Вирус VPNFilter, заразивший 500 тыс. роутеров оказался еще опаснее, чем считалось

Несколько недель назад специалисты по информационной безопасности предупредили об опасном зловреде, получившем название VPNFilter. Как оказалось, главной целью этого malware являются роутеры самых разных производителей. Одной из первых на VPNFilter обратила внимание команда специалистов по инфобезу из Cisco Talos.

Зловред постоянно совершенствуется разработчиками. Недавно был обнаружен новый модуль, который использует тип атаки man-in-the-middle в отношении входящего трафика. Злоумышленники могут модифицировать трафик, проходящий через роутер. Также они без проблем могут перенаправлять любые данные на свои сервера. Модуль вируса получил название ssler.

Кроме модифицирования входящего трафика, ssler также может передавать своим создателям личные данные жертвы. Это могут быть пароли к разного рода ресурсам, которые киберпреступники затем используют с разными целями.

Для предотвращения кражи персональной информации обычно используется TLS шифрование, которое зловред может обойти. Это делается путем «даунгрейда» HTTPS-соединений в HTTP трафик, который ничем не защищен. Затем заменяются заголовки запросов, что служит сигналом того, что точка доступа уязвима. Ssler специальным образом модифицирует трафик разных ресурсов, включая Google, Facebook, Twitter и Youtube. Дело в том, что указанные сервисы предоставляют дополнительную защиту. К примеру Google перенаправляет HTTP трафик на HTTPS сервера. Но модуль позволяет обойти и эту защиту, чтобы злоумышленники получали ничем не зашифрованный трафик.

C момента обнаружения вируса специалисты по информационной безопасности изучают его возможности. Сейчас оказалось, что он опаснее, чем считалось. Ранее, к примеру, специалисты Cisco утверждали, что главная задача злоумышленников — заражение сетевых устройств в офисах компаний и домах жертв. Возможно, для формирования ботнета. Но сейчас оказалось, что именно пользователи, вернее, их данные — основная цель.

«Изначально, когда мы обнаружили вирус, мы считали, что он создан для реализации разного рода сетевых атак. Но оказалось, что это вовсе не основная задача и возможность зловреда. Он создан, главным образом, для того, чтобы воровать данные пользователей и модифицировать трафик. К примеру, вирус может изменять трафик таким образом, что пользователь клиент-банка будет видеть прежнюю сумму на своем счету. А на самом деле денег там давно уже нет», — говорится в отчете специалистов по кибербезопасности.

Интересно, что большая часть зараженных устройств находится на/в Украине. Здесь не слишком распространены защитные меры вроде HTTP Strict Transport Security, поэтому данные пользователей под угрозой. Но и в других странах есть проблемы — например, в США и Западной Европе многие устройства, устаревшие морально, не поддерживают работу с HTTPS, продолжая использовать HTTP.

Ранее сообщалось, что наиболее уязвимыми моделями роутеров для указанного вируса являются устройства производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL, и ZTE. На самом деле, спектр устройств, уязвимых для вируса, гораздо шире. Это, в том числе и модели от Linksys, MikroTik, Netgear и TP-Link.

Полный список уязвимых устройств

Asus:

RT-AC66U (new)

RT-N10 (new)

RT-N10E (new)

RT-N10U (new)

RT-N56U (new)

RT-N66U (new)

D-Link:

DES-1210-08P (new)

DIR-300 (new)

DIR-300A (new)

DSR-250N (new)

DSR-500N (new)

DSR-1000 (new)

DSR-1000N (new)

Huawei:

HG8245 (new)

Linksys:

E1200

E2500

E3000 (new)

E3200 (new)

E4200 (new)

RV082 (new)

WRVS4400N

Mikrotik:

CCR1009 (new)

CCR1016

CCR1036

CCR1072

CRS109 (new)

CRS112 (new)

CRS125 (new)

RB411 (new)

RB450 (new)

RB750 (new)

RB911 (new)

RB921 (new)

RB941 (new)

RB951 (new)

RB952 (new)

RB960 (new)

RB962 (new)

RB1100 (new)

RB1200 (new)

RB2011 (new)

RB3011 (new)

RB Groove (new)

RB Omnitik (new)

STX5 (new)

Netgear:

DG834 (new)

DGN1000 (new)

DGN2200

DGN3500 (new)

FVS318N (new)

MBRN3000 (new)

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200 (new)

WNR4000 (new)

WNDR3700 (new)

WNDR4000 (new)

WNDR4300 (new)

WNDR4300-TN (new)

UTM50 (new)

QNAP:

TS251

TS439 Pro

Other QNAP NAS с QTS

TP-Link:

R600VPN

TL-WR741ND (new)

TL-WR841N (new)

Ubiquiti:

NSM2 (new)

PBE M5 (new)

Upvel:

Unknown Models* (new)

ZTE:

ZXHN H108N (new)

И это еще не все

Кроме всего, что было озвучено выше, в Talos сообщили об обнаружении снифер-модуля. Он анализирует трафик в поиске данных определенного типа, которые связаны с работой промышленных систем. Этот трафик проходит через TP-Link R600, что и определяется модулем. Кроме того, модуль ищет обращения к IP из определенного диапазона, а также пакеты данных, размер которых составляет 150 байт или более.

«Создатели вируса ищут вполне конкретные вещи. Они не стараются собрать как можно больше доступной информации, вовсе нет. Им нужны пароли, логины, обращение к определенному диапазону IP и тому подобные вещи. Мы пытаемся понять, кому все это может быть нужно», — заявляют исследователи.

Но и это не все, ведь сейчас вирус обновляется, в его функционале появился модуль самоуничтожения. При активации модуля вирус удаляется с устройства безо всяких следов.

Несмотря на то, что около недели назад ФБР обнаружило и изъяло главный сервер, ботнет до сих пор остается активным, принятых мер оказалось явно недостаточно.

‏Source habr.com