Нашумевшему в конце весны вредоносному программному обеспечению VPNFilter сотрудники Cisco Talos ещё 23 мая дали подробное техническое описание, которое потом в различных интерпретациях и, обрастая по пути дополнительными деталями, разошлось по профильным (и не только) СМИ. Дабы каждый раз не выискивать детали по англоязычным и (чаще - переводным) русскоязычным источникам, посвятил VPNFilter одну из своих любимых рубрик: Факты и ссылки.

Что такое VPNFilter?

VPNFilter — это вредоносное программное обеспечение, заразившее более полумиллиона сетевых устройтв (прежде всего - роутеров) в более чем 50 странах. VPNFilter имеет модульную архитектуру, успешно переживает перезагрузку заражённого устройства и может осуществлять сбор конфиденциальной информаци, а также искажение сетевого трафика с различными деструктивными целями.

Что делает VPNFilter?

VPNFilter может собирать конфиденциальную информацию (например, пароли) и вмешиваться в сетевой трафик, проходящий через зараженный роутер. В частности, в трафик (гипотетически) может добавляться вредоносное ПО, что может привести к компрометации компьютеров и других устройств, подключающихся к заражённому роутеру. Также VPNFilter может блокировать трафик и даже делать роутер неработоспособным.

Почему VPNFilter опасен?

Так как весь трафик всех домашних (офисных) устройств проходит через роутер, то при его взломе вся передаваемая конфиденциальная информация попадает в зону риска, под угрозой оказываются также и сами подключаемые устройства. Наконец, находящееся под управлением злоумышленников устройство может быть использовано как площадка для проведения атак на другие цели. При этом с точки зрения атакуемого угроза будет исходить от владельца заражённого устройства, а не от реального злоумышленника.

Несёт ли VPNFilter угрозы АСУ ТП?

Как это ни странно, но, несмотря на ориентацию VPNFilter на модели для дома и малых офисов, его авторы проявляют особый интерес к промышленным системам управления (SCADA) - в составе VPNFilter есть отдельный модуль, предназначенный для перехвата коммуникационного протокола Modbus (широко применяется в промышленности для организации связи между электронными устройствами).

Помогает ли перезагрузка от VPNFilter?

VPNFilter может пережить перезагрузку маршрутизатора (подробнее - ниже).

Как действует VPNFilter (подробнее)?

VPNFilter, судя по всему, эксплуатирует известные уязвимости, имеющиеся в устаревших версиях прошивок сетевых устройств. В силу модульности этого вредоносного ПО процесс заражения разбивается на несколько этапов:

  • Этап 1. Устанавливается Модуль 1, устойчивый к перезагрузке устройства. Основная цель первого этапа состоит в том, чтобы получить постоянный плацдарм и запустить развертывание вредоносного Модуля 2. На этом этапе VPNFilter определяет доступные IP-адреса текущего сервера управления для скачивания Модуля 2 (и 3). При этом используются множественные избыточные механизмы, делающие это вредоносное ПО чрезвычайно надежным и способным справляться с непредсказуемыми изменениями инфраструктуры управления.
  • Этап 2. Скачивается и устанавливается Модуль 2, позволяющий злоумышленникам удалённо осуществлять сбор файлов, выполнять команды и управлять заражённым устройством. Модуль 2 не переживает перезагрузку устройства.
  • Этап 3. Модуль 3 (также не переживает перезагрузку) состоит из различных дополняющих VPNFilter плагинов, предназначенных для выполнения определенных задач:
    • ps - плагин, позволяющий перехватывать сетевые пакеты и выявлять некоторые типы трафика: в частности, TCP/IP-пакеты Modbus;
    • tor - плагин отвечает за взаимодействие VPNFilter со своим центром управления через сеть TOR;
    • ssler - плагин для перехвата и изменения веб-трафика на 80 порту с помощью атак типа «человек в середине», также умеет принудительно "понижать" HTTPS до HTTP;
    • dstr - плагин позволяет перезаписывать критическую часть прошивки устройства и давать команду на его перезагрузку, делая таким образом устройство непригодным для использования.

После перезагрузки роутера запускается только первый модуль, а второй и третий модули теряются и должны быть скачаны заново. Именно по этой причине можно встретить рекомендации по перезагрузке устройств в качестве способа борьбы. Тем не менее, без дополнительных шагов (см.ниже) только перезагрузка может не помочь.

Какие устройства уязвимы?

VPNFilter способен заражать большое количество различных роутеров (маршрутизаторов) и NAS-устройств (сервера для хранения данных на файловом уровне). Как минимум в опасности модели роутеров для дома и малого офиса следующих производителей:

  • Asus (RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U)
  • D-Link (DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N)
  • Huawei (HG8245)
  • Linksys (E1200, E2500,  E3000, E3200, E4200, RV082, WRVS4400N)
  • MikroTik (CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5)
  • Netgear (DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50)
  • TP-Link (R600VPN, TL-WR741ND, TL-WR841N)
  • Ubiquiti (NSM2, PBE M5)
  • Upvel (неизвестные модели)
  • ZTE (ZXHN H108N)

Уязвимые NAS-устройства:

  • QNAP (TS251, TS439 Pro и другие с установленным ПО QTS)

Начальный червь, устанавливающий Модуль 1, может атаковать устройства с прошивками на основе Busybox и Embedded Linux (специализированная версия, адаптированная для использования в промышленных и других  устройствах), скомпилированными под определенные типы процессоров. Сервера и рабочие станции на не-Embedded Linux этим червём не поражаются.

Как бытро проверить свой роутер?

Можно воспользоваться бесплатной онлайн утилитой от Symantec: http://www.symantec.com/filtercheck/

Естественно, во время проверки надо быть подключенным к сети Интернет через проверяемый роутер.

Проверка роутера на VPNFilter

Утилита, правда, проверяет только наличие одной из компонент VPNFilter - плагина ssler, но зато делает это быстро.

Как защитить себя от VPNFilter?

  • Перезагрузить маршрутизатор. Это может временно нарушить работу вредоносного ПО (его модулей 2 и 3) и потенциально может помочь идентифицировать уже зараженные устройства.
  • По возможности отключить удалённое администрирование устройства в соответствии с эксплуатационной документацией.
  • Изменить пароль администратора и других используемых учётных записей на новый надёжный и уникальный пароль.
  • Включить шифрование, если устройство позволяет это сделать.
  • Обновить прошивку до последней доступной версии.

Для скачивания свежей прошивки разумно обратиться на сайт производителя и там же проверить доступные рекомедации (ссылки на рекомендации некоторых производителей ниже).

Что делать в случае заражения?

Symantec в случае уверенности в заражении рекомендует следующие шаги:

  1. Сохранить текущую конфигурацию устройства и сделать сброс к заводским настройкам (hard reset) в соответствии с документацией на устройство.
  2. Выключить и перезагрузить устройство. Из-за особенностей VPNFilter простая перезагрузка без сброса к заводским настройкам может не помочь (см. выше).
  3. Отключить устройство от сети Интернет (по возможности)  и изменить пароль администратора, установленный по умолчанию.
  4. Установить свежие патчи и последню версию прошивки в соответствии с документацией на устройство и рекомендациями производителя.

Кто стоит за VPNFilter?

По мнению представителей ФБР VPNFilter разработан российской группировкой Fancy Bear, считающейся также причастной к атаке на штаб демократов в ходе выборов США в 2016 году.


Материалы по теме

Рекомендации производителей

Русскоязычные материалы

Англоязычные материалы