими способами.

Как только связь с сервером удается установить, полезная нагрузка первого этапа переходит к загрузке более сложного программного компонента второго этапа, который подключается к серверу управления, размещенном в анонимной сети Tor, для получения инструкций.

Этот компонент вредоносной программы способен выполнять команды оболочки на зараженном устройстве, перезагружать его, выводить из строя, загружать файлы с сервера, загружать на сервер локальные файлы, активировать устройство как прокси-сервер и многое другое.

Один из этих плагинов работал как локальный сниффер трафика, извлекая учетные данные и другую информацию из HTTP-соединений, проходящих через маршрутизатор. Он также отслеживал и производил мониторинг трафика по протоколам Modbus SCADA, что позволяет предположить, что одна из целей злоумышленников — определение сетей, связанных с промышленными системами управления.

Возможности и применение VPNFilter

Вредоносная программа VPNFilter имеет разнообразное применение, и ее очень сложно заблокировать.

Она нацелена на устройства, которые непосредственно подключены к Интернету, не имеют запущенного программного обеспечения безопасности, редко обновляются и имеют известные уязвимости.

Данное вредоносное программное обеспечение также использует сложные техники персистенции и управления, которые сложно отследить и пресечь.

Ботнет VPNFilter может быть использован для самых разнообразных целей. Так, злоумышленники могут использовать его, чтобы красть учетные данные пользователей, идентифицировать интересные частные сети и атаковать их изнутри, скрывать следы своей деятельности во время киберопераций против других целей, а также осуществлять DDoS-атаки.

В начале июня 2018 года исследователи Cisco Talos также сообщили том, что им удалось идентифицировать два новых модуля третьего этапа.

Один из них может добавлять вредоносный код JavaScript в HTTP-трафик, что позволяет злоумышленникам доставлять эксплойты на компьютеры и телефоны, подключенные к зараженным маршрутизаторам.

Другой из обнаруженных модулей может быть использован для стирания файловой системы, что позволяет, одновременно, как удалить с устройства следы вредоносного программного обеспечения, так и вывести это устройство из строя, сделав его не загружаемым.

«Новый модуль позволяет злоумышленникам доставлять эксплойты конечным точкам, используя возможности метода «человек посередине» (Man in the middle).

— «Это новое наблюдение позволяет нам констатировать, что угроза выходит за рамки определения того, какие возможности появляются у злоумышленников на самом сетевом устройстве, и расширяет зону действия угрозы до уровня сетей, которые поддерживает скомпрометированное сетевое устройство».

Модуль «ssler», который выполняет инъекцию JavaScript, также всегда будет преобразовывать HTTPS-запросы в HTTP, используя методику, известную как SSLstrip, чтобы перехватывать учетные данные из веб-трафика.

Но есть несколько доменов, включенных в своеобразный «белый список», соединение с которыми всегда будет осуществляться через HTTPS, куда, в том числе, входят: «www.google.com», «.com», «www..com» и «www..com».

Это, возможно, было реализовано для того, чтобы избежать массового возникновения ошибок в браузерах, которые пытаются связываться с этими сайтами исключительно через HTTPS из-за встроенных настроек.

«Сейчас стало очевидным, что масштабы этой компании злоумышленников оказались намного большими, чем первоначально предполагалось», — поведал Мунир Хахад (Mounir Hahad), глава Juniper Threat Labs в компании Juniper Networks, через блог компании, — «Возможность заражения конечных точек вводит новую переменную и делает процесс очистки более сложным, чем простая перезагрузка маршрутизатора. Любой эксплойт может быть использован злоумышленниками, управляющими данной угрозой, для атаки на компьютеры, находящимися за зараженным маршрутизатором».

Для людей, чьи модели маршрутизаторов попали в список уязвимых к VPNFilter (представлен ниже), исследователи из Juniper Threat Labs советуют прежде всего выполнить следующие рекомендации для смягчения последствий данной угрозы:

1. Убедитесь, что у вас установлено новейшее обновление вашего антивирусного программного обеспечения, запущенного на всех конечных точках, связанных с этим маршрутизатором.
2. Убедитесь, что все ваши программные системы имеют последние патчи безопасности.
3. Включите двухфакторную аутентификацию для онлайновых учетных записей на всех сервисах, где это поддерживается.

Обновленный список устройств уязвимых к ботнету VPNFilter

Следующие устройства ASUS, D-LINK, HUAWEI, LINKSYS, MIKROTIK, NETGEAR и других производителей следует в первую очередь проверить на заражение вирусом VPNFilter:

Данный материал доступен только зарегистрированным пользователям!
Войдите илизарегистрируйтесь, чтобы получить доступ!

См. также:

VPNFilter – причины и методы удаления вируса

Новая вредоносная программа, известная как MicroTic VPNFilter, недавно идентифицированная Cisco Talos Intelligence Group, уже заразила более 500 000 маршрутизаторов и сетевых устройств хранения данных (NAS), многие из которых находятся в распоряжении малых предприятий и офисов. То, что делает этот вирус особенно опасным, – у него есть так называемая «постоянная» способность к нанесению вреда, а это означает, что он не исчезнет только потому, что маршрутизатор будет перезагружен.

Как удалить вирусное ПО — VPNFilter.

Что такое VPNFilter

Согласно Symantec, «данные из приманок и сенсоров Symantec показывают, что в отличие от других угроз IoT, вирус VPNFilter, похоже, не сканирует и без разбора пытается заразить все уязвимые устройства по всему миру». Это означает, что существует определённая стратегия и цель заражения. В качестве потенциальных целей Symantec определила устройства от Linksys, MikroTik, Netgear, TP-Link и QNAP.

Итак, как устройства заразились? Это недостатки в программном или аппаратном обеспечении, которые создают своего рода бэкдор, через который злоумышленник может нарушить работу устройства.

Хакеры используют стандартные имена и пароли по умолчанию для заражения устройств или получения доступа через известные уязвимости, которые должны были быть исправлены с помощью регулярных обновлений программного обеспечения или прошивки.

Это тот же самый механизм, который привёл к массовым нарушениям от Equifax в прошлом году, и это, пожалуй, самый большой источник кибер-уязвимости!

Угроза настолько обширна, что недавно Министерство юстиции и ФБР объявили, что суд вынес решение о конфискации устройств, подозреваемых во взломе.

Решение суда поможет выявить устройства-жертвы, нарушит способность хакеров похищать личную и другую конфиденциальную информацию и осуществлять подрывные кибератаки троян VPNFilter.

Как работает вирус

VPNFIlter используется очень сложный двухступенчатый метод заражения, целью которого является ваш компьютер, чтобы стать жертвой сбора разведывательных данных и даже операции дескрипции.

Первый этап работы вируса включает перезагрузку вашего маршрутизатора или концентратора.

Поскольку вредоносное ПО VPNFilter нацелено в первую очередь на маршрутизаторы, а также на другие устройства, связанные с Интернетом, так же как и вредоносное ПО Mirai, это может произойти в результате автоматической атаки бот-сети, которая не реализована в результате успешной компрометации центральных серверов. Инфекция происходит с помощью эксплойта, который вызывает перезагрузку смарт-устройства. Основная цель этого этапа – получить частичный контроль и включить развёртывание этапа 2 после завершения процесса перезагрузки. Фазы этапа 1 следующие:

1. Загружает фотографию из Photobucket.
2. Запускаются эксплойты, а для вызова IP-адресов используются метаданные.
3. Вирус подключается к серверу и загружает вредоносную программу, после которой автоматически её выполняет.

Как сообщают исследователи, в качестве отдельных URL-адресов с первым этапом заражения являются библиотеки поддельных пользователей фотообъектов:

• com/user/nikkireed11/library
• com/user/kmila302/library
• com/user/lisabraun87/library
• com/user/eva_green1/library
• com/user/monicabelci4/library
• com/user/katyperry45/library
• com/user/saragray1/library
• com/user/millerfred/library
• com/user/jeniferaniston1/library
• com/user/amandaseyfried1/library
• com/user/suwe8/library
• com/user/bob7301/library

Как только запускается вторая стадия заражения, фактические возможности вредоносного ПО VPNFilter становятся более обширными. Они включают использование вируса в следующих действиях:

• Подключается к серверу C&C.
• Выполняет Tor, P.S. и другие плагины.
• Выполняет вредоносные действия, которые включают сбор данных, выполнение команд, кражу файлов, управление устройствами.
• Способно выполнять деятельность по самоуничтожению.

Связанные со вторым этапом заражения IP-адреса:

• 121.109.209
• 12.202.40
• 242.222.68
• 118.242.124
• 151.209.33
• 79.179.14
• 214.203.144
• 211.198.231
• 154.180.60
• 149.250.54
• 200.13.76
• 185.80.82
• 210.180.229

В дополнение к этим двум этапам исследователи кибербезопасности в Cisco Talos также сообщили о сервере 3-го этапа, цель которого до сих пор остаётся неизвестной.

Уязвимые роутеры

Не каждый маршрутизатор может пострадать от VPNFilter. Symantec подробно описывает, какие маршрутизаторы уязвимы. На сегодняшний день VPNFilter способен заражать маршрутизаторы Linksys, MikroTik, Netgear и TP-Link, а также устройств с подключением к сети (NAS) QNAP. К ним относятся:

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik Router (для маршрутизаторов с облачным ядром версии 1016, 1036 и 1072)
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Другие устройства NAS QNAP с программным обеспечением QTS
• TP-Link R600VPN

Если у вас есть какое-либо из вышеперечисленных устройств, проверьте страницу поддержки вашего производителя на наличие обновлений и советы об удалении VPNFilter. У большинства производителей уже есть обновление прошивки, которое должно полностью защитить вас от векторов атаки VPNFilter.

Как определить, что роутер заражён

Определить степень заражения роутера невозможно даже с помощью антивируса Касперского. Айтишники всех ведущих мировых компаний пока не решили эту проблему. Единственные рекомендации, которые они пока могут предложить – это сброс устройства до заводских настроек.

Поможет ли перезагрузка роутера избавиться от заражения VPNFilter

Перезагрузка роутера поможет предотвратить развитие вируса только первых двух этапов. В нём всё ещё останутся следы вредоносного ПО, которое будет постепенно заражать роутер. Решить проблему поможет сброс устройства до заводских настроек.

Как удалить VPNFilter и защитить свой роутер или NAS

В соответствии с рекомендациями Symantec, необходимо перезагрузить устройство, а затем немедленно применить любые действия, необходимые для обновления и перепрошивки.

Это звучит просто, но, опять же, отсутствие постоянного обновления программного обеспечения и прошивки является самой распространённой причиной кибератак.

Netgear также советует пользователям своих устройств отключать любые возможности удалённого управления. Linksys рекомендует перезагружать его устройства хотя бы раз в несколько дней.

Простая очистка и сброс вашего маршрутизатора не всегда полностью избавляет от проблемы, поскольку вредоносное ПО может представлять собой сложную угрозу, что может глубоко поражать объекты прошивки вашего маршрутизатора. Вот почему первый шаг – проверить, была ли ваша сеть подвергнута риску этой вредоносной программы. Исследователи Cisco настоятельно рекомендуют это сделать, выполнив следующие шаги:

1. Создайте новую группу хостов с именем «VPNFilter C2» и сделайте её находящейся под внешними хостами через Java UI.
2. После этого подтвердите, что группа обменивается данными, проверив «контакты» самой группы на вашем устройстве.
3. Если нет активного трафика, исследователи советуют сетевым администраторам создать тип сигнала отключения, который путём создания события и выбора хоста в веб-интерфейсе пользователя уведомляет, как только происходит трафик в группе хостов.

Прямо сейчас вы должны перезагрузить маршрутизатор. Для этого просто отключите его от источника питания на 30 секунд, затем подключите обратно.

Следующим шагом будет сброс настроек вашего маршрутизатора. Информацию о том, как это сделать, вы найдёте в руководстве в коробке или на веб-сайте производителя. Когда вы снова загрузите свой маршрутизатор, вам нужно убедиться, что его версия прошивки является последней. Опять же обратитесь к документации, прилагаемой к маршрутизатору, чтобы узнать, как его обновить.

ВАЖНО. Никогда не используйте для администрирования имя пользователя и пароль по умолчанию. Все маршрутизаторы той же модели будут использовать это имя и пароль, что упрощает изменение настроек или установку вредоносного ПО. 

Никогда не пользуйтесь интернетом без сильного брандмауэра. В группе риска FTP-серверы, NAS-серверы, Plex-серверы. Никогда не оставляйте удалённое администрирование включённым.

Это может быть удобно, если вы часто находитесь далеко от своей сети, но это потенциальная уязвимость, которую может использовать каждый хакер. Всегда будьте в курсе последних событий.

Это означает, что вы должны регулярно проверять новую прошивку и переустанавливать её по мере выхода обновлений.

Нужно ли сбрасывать настройки роутера, если моё устройство отсутствует в списке

База данных роутеров в группе риска обновляется ежедневно, поэтому сброс роутера необходимо выполнять регулярно. Как и проверять обновления прошивки на сайте производителя и следить за его блогом или сообщениями в соцсетях.

Малварь VPNFilter заразила 500 000 роутеров и IoT-устройств. Ее, предположительно, создали российские хакеры — «Хакер»

Рекомендуем почитать:

• выпуска
• Подписка на «Хакер»

Специалисты Cisco Talos предупредили об обнаружении крупного ботнета, получившего название VPNFilter.

Сложная малварь уже заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира.

Исследователи подчеркивают, что VPNFilter – это вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стала малварь Hide and Seek), к тому же таящая в себе деструктивную функциональность.

VPNFilter

Исследователи рассказывают, что операторы VPNFilter, судя по всему, не использовали для заражения устройств какие-либо 0-day уязвимости, а эксплуатировали различные известные баги, обнаруженные ранее. Список моделей устройств, на которых был обнаружен VPNFilter, опубликованный компанией Symantec, можно увидеть ниже.

• Linksys E1200;
• Linksys E2500;
• Linksys WRVS4400N;
• Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;
• Netgear DGN2200;
• Netgear R6400;
• Netgear R7000;
• Netgear R8000;
• Netgear WNR1000;
• Netgear WNR2000;
• QNAP TS251;
• QNAP TS439 Pro;
• Другие устройства QNAP NAS, работающие под управлением QTS;
• TP-Link R600VPN.

Аналитики Cisco Talos пишут, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии. Во время первой стадии бот VPNFilter прост и легковесен, его основная задача на этом этапе – инфицировать устройство и гарантировать устойчивое присутствие в системе.

Как уже было сказано выше, ранее умение «переживать» перезагрузку IoT-девайсов демонстрировала только одна угроза — ботнет Hide and Seek. Стоит отметить, что по данным Symantec, избавиться от бота первой стадии все же возможно. Для этого потребуется произвести сброс устройства к заводским настройкам с последующей перезагрузкой.

Вторая стадия заражения, по мнению экспертов Cisco Talos, является наиболее опасной. Хотя сам бот второй стадии не способен выдержать перезагрузку устройства и, казалось бы, более безобиден, на самом деле это не так.

Основной ролью бота второй стадии является подготовка к третьей фазе заражения.

Вместе с этим бот второй стадии обладает опасной функциональностью самоуничтожения, во время активации которой он перезаписывает критические части прошивки устройства и уводит его в перезагрузку.

Аналитики предупреждают, что после этого зараженный гаджет превращается в бесполезный «кирпич» и не может загрузиться, так как необходимые для загрузки системы части прошивки подменяются случайным «мусором».

По мнению специалистов Cisco Talos, после срабатывания функции самоуничтожения, большинство пользователей уже не сможет вернуть свои устройства в строй (за неимением необходимых технических знаний).

Третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов.

В настоящее время аналитики обнаружили три плагина, задача которых заключается сниффании сетевого трафика и перехвате пакетов, мониторинге протоколов Modbus SCADA, а также взаимодействии с управляющим сервером посредством Tor. Вероятнее всего, в запасе у операторов VPNFilter припасены и другие вредоносные модули, которые пока не были применены.

Схема заражения и работы VPNFilter

Таким образом, операторы VPNFilter способны совершать самые разные противоправные действия посредством своего ботнета.

Они могут перехватывать трафик и учетные данные от закрытых сетей и систем; могут обнаруживать промышленное SCADA-оборудование и заражать его специализированной малварью; могут использовать зараженные устройства как обычный ботнет, скрывая за ним различные атаки; и наконец, могут попросту вывести из строя сотни тысяч устройств.

Атака на Украину?

Исследователи подчеркивают, что в последнее время VPNFilter очень активно заражает устройства на территории Украины (для украинских ботов даже был создан отдельный C&C сервер). В связи с этим специалисты выражают серьезное беспокойство относительно функции самоуничтожения, выводящей пострадавшие устройства из строя. Ее активация может стать серьезным ударом для инфраструктуры страны.

Всплеск атак на устройства на территории Украины

Также нужно сказать, что в Cisco Talos обнаружили сходство VPNFilter с малварью BlackEnergy, которая использовалась в 2015-2016 годах для атак на энергетические компании Украины и привела к массовым отключениям электроэнергии на западе страны.

Служба безопасности Украины уже выпустила пресс-релиз, посвященный происходящему. Правоохранители считают, что операторы VPNFilter хотели приурочить атаку на государственные структуры и частные компании к финалу Лиги Чемпионов, который пройдет в Киеве 26 мая 2018 года.

Напомню, что некоторые компании и специалисты связывают малварь BlackEnergy с группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team,  X-agent, Sednit и так далее. Теперь с APT28 так же связывают и VPNFilter, а Служба безопасности Украины открыто приписывает авторство малвари РФ. Заметим, что специалисты Cisco Talos и Symantec пока никаких выводов не делают, отмечая, что расследование еще далеко от завершения.

Управляющие серверы обезврежены

Вскоре после публикации отчета-предупреждения Cisco Talos издание The Daily Beast сообщило, что в распоряжении его редакции оказался аффидевит, согласно которому ФБР решило обезвредить управляющие серверы VPNFilter, сочтя угрозу слишком опасной.

Согласно документу, западные правоохранители так же убеждены, что за созданием ботнета стоит группировка ATP28. Решение суда о блокировке управляющих серверов малвари было оперативно получено после предупреждения специалистов. В частности, под контроль ФБР перешел домен toknowall.com, к которому VPNFilter обращается за получением команд и дополнительных модулей.

К сожалению, угроза все равно сохраняется, так как синкхоллингом (sinkhole) доменов здесь, вероятно, обойтись не удастся. Учитывая, что еще на первом этапе заражения VPNFilter сообщает своим авторам IP-адреса зараженных устройств, операторы ботнета могут восстановить свою инфраструктуру в другом месте и вернуть контроль над инфицированными гаджетами.

В связи с этим пользователям потенциально уязвимых устройств настоятельно рекомендуется произвести сброс к заводским настройкам с последующей перезагрузкой и убедиться, что используется новейшая версия ПО.

Также, если есть такая возможность, малварь можно поискать в следующих директориях: var/run/vpnfilterm, /var/run/vpnfilterw, var/run/torr и var/run/tord. Если таковые нашлись, следует удалить их содержимое.