VPNFilter
7

Rosjanie chcieli zaatakować Ukrainę. Więc stworzyli ogromny botnet wycelowany w routery

Eksperci z Cisco znaleźli dowody na istnienie ogromnego botnetu, który najprawdopodobniej jest sprawką Rosjan. Wszystko to przez fakt, iż mocarstwo ponownie wzięło sobie za punkt honoru zmasowany atak na Ukrainę: postanowili więc zaatakować zdecydowanie najgorzej zabezpieczone ostatnio urządzenia, czyli routery.

VPNFilter – bo tak zostało ochrzczone zagrożenie wycelowane w routery WiFi zainfekował około… 500 000 urządzeń sieciowych. Lista podatnych na jego działanie modeli jest całkiem spora, oto tylko kilka z nich:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS: wersje: 1016, 1036, 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP NAS pracujące na QTS
  • TP-Link R600VPN

Cyberzagrożenie łączy w sobie kilka funkcji: w porównaniu do podobnych tworów wycelowanych w urządzenia IoT jest w stanie m. in. przeprowadzać skanowanie w kierunku komponentów SCADA, a ponadto posiada mechanizmy pozwalające na zacieranie śladów. Jeżeli tylko serwer C&C wyda polecenie zainfekowanym routerom, aby wyczyścić oprogramowanie układowe, zostanie do zrobione czyniąc urządzenie sieciowe bezużytecznym. Mało tego, głębsze analizy pozwalają sądzić, iż za tym cyberzagrożeniem stoją Rosjanie: Cisco znalazło w VPNFilter części tożsame z BlackEnergy, który został wykorzystany do ataku na ukraińską elektrownię w latach 2015 – 2016. Jak wykazały amerykańskie służby, za BlackEnergy mieli stać właśnie nasi wschodni sąsiedzi.

Kogo infekuje VPNFilter?

Eksperci zanotowali infekcje w 53 różnych krajach, ale najważniejsze dla twórców zagrożenia jest przejęcie urządzeń sieciowych na Ukrainie. Jak się okazuje, w ostatnim czasie aktywność botnetu wzrosła i co więcej, uruchomiono kampanię wycelowaną wprost w Ukraińców: do tego celu nawet stworzono dedykowany serwer C&C, który ma zarządzać armią botów w tym państwie.

VPNFilter

W tym momencie nie wiadomo jakie są cele grupy stojącej za VPNFilter, ale można sądzić, iż najbliższe ważne wydarzenia – m. in. finał Ligi Mistrzów oraz Dzień Konstytucji 27 czerwca mogą być kluczowymi datami, po których poznamy intencje cyberprzestępców. Co ciekawe, rok temu tego samego dnia odbył się zmasowany atak NonPetya, o który również oskarżani są Rosjanie.

VPNFilter zainstalowany na podatnych routerach jest w stanie podsłuchiwać ruch oraz przejmować ruch sieciowy. Ponadto, możliwa jest komunikacja z serwerami C&C za pośrednictwem sieci Tor. Mało tego, cyberzagrożenie jest w stanie przetrwać restart urządzenia lub przywrócenie go do stanu fabrycznego.

O routery trzeba bezwzględnie dbać

Jest to niesamowicie trudne w sytuacji, gdy nawet ich producenci często mają sobie za nic kwestie związane wprost z bezpieczeństwem. Aktualizowanie routerów to w wielu przypadkach mordęga – często należy pobrać obraz firmware’u i załadować go do urządzenia poprzez przeglądarkowy aplet, co jest poza zasięgiem możliwości wielu użytkowników (nam wydaje się to proste). Mało tego, nie każdy sobie zdaje sprawę z tego jak bardzo niebezpieczny może być słabo zabezpieczony router: brak świadomości w tej materii jest właściwie kluczowy.