VPNФильтр - VPNFilter

VPNФильтр болып табылады зиянды бағдарлама жұқтыруға арналған маршрутизаторлар және белгілі бір желіге қосылған сақтау құрылғылары. 24 мамырдағы жағдай бойынша, әлем бойынша шамамен 500000 маршрутизаторды жұқтырған деп есептеледі, дегенмен қауіптілікке ие құрылғылар саны көп.[1] Ол деректерді ұрлай алады, вирус жұқтырған маршрутизаторды пәрмен бойынша өшіруге арналған «өлтіргішті» қамтиды және пайдаланушы маршрутизаторды қайта жүктеген кезде оны сақтай алады.[2] The ФБР оны орыс жасаған деп санайды Сәнді аю топ.[3][4]

Пайдалану

VPNFilter - бұл желілік маршрутизаторлар мен сақтау құрылғыларының әртүрлі түрлерін зақымдайтын зиянды бағдарлама. Ол ішінара желілік құрылғыларды мақсатты мақсатта арналған Модбус зауыттар мен қоймалардағыдай өндірістік аппаратурамен сөйлесу және бақылау хаттамасы. Зиянды бағдарламада мақсатқа арналған арнайы, арнайы код бар басқару жүйелері қолдану SCADA.[5]

Бастапқы инфекция векторы әлі белгісіз. Cisco Talos қауіпсіздік тобы зиянды бағдарламалық қамтамасыздандыруды құрылғыларға зиян келтіру үшін маршрутизатор қауіпсіздігінің белгілі осалдықтарын пайдаланады деп болжайды[6].

Бұл бағдарламалық жасақтама өзін бірнеше кезеңдерде орнатады:

  1. 1 кезең а құрт ол құрылғының crontab-ына кодты қосады (тапсырмалардың тізімі. белгілі уақыт аралығында орындалады cron Linux-тағы жоспарлағыш). Бұл оны қайта жүктеуден кейін құрылғыда қалуға және жойылған жағдайда оны келесі кезеңдермен қайта жұқтыруға мүмкіндік береді. 1 кезең 2-ші кезеңнің зиянды бағдарламаларын табу және орнату үшін белгілі URL мекенжайларын қолданады. Егер сол белгілі URL мекенжайлары өшірілген болса, 1-кезең құрылғыда ұяшық тыңдаушысын орнатады және командалық-басқару жүйелерімен байланыс орнатуды күтеді.[7]
  2. 2 кезең - бұл барлық қалыпты функцияларды орындайтын және кез-келген арнайы 3-кезең модульдері сұраған нұсқауларды орындайтын негізгі кодты қоса, зиянды бағдарламалық жасақтаманың негізгі бөлігі.
  3. 3-кезең зиянды бағдарламалық жасақтамаға (Modbus SCADA) тыңшылық жасау немесе анонимдік желіні пайдалану сияқты белгілі бір нәрселерді жасауды ұсынатын кез-келген «модуль» болуы мүмкін. Тор шифрланған трафик арналары арқылы байланыс протоколы.[5]

Бұл не істейді

VPNFilter алғашқы инфекциядан кейін үшінші кезеңдегі бірнеше операцияларды қолданады. VPNFilter-дің осындай функциясының бірі иіскеу вирус жұққан құрылғыға қосылған желідегі желілік деректер және тіркелгі деректері, қадағалау бақылауы мен деректерді жинау. Содан кейін деректер шифрланып, арқылы шығарылады Тор желі.

Ол кейінгі шабуылдардың пайда болуын жасыратын реле ретінде қызмет ете алады.

Жеңілдету

Екеуі де Cisco және Symantec зардап шеккен құрылғыларға иелік ететін адамдарға а зауыттық параметрлерді қалпына келтіру. Әдетте, бұл құрылғының артқы жағындағы ысыру батырмасын 10 - 30 секундқа басу үшін түзетілген қағаз қыстырғыш сияқты кішкентай, үшкір затты қолдану арқылы жүзеге асырылады (уақыт модельге байланысты өзгереді). Бұл зиянды бағдарламаны жояды, сонымен қатар маршрутизаторды барлық бастапқы параметрлерге қайтарады. Егер маршрутизаторда қашықтан басқару мүмкіндігі қосылған болса, зауыттық қалпына келтіру оны жиі өшіреді (көптеген маршрутизаторлардың әдепкі параметрлері). Қашықтан басқару - бұл алғашқы шабуылдың мүмкін векторы деп саналады.

Зауыттық параметрлерді қалпына келтіретін маршрутизаторды қайтадан интернетке қоспас бұрын, инфекцияның алдын алу үшін құрылғының әдепкі парольдерін өзгерту керек[8].

Тәуекелге ұшыраған құрылғылар

VPNFilter орнататын алғашқы құрт тек енгізілген микробағдарлама негізінде жұмыс істейтін құрылғыларға шабуыл жасай алады Busybox қосулы Linux тек нақты процессорлар үшін құрастырылған. Бұл жұмыс станциялары мен серверлер сияқты кірістірілген Linux құрылғыларын қамтымайды.[9]

Маршрутизатордың келесі модельдерінде өндіруші ұсынған микробағдарлама қауіп төндіретіні белгілі:[10][7]

Asus
RT-AX92U
RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U
D-сілтеме
DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N
Huawei
HG8245
Linksys
E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N
Микротик
CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5
Mikrotik RouterOS нұсқалары ағымдағы 6.38.5 дейін немесе түзету тізбектеріндегі 6.37.5 дейін[11]
Netgear
DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50
QNAP
TS251
TS439 Pro
QTS бағдарламалық жасақтамасын басқаратын басқа QNAP NAS құрылғылары
TP-сілтеме
R600VPN
TL-WR741ND
TL-WR841N
Убикити
NSM2
PBE M5
Көңіл көтеру
Белгісіз модельдер [nb 1]
ZTE
ZXHN H108N

Эпидемиология

VPNFilter-ді Cisco Talos әлемдегі 500000 құрылғыны жұқтырған деп сипаттайды,[9] мүмкін 54 түрлі елдерде, бірақ пропорционалды түрде назар аударылды Украина.

ФБР тергеуі

ФБР бұл зиянды бағдарламаны шешуде маңызды рөл атқарды, тергеу жүргізді, нәтижесінде toknowall.com домені алынды, зиянды бағдарламаның 1 кезеңіндегі сұраныстарды қайта бағыттау үшін қолданылған сияқты, оны табуға және орнатуға мүмкіндік берді. 2 және 3 кезеңдерінің көшірмелері.[4] Сондай-ақ, АҚШ әділет министрлігі Photobucket сайтын 2-ші сатыдағы зиянды бағдарламалық жасақтаманы таратуда қолданылатын белгілі URL мекенжайларын өшіруге мәжбүр етті.[6][12]

ФБР-нің инфекцияны жою туралы ұсынысы

2018 жылдың 25 мамырында ФТБ пайдаланушыларға кеңес берді қайта жүктеу олардың қауіптілігі бар құрылғылар.[13] Бұл зиянды бағдарламаның 2 және 3 кезеңдерін уақытша жояды. 1-ші кезең қалады, бұл маршрутизаторға пайдалы жүктемені қайта жүктеп, маршрутизаторға қайтадан жұқтыруға тырысады. Алайда, ұсынысқа дейін АҚШ әділет министрлігі 2-кезеңді орнату үшін зиянды бағдарламалық жасақтаманың веб-нүктелерін алып тастады.

Осы URL-мекен-жайлар болмаса, зиянды бағдарлама 2-кезеңді орнатуға арналған қосалқы ұяшық тыңдаушысына сенуі керек. Бұл әдіс қауіп-қатерді басқару және басқару жүйелерінің 2-кезеңді орнату үшін әр жүйемен байланысып, қауіп-қатерді анықтау қаупін арттыруды талап етеді.[6] ФБР бұдан әрі пайдаланушыларға құрылғыларында қашықтан басқаруды өшіруді және микробағдарламаны жаңартуды ұсынды. Микробағдарламаны жаңарту зиянды бағдарламаның барлық сатыларын жояды, дегенмен құрылғыны қайта залалсыздандыруға болады.[13]

ФБР бұл оларға пайдалы жүкті тарататын серверлерді табуға көмектеседі дейді.[14][15][3]

Ескертулер

  1. ^ Сатушы ретінде Upvel-ге бағытталған зиянды бағдарлама табылды, бірақ біз[ДДСҰ? ] нақты қандай құрылғыға бағытталғанын анықтай алмайды.

Әдебиеттер тізімі

  1. ^ «VPNФильтрді жаңарту және біздің бірінші саммитті қорытындылау». Cisco Talos Intelligence. 2018-06-21. Алынған 2018-06-26.
  2. ^ «VPNFilter мемлекетке тәуелді зиянды бағдарлама маршрутизаторларға өлім қаупін тудырады». SlashGear. 2018-05-24. Алынған 2018-05-31.
  3. ^ а б Кевин Пулсен (23 мамыр 2018). «Эксклюзивті: ФБР ресейлік ботнетті бақылауға алды». Күнделікті аң.
  4. ^ а б ФБР барлық маршрутизатор қолданушыларына: Ресейдің VPNFilter зиянды бағдарламасын бейтараптандыру үшін қазір қайта жүктеңіз
  5. ^ а б VPNФильтр: Деструктивті мүмкіндіктері бар жаңа маршрутизатордың зиянды бағдарламасы
  6. ^ а б c «VPNСүзгі, сүзілмеген оқиға». Talos. 2018-05-29. Алынған 2018-06-26.
  7. ^ а б Уильям Ларжент (6 маусым 2018). «VPNFilter жаңартуы - VPNFilter соңғы нүктелерді пайдаланады, жаңа құрылғыларға бағытталған».
  8. ^ «Кейбір NETGEAR құрылғыларында зиянды бағдарламалық қамтамасыз етуді VPN сүзгісі үшін қауіпсіздік туралы кеңес». Netgear. 2018-06-06. Алынған 2018-06-26.
  9. ^ а б «Хакерлер бүкіл әлем бойынша 500,000 тұтынушы маршрутизаторларын зиянды бағдарламалармен жұқтырады». Ars Technica. Алынған 2018-05-31.
  10. ^ «VPNФильтр: жойғыш мүмкіндігі бар жаңа маршрутизатордың зиянды бағдарламасы». Алынған 2018-05-31.
  11. ^ «VPNфильтрдің ресми мәлімдемесі - MikroTik». forum.mikrotik.com. Алынған 2018-05-31.
  12. ^ «АФФИДАВИТ ҰСТАЛУ КЕПІЛДІГІНЕ ӨТІНІШТІ ҚОЛДАУДА». 22 мамыр 2018.
  13. ^ а б «ШЕТЕЛДІК КИБЕР АКТЕРЛЕРІ ҮЙ ЖӘНЕ ОФИС БАЙЛАНЫСТАРЫ МЕН ЖЕЛІСІЗ ҚҰРЫЛҒЫЛАРДЫ ӘЛЕМДІК МАҚСАТТА». 25 мамыр 2018.
  14. ^ Дэн Гудин (25 мамыр 2018). «ФБР маршрутизатор қолданушыларына 500к құрылғыларға зиянды бағдарламаларды жою үшін қайта жүктеуді ұсынады». Ars Technica.
  15. ^ Дэн Гудин (24 мамыр 2018). «Хакерлер бүкіл әлем бойынша 500,000 тұтынушы маршрутизаторларын зиянды бағдарламалармен жұқтырады». Ars Technica.