Не забывайте о роутерах!
21 сентября 2018
Ежедневно в вирусной базе Dr.Web появляются записи для семейства Linux.VPNFilter.
Что это за зверь?
VPNFilter – вредоносное ПО, направленное на заражение не обычных компьютеров, а сетевых устройств, таких как роутеры и системы хранения данных.
VPNFilter было обнаружен в мае текущего года. Сложная малварь заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира.
Почему злоумышленников заинтересовали именно сетевые устройства? Причина очень проста: если для обычных компьютеров кто-то и устанавливает обновления, то среди домашних сетевых устройств доля регулярных обновлений ничтожно мала. В результате злоумышленникам не нужно искать свежие и еще не закрытые уязвимости. «Дыра» может быть известна производителю и давно закрыта (например, выпуском новой прошивки), но преступники могут использовать ее без опасений.
Операторы VPNFilter не используют для заражения устройств какие-либо 0-day уязвимости, а эксплуатируют различные известные баги, обнаруженные ранее.
Более того: ситуация, когда обновления не устанавливаются, удобна для злоумышленников и по другой причине. Выпуск уведомления о закрытии уязвимости, как правило, сопровождается информацией о самой уязвимости. А если и нет, то важен сам факт выпуска обновления безопасности: хакеры могут проанализировать обновления и найти слабое место.
Через некоторое время после обнаружения ботнета VPNFilter ФБР перехватило контроль над управляющим сервером злоумышленников toknowall.com. Для этого использовалась техника sinkhole – мы рассказывали о ней в выпуске «Рыбалка на ботов». А после были опубликованы инструкции для владельцев уязвимых устройств, позволяющие избавиться от VPNFilter. В авторстве же вредоносных программ обвинили русских хакеров из Fancy Bear, «считающейся также причастной к атаке на штаб демократов в ходе выборов США в 2016 году».
Собственно, из-за перехвата сервера злоумышленников в свое время не был написан соответствующий выпуск. Время показало, что его все же нужно было сделать: что есть для злоумышленников захват сервера и сколько пользователей прочитало новость? Ботнет предсказуемо выжил, а кибержулики продолжают собирать для него модули.
Что дает преступникам VPNFilter? Он позволяет контролировать данные, проходящие через роутер или средство хранения. Можно выбрать из трафика пароли, можно вставить в трафик сайта, открытого пользователем, некий скрипт, блок рекламы или вызов загрузки вредоносного ПО. Или шантажировать пользователя угрозой блокировки доступа в сеть.
И привычка пользователей решать проблемы перезагрузкой не помогает – VPNFilter спокойно ее переживает.
И не домашними пользователями едиными…
В составе VPNFilter есть отдельный модуль, предназначенный для перехвата коммуникационного протокола Modbus (широко применяется в промышленности для организации связи между электронными устройствами).
VPNFilter способен заражать большое количество различных роутеров (маршрутизаторов) и NAS-устройств (сервера для хранения данных на файловом уровне).
- Asus (RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U)
- D-Link (DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N)
- Huawei (HG8245)
- Linksys (E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N)
- MikroTik (CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5)
- Netgear (DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50)
- TP-Link (R600VPN, TL-WR741ND, TL-WR841N)
- Ubiquiti (NSM2, PBE M5)
- Upvel (неизвестные модели)
- ZTE (ZXHN H108N)
Уязвимые NAS-устройства:
- QNAP (TS251, TS439 Pro и другие с установленным ПО QTS)
Но этот список может в любой момент измениться.
Если вдуматься, это страшная угроза. У вас установлен антивирус, он регулярно обновляется, вы хотите почитать, к примеру, новости. И вы увидите то, что хотят показать вам хакеры. И ничего не сможете с этим поделать – доступ к сайтам с рекомендациями внезапно пропадет.
#Linux #уязвимость #ботнет #роутер #Родительский_контроль #вредоносное_ПО
Антивирусная правДА! рекомендует
Не забывайте о роутере!
- Отключите удалённое администрирование устройства со стороны Интернета в соответствии с эксплуатационной документацией, оставьте доступ только из локальной сети.
- Установите новый пароль администратора и других используемых учётных записей. Пароли должны быть уникальными и достаточно сложными.
- Если есть возможность включить шифрование в ходе настройки устройства, сделайте это.
- Обновляйте прошивку.
Для защиты от VPNFilter частично помогает перезагрузка. Выше мы писали, что VPNFilter ее переживает. Но при этом он состоит из трех модулей, два из которых не выдерживают перезагрузки. Они будут снова скачаны, но за это время вы можете зайти на сайт производителя и поискать рекомендации.
И вот, пока выпуск готовился, вышла еще одна новость:
Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847, устранённой в апрельском обновлении MikroTikOS 6.42.1.
По данным 360 Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с неисправленной уязвимостью. При этом на более чем 7500 устройствах были активированы настройки перехвата пакетов и зеркалирования перехваченного трафика, На 239 тысячах устройств обнаружено создание скрытой точки проброса трафика.
Также зафиксирована неудачная попытка использования маршрутизаторов для вовлечение пользователей в майнинг криптовалют.
Кстати, опять попытка использования JavaScript c сайта coinhive.com, поэтому напоминаем про необходимость блокирования доступа к вредоносным сайтам с помощью Родительского контроля Dr.Web.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
04:23:35 2021-02-04
annigelyator
11:37:53 2018-10-25
annigelyator
11:36:08 2018-10-25
@Влад,
Как-то приходил ко мне клиент с макинтошем(ОС) на ноутбуке. Разговорились. и он поведал мне, что макинтошу антивирус не нужен. поскольку нет в макинтошах "дыр" в которые могли бы проникнуть вирусы. Вот и думаю с тех пор, что это просто маркетинговый ход, для продажи разного рода дополнительных ПО. в том числе и антивируса. ИМХО!!!Но без антивируса теперь никак нельзя.
Ruslan
17:01:43 2018-09-26
МЕДВЕДЬ
11:40:47 2018-09-24
Вячeслaв
09:50:21 2018-09-24
Специально открыл все ссылки - ни одного предупреждения
Любитель пляжного футбола
13:23:04 2018-09-23
Пaвeл
12:53:01 2018-09-23
Пaвeл
12:52:00 2018-09-23
Pjmur
12:16:05 2018-09-23
Шалтай Александр Болтай
08:49:35 2018-09-23
Любитель пляжного футбола
23:45:27 2018-09-22
Татьяна
16:48:59 2018-09-22
Неуёмный Обыватель
07:49:52 2018-09-22
a13x
05:21:35 2018-09-22
А выпуск - интересный.
Lia00
00:18:04 2018-09-22
Неуёмный Обыватель
23:56:45 2018-09-21
Пароли сменены сразу и потом еще много раз. Рекомендации проверил, прошивки новой нет.
Александр
23:14:05 2018-09-21
Littlefish
23:07:00 2018-09-21
Dvakota
22:02:29 2018-09-21
В...а
21:53:34 2018-09-21
vla_va
21:49:26 2018-09-21
orw_mikle
21:30:35 2018-09-21
kva-kva
20:20:54 2018-09-21
mk.insta
19:52:41 2018-09-21
Alex_1774
19:17:39 2018-09-21
Damir
19:14:28 2018-09-21
Влад
18:38:27 2018-09-21
Andromeda
18:35:46 2018-09-21
Сергей
18:10:23 2018-09-21
Альфа
18:05:59 2018-09-21
Раш КХ
17:50:57 2018-09-21
Шалтай Александр Болтай
17:40:07 2018-09-21
Дмитрий
17:30:54 2018-09-21
Геральт
17:09:22 2018-09-21
Toma
16:29:19 2018-09-21
La folle
16:09:12 2018-09-21
TV
15:59:58 2018-09-21
Sasha50
15:59:42 2018-09-21
Sasha50
15:55:11 2018-09-21
Вячeслaв
15:54:18 2018-09-21
Sasha50
15:43:15 2018-09-21
Masha
15:12:46 2018-09-21
Zserg
15:10:04 2018-09-21
Вячeслaв
15:06:37 2018-09-21
I46
14:59:58 2018-09-21
Lenba
14:58:44 2018-09-21
Sasha50
14:21:32 2018-09-21
Sasha50
14:18:07 2018-09-21
Dmur
13:24:28 2018-09-21