Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (63)
  • добавить в избранное
    Добавить в закладки

Не забывайте о роутерах!

Прочитали: 2812 Комментариев: 96 Рейтинг: 89

Ежедневно в вирусной базе Dr.Web появляются записи для семейства Linux.VPNFilter.

#drweb

Что это за зверь?

VPNFilter – вредоносное ПО, направленное на заражение не обычных компьютеров, а сетевых устройств, таких как роутеры и системы хранения данных.

VPNFilter было обнаружен в мае текущего года. Сложная малварь заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира.

https://xakep.ru/2018/06/04/vpnfilter-is-back

Почему злоумышленников заинтересовали именно сетевые устройства? Причина очень проста: если для обычных компьютеров кто-то и устанавливает обновления, то среди домашних сетевых устройств доля регулярных обновлений ничтожно мала. В результате злоумышленникам не нужно искать свежие и еще не закрытые уязвимости. «Дыра» может быть известна производителю и давно закрыта (например, выпуском новой прошивки), но преступники могут использовать ее без опасений.

Операторы VPNFilter не используют для заражения устройств какие-либо 0-day уязвимости, а эксплуатируют различные известные баги, обнаруженные ранее.

Более того: ситуация, когда обновления не устанавливаются, удобна для злоумышленников и по другой причине. Выпуск уведомления о закрытии уязвимости, как правило, сопровождается информацией о самой уязвимости. А если и нет, то важен сам факт выпуска обновления безопасности: хакеры могут проанализировать обновления и найти слабое место.

Через некоторое время после обнаружения ботнета VPNFilter ФБР перехватило контроль над управляющим сервером злоумышленников toknowall.com. Для этого использовалась техника sinkhole – мы рассказывали о ней в выпуске «Рыбалка на ботов». А после были опубликованы инструкции для владельцев уязвимых устройств, позволяющие избавиться от VPNFilter. В авторстве же вредоносных программ обвинили русских хакеров из Fancy Bear, «считающейся также причастной к атаке на штаб демократов в ходе выборов США в 2016 году».

Собственно, из-за перехвата сервера злоумышленников в свое время не был написан соответствующий выпуск. Время показало, что его все же нужно было сделать: что есть для злоумышленников захват сервера и сколько пользователей прочитало новость? Ботнет предсказуемо выжил, а кибержулики продолжают собирать для него модули.

Что дает преступникам VPNFilter? Он позволяет контролировать данные, проходящие через роутер или средство хранения. Можно выбрать из трафика пароли, можно вставить в трафик сайта, открытого пользователем, некий скрипт, блок рекламы или вызов загрузки вредоносного ПО. Или шантажировать пользователя угрозой блокировки доступа в сеть.

И привычка пользователей решать проблемы перезагрузкой не помогает – VPNFilter спокойно ее переживает.

И не домашними пользователями едиными…

В составе VPNFilter есть отдельный модуль, предназначенный для перехвата коммуникационного протокола Modbus (широко применяется в промышленности для организации связи между электронными устройствами).

Кто уязвим?

VPNFilter способен заражать большое количество различных роутеров (маршрутизаторов) и NAS-устройств (сервера для хранения данных на файловом уровне).

  • Asus (RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U)
  • D-Link (DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N)
  • Huawei (HG8245)
  • Linksys (E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N)
  • MikroTik (CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5)
  • Netgear (DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50)
  • TP-Link (R600VPN, TL-WR741ND, TL-WR841N)
  • Ubiquiti (NSM2, PBE M5)
  • Upvel (неизвестные модели)
  • ZTE (ZXHN H108N)

Уязвимые NAS-устройства:

  • QNAP (TS251, TS439 Pro и другие с установленным ПО QTS)

https://blog.zlonov.ru/vpnfilter

Но этот список может в любой момент измениться.

Если вдуматься, это страшная угроза. У вас установлен антивирус, он регулярно обновляется, вы хотите почитать, к примеру, новости. И вы увидите то, что хотят показать вам хакеры. И ничего не сможете с этим поделать – доступ к сайтам с рекомендациями внезапно пропадет.

#Linux #уязвимость #ботнет #роутер #Родительский_контроль #вредоносное_ПО

Dr.Web рекомендует

Не забывайте о роутере!

  1. Отключите удалённое администрирование устройства со стороны Интернета в соответствии с эксплуатационной документацией, оставьте доступ только из локальной сети.
  2. Установите новый пароль администратора и других используемых учётных записей. Пароли должны быть уникальными и достаточно сложными.
  3. Если есть возможность включить шифрование в ходе настройки устройства, сделайте это.
  4. Обновляйте прошивку.

Для защиты от VPNFilter частично помогает перезагрузка. Выше мы писали, что VPNFilter ее переживает. Но при этом он состоит из трех модулей, два из которых не выдерживают перезагрузки. Они будут снова скачаны, но за это время вы можете зайти на сайт производителя и поискать рекомендации.

И вот, пока выпуск готовился, вышла еще одна новость:

Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847, устранённой в апрельском обновлении MikroTikOS 6.42.1.

По данным 360 Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с неисправленной уязвимостью. При этом на более чем 7500 устройствах были активированы настройки перехвата пакетов и зеркалирования перехваченного трафика, На 239 тысячах устройств обнаружено создание скрытой точки проброса трафика.

Также зафиксирована неудачная попытка использования маршрутизаторов для вовлечение пользователей в майнинг криптовалют.

http://www.opennet.ru/opennews/art.shtml?num=49226

Кстати, опять попытка использования JavaScript c сайта coinhive.com, поэтому напоминаем про необходимость блокирования доступа к вредоносным сайтам с помощью Родительского контроля Dr.Web.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: