Новости с антивирусного фронта становятся всё более тревожными. На днях специалисты по борьбе с вредоносными программами обнаружили новый вирус VPNFilter, который может перехватывать идущие через сетевое оборудование данные и выводить оборудование из строя. Как пишет CNews, часть проанализированного кода идентична тому, что использовался в APT-кампании BlackEnergy.
Эпидемия заражений от трояна VPNFilter только ширится. На сегодня заражены уже более полумиллиона роутеров в 54 странах мира. Больше всего заражений – на территории Украины.
Если говорить о марках, то среди пострадавших от трояна роутеров и носителей сетевого в основном продукция таких компаний как Linksys, MikroTik, Netgear, QNAP и TP-Link, предназначенных для дома и офиса.
Особенность и главная опасность вируса в том, что он позволяет похищать учётные данные сайтов и контролировать протоколы Modbus SCADA. То есть, вирус целит прямо в критическую инфраструктуру.
Способ нейтрализовать вредонос, способный блокировать доступ в интернет для сотен тысяч пользователей, пока не найден. Экспертам удалось установить, что у трояна модульная многокомпонентная структура: Модуль "первого этапа" обеспечивает устойчивое присутствие в зараженном устройстве. В отличие от многих аналогов, вредонос не устраняется при перезагрузке инфицированных устройств. Единственный способ удалить VPNFilter – перезагрузить устройство и вернуть ему заводские настройки. Такую операцию рекомендуют сделать всем владельцам роутеров пострадавших компаний. После сброса нужно обновить прошивку, сменить пароль и ограничить протоколы удаленного управления устройством.
Модули "второго этапа" способны выводить данные, перехватывать файлы, выполнять команды оператора вредоноса и убивать прошивку устройства, то есть, выводить его из строя.
Модули "второго этапа" уничтожаются при перезагрузке устройства. Модули "третьего этапа" – это плагины для компонентов второго этапа, расширяющие их функциональность.
Эксперты пока не установили способы заражения устройств, но полагают, что в первую очередь жертвами становятся давно не обновлявшиеся сетевые устройства.
В очередной раз стопка уже до боли знакомых имён прогремела в очередном хаке домашних маршрутизаторов.
Важно, что при таком масштабном разгуле трояна ни один из роутеров, которые продаются под маркой SNR, не был инфицирован. Почему?
Как пояснил инженер компании "НАГ" Кирилл Васильев, дело в том, что специалисты компании постоянно контролируют ресурсы, посвящённые информационной безопасности, регулярно выпускает обновления для своего программного обеспечения и отправляют их значительно чаще, чем один раз в два-три месяца, как это делают в большинстве пострадавших компаний. При этом операторы связи, которые пользуются роутерами SNR, чаще всего сами заботятся об обновлениях ПО на устройствах абонентов, что, безусловно, удобно и операторам, и абонентам.
С высокой вероятностью вирус проникает в сеть на один из компьютеров, используя известную уязвимость или с помощью самого пользователя. Далее троян обращается по адресу шлюза и проникает на маршрутизатор, используя стандартные, не измененные при первичной настройке реквизиты доступа или известную уязвимость в ПО.
Сброс маршрутизатора к настройкам по умолчанию при наличии на нем уязвимости, в большинстве случаев поможет только на непродолжительное время.
Рекомендации для пользователей, которые хотят обезопасить свои устройства, таковы:
1. Замените маршрутизатор, поддержка которого прекращена производителем. За последнее время было выявлено множество уязвимостей в различных компонентах ПО (в том числе в ядре Linux), использовать неподдерживаемое оборудование опасно.
2. Проверьте все устройства домашней сети на предмет заражения современным антивирусным ПО, установите обновления, при необходимости воспользуйтесь помощью специалистов.
3. При выборе маршрутизатора обязательно учитывайте качество поддержки ПО. Если обновления выходят раз в полгода-год (и реже), то вероятность столкнуться с неисправленной уязвимостью значительно выше.
4. Скажите "нет" бэкдорам. Многие производители встраивают в свое оборудование специальные учетные записи или скрытые сервисные возможности, которые рано или поздно становятся причиной взлома оборудования. При выборе оборудования с открытой операционной системой, вы гарантируете себе отсутствие подобных бэкдоров.
5. Обязательно меняйте реквизиты доступа на маршрутизатор при настройке. С заражённого компьютера в локальной сети пользователя при использовании стандартного пароля, доступ к интерфейсу маршрутизатора полностью открыт.
Оборудование под маркой SNR с операционной системой Wive-NG регулярно получает обновления ПО, отслеживаются ресурсы по информационной безопасности и изменения в ПО максимально оперативно. Исходный код ПО открыт, что гарантирует отсутствие встроенных бэкдоров.
