VPNFILTER СТАЛ ОПАСНЕЕ

needfortrane

Модератор
Команда форума
Автор темы #1
Вредонос VPNFilter был обнаружен в мае текущего года. Сложная малварь заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-Link, а также NAS производства QNAP в 54 странах мира. Исследователи Cisco Talos, первыми рассказавшие о малвари, подчеркивали, что VPNFilter — это всего вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стал вредонос Hide and Seek), к тому же таящая в себе деструктивную функциональность.

Эксперты Cisco Talos представили обновленный отчет о ботнете VPNFilter. Оказалось, что малварь представляет опасность для большего числа устройств, чем предполагалось изначально. К тому же исследователи выявили новые вредоносные плагины для VPNFilter.

Еще в мае аналитики Cisco Talos называли VPNFilter одной из наиболее комплексных IoT-угроз, с какими им приходилось сталкиваться. Так, заражение делится на три стадии и, по сути, состоит из трех разных ботов. Бот первой стадии прост и легковесен, но он умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь малварью. В свою очередь, третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов.

Теперь ИБ-эксперты сообщили, что даже недооценили всю степень опасности. Если изначально считалось, что малварь представляет угрозу для устройств Linksys, MikroTik, NETGEAR, TP-Link и QNAP, то теперь выяснилось, что к этому списку нужно добавить роутеры производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.

В итоге перечень уязвимых перед VPNFilter устройств расширился с 16 моделей до 71, причем на деле их может оказаться еще больше. По данным экспертов, операторы VPNFilter не используют для заражения устройств какие-либо 0day-уязвимости, а эксплуатируют различные известные баги.

Кроме того, в Cisco Talos сумели обнаружить еще два вредоносных плагина, использующихся во время третьей фазы заражения. Ранее исследователи уже находили плагины, задача которых заключается в сниффинге сетевого трафика и перехвате пакетов, мониторинге протоколов Modbus SCADA, а также взаимодействии с управляющим сервером посредством Tor.

Теперь список пополнился плагином ssler, предназначенным для перехвата и модификации трафика, проходящего через 80-й порт (посредством атак man-in-the-middle). Также это решение способно выполнить атаку SSLStrip и понизить соединение с HTTPS до HTTP. Еще один плагин, dstr, создан для переписи файлов прошивки зараженного устройства. В первом отчете специалисты сообщали, что VPNFilter способен уничтожить прошивку зараженной машины, а теперь они обнаружили, что для этой функциональности предназначается dstr.

Еще при первичном анализе, в мае 2018 года, было обнаружено сходство VPNFilter с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и другими.

После того как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену toknowall.com. После этого ФБР и производители уязвимых устройств опубликовали подробные инструкции для владельцев уязвимых устройств, рассказав, какие шаги нужно предпринять для защиты от VPNFilter. Напомню, что простой перезагрузки устройства недостаточно, чтобы избавиться от бота первой стадии заражения. В зависимости от модели устройства может понадобиться сброс к заводским настройкам и перепрошивка гаджета.

К сожалению, эти действия не остановили операторов ботнета, как того и опасались ИБ-специалисты. Стало известно, что VPNFilter активно заражает всё новые роутеры на территории Украины и пытается «вернуться в строй».

Обновленный список всех уязвимых устройств можно найти здесь.

43 000 000 email-адресов случайно слил спамерский ботнет
Аналитики компании Vertek Corporation обнаружили утечку 43 000 000 почтовых адресов, изучая недавние вредоносные кампании по распространению трояна Trik, который заражает своих жертв вымогателем GandCrab третьей версии. Оказалось, что Trik и GandCrab загружают свои файлы с одного и того же сервера. Операторы малвари забыли или не сумели сконфигурировать этот сервер надлежащим образом, и его содержимое было доступно любому желающему, если прямо обратиться к данному IP.

  • Исследователи нашли на сервере преступников 2201 текстовый файл (от 1.txt до 2201.txt), в каждом из которых содержалось примерно 20 000 email-адресов.

  • Проверка подлинности обнаруженной спамерской базы показала, что 43 555 741 из 44 020 000адресов уникальные и, вероятнее всего, настоящие.
У вас нет прав на просмотр ссылки. Войдите или зарегистрируйтесь.
 
Сверху