ФБР и производители объяснили пользователям, что делать с малварью VPNFilter

ФБР и производители объяснили пользователям, что делать с малварью VPNFilter

В конце прошлой недели специалисты Cisco Talos обнаружили сложного, модульного вредоноса VPNFilter, который уже заразил порядка 500 000 устройств в 54 странах мира. В основном атаке малвари подверглись роутеры Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP.

Список моделей устройств, на которых был обнаружен VPNFilter, опубликованный компанией Symantec, можно увидеть ниже.

• Linksys E1200;

• Linksys E2500;

• Linksys WRVS4400N;

• Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;

• Netgear DGN2200;

• Netgear R6400;

• Netgear R7000;

• Netgear R8000;

• Netgear WNR1000;

• Netgear WNR2000;

• QNAP TS251;

• QNAP TS439 Pro;

• Другие устройства QNAP NAS, работающие под управлением QTS;

• TP-Link R600VPN.

VPNFilter стал всего второй угрозой для интернета вещей, которая способна "пережить" перезагрузку зараженного устройства (напомню, что первой недавно стала малварь Hide and Seek). К тому же исследователи обнаружили, что VPNFilter таит в себе деструктивную функциональность и может превратить зараженные гаджеты в бесполезные "кирпичи".

Дело в том, что во время второй стадии заражения бот VPNFilter несет в себя функцию самоуничтожения, после активации которой он перезаписывает критические части прошивки устройства и уводит его в перезагрузку. По мнению аналитиков, после такого большинство устройств уже не получился "вернуть к жизни" в домашних условиях.

В коде VPNFilter было обнаружено сходство с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее.

После того, как специалисты предположили, что имеют дело с правительственными хакерами, представители ФБР забили тревогу и оперативно перехватили управление над управляющим сервером злоумышленников, применив технику синкхола (sinkhole) к домену  toknowall.com. Но несмотря на это, опасность все равно сохраняется. Ведь еще на первом этапе заражения VPNFilter сообщает своим операторам IP-адреса зараженных устройств, то есть преступники  могут восстановить свою инфраструктуру в другом месте и вернуть контроль над инфицированными гаджетами.

Теперь ФБР выпустило официальное предупреждение, призывая владельцев потенциально уязвимых устройств воспользоваться проверенным советом, хорошо известным всем по сериалу IT Crowd, — выключить устройства и включить снова. Дело в том, что перезагрузка все же способна избавить зараженные гаджеты от части малвари. После этого рекомендуется отключить любые сервисы удаленного администрирования и поменять пароли на что-нибудь надежное.

Некоторые производители пострадавших гаджетов тоже отреагировали на предупреждения специалистов и подготовили бюллетени безопасности и инструкции для своих пользователей.

• Netgear призывает пользователей обновить прошивки роутеров до последних версий, отключить удаленное администрирование и сменить пароли;

• Представители MikroTik уверяют, что с марта 2017 года их ПО блокирует малварь, а также рассказывают, как правильно сконфигурировать проблемные устройства;

• В TP-Link подтвердили, что VPNFilter поражает только роутеры модели TP-R600VPN, и привели для владельцев этих устройств ссылки на последние версии прошивки и необходимые инструкции;

• Разработчики QNAP пишут, что под угрозой оказались только пользователи разных моделей NAS, работающих под управлением QTS 4.2.6 build 20170628, 4.3.3 build 20170703 и более ранних версий ПО, а также те, кто использовал административные учетные данные по умолчанию. Теперь пользователям настоятельно рекомендуется обновить устройства до новейших версий QTS, установить Malware Remover 2.2.1 или новее и провести полное сканирование. Дефолтные пароли, конечно, тоже нужно поменять.

Хакер