Bfsoft.ru

Программы, сервисы, полезные советы о компьютере и интернете
9 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как справиться с вирусом VPNFilter

Инструкция: как защитить свой роутер от VPNFilter

ФБР выпустила ряд рекомендаций для владельцев маршрутизаторов с целью нарушения работы вредоносной программы. Пользователям рекомендуется перезагрузить маршрутизатор, отключить удаленное администрирование, изменить пароль и установить новейшую прошивку. Однако один из шагов не был упомянут агентством — чтобы полностью удалить VPNFilter, нужно выполнить сброс роутера к заводским настройкам.

В данном руководстве собраны все необходимые действия для удаления угрозы и защиты вашего маршрутизатора.

Что такое VPNFilter?

VPNFilter — вредоносная программа, которая нацелена на маршрутизаторы и сетевые хранилища NAS и предназначена для кражи файлов, информации и “прослушивания” сетевого трафика при его прохождении через устройство. Когда вредоносная программа заражает сетевое устройство, она состоит из трех различный модулей, каждый из которых выполняют свои собственные задачи.

  • Модуль 1 устанавливается первым и позволяет вредоносной программе оставаться на устройстве даже после перезагрузки маршрутизатора.
  • Модуль 2 позволяет злоумышленникам выполнять команды и выполнять кражу данных. Данный модуль также обладает способность к саморазрушению и может нарушать работоспособность роутера и сетевого подключения.
  • Модуль 3 состоит из различных плагинов, которые могут быть установлены во вредоносную программу и предназначены для выполнения определенных задач: прослушивание соединения, мониторинг связи SCADA и передача данных через сеть TOR.

После перезагрузки роутера запускается только первый модуль, а второй и третий модули не выполняются.

Именно по этой причине ФБР предложило перезагрузить роутер. В этом случае можно деактивировать модули 2 и 3 и позволить агентству получить список зараженных устройств и типов уязвимых маршрутизаторов.

Уязвимые роутеры

Согласно отчетам Cisco и Symantec, VPNFilter был обнаружен на следующих устройствах:

Asus

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N56U
  • RT-N66U

D-Link

  • DES-1210-08P
  • DIR-300
  • DIR-300A
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

Huawei

  • HG8245

Linksys

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

Mikrotik (исправлено в RouterOS version 6.38.5)

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  • RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5

Netgear

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

QNAP

  • TS251
  • TS439 Pro
  • Other QNAP NAS devices running QTS software

TP-Link

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

Ubiquiti

  • NSM2
  • PBE M5

UPVEL

  • Неизвестные модели

ZTE Devices:

  • ZXHN H108N

Данный список может быть не полным. Пользователи маршрутизаторов других производителей также могут выполнить рекомендации ниже, чтобы защитить свои устройства от ботнета.

Как определить, что роутер заражен

К сожалению, на данный момент не существует простого способа обнаружения VPNFilter на устройстве.

Компания Symantec предлагает бесплатный онлайн инструмент VPNFilter Check для выполнения быстрой проверки роутера на заражение VPNFilter. Онлайн инструмент проверяет, было ли ваше устройство скомпрометировано компонентом VPNFilter, известным как плагин ssler. Если ваш роутер не заражен плагином ssler, он все еще может быть скомпрометирован другими угрозами или компонентами VPNFilter.

Если вы обеспокоены или подозреваете, что ваш маршрутизатор заражен VPNFilter, вы должны выполнить приведенные ниже рекомендации.

Поможет ли перезагрузка роутер избавиться от заражения VPNFilter?

Если отвечать коротко, то нет. Перезагрузка маршрутизатора приведет к выгрузке компонентов модуля 2 и 3, но модуль 1 снова запуститься после перезагрузки. Поэтому, пока большинство вредоносных компонентов будут отключены, VPNFilter все равно будет присутствовать на вашем устройстве.

Единственный действенный способ полностью удалить вредоносную программу — сбросить маршрутизатор до заводских настроек. Во время выполнения данной операции роутер будет перезагружен. К сожалению, в этом случае вам потребуется снова настроить маршрутизатор, добавить пароль администратора и настроить беспроводные сети.

Ниже перечислены полные шаги, которые необходимо предпринять для удаления VPNFilter и защиты вашего маршрутизатора.

Как удалить VPNFilter и защитить свой роутер или NAS

Чтобы полностью удалить VPNFilter и защитить свой роутер от повторного заражения, выполните следующие действия:

  1. Восстановите заводские настройки устройства: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti
  2. Установите обновление прошивки: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti
  3. Измените стандартный пароль администратора: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti
  4. Отключите удаленное администрирование: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti

Примечание: ссылки для Linksys и Netgear ведут на инструкции по включению удаленного администрирования. Ссылки приведены, чтобы можно было проверить статус данной функциональности. Обычно удаленное администрирование по умолчанию отключено.

Рекомендации от производителей роутеров по VPNFilter доступны по следующим ссылкам: Linksys * MikroTik* Netgear * QNAP * TP-Link

Хотя данные шаги удалят VPNFilter и защищают от других известных угроз, они не могут защитить устройство навсегда. По мере обнаружения новых эксплойтов, ваши роутеры могут стать уязвимы снова.

Именно поэтому очень важно проверять обновления прошивки и устанавливать их по мере выхода.

Нужно ли сбрасывать настройки роутера, если мое устройство отсутствует в списке?

Это сложный вопрос. С одной стороны, всегда лучше выполнить профилактические меры, чем столкнуться с реальным ущербом. С другой стороны, у некоторых пользователей могут возникнуть сложности при настройке маршрутизатора с нуля.

Читайте так же:
Решение примеров по фото онлайн

Если вы чувствуете уверенность в своих силах, то выполните данные шаги. Обновленная прошивка и другие рекомендации безопасности только усилят защиту вашего устройства.

Вирус VPNFilter: описание, возможности, список уязвимых устройств

Вирус VPNFilter: описание ботнета

Усовершенствованный ботнет VPNFilter, который уже поработил более 500 000 маршрутизаторов и NAS-устройств по всему миру, оказался намного опаснее, чем предполагали эксперты. Оказалось, что вирус обладает дополнительной функциональностью, которая позволяет ему привести захваченные устройства в нерабочее состояние, заражать любые подключенные оконечные устройства (ПК/телефоны) и воровать учетные данные пользователей даже при использовании безопасного https соединения.

Новый список устройств, уязвимых к вредоносному программному обеспечению VPNFilter, содержит на данный момент уже более 50 моделей роутеров и продуктов NAS (Network attached storage – сетевая система для хранения данных на файловом уровне), и, как отмечают исследователи, он, вероятнее всего, все еще не является полным. К примеру, один из обнаруженных образцов вредоносного программного обеспечения VPNFilter был явно нацелен на устройства компании UPVEL, но пока не удалось точно идентифицировать, какие именно модели этого поставщика являются уязвимыми к вирусу VPNFilter.

Огромное количество устройств, на которые нацелено вредоносное ПО, явно указывает на трудоемкую и слаженную работу по разработке и тестированию, которую проделали создатели вредоносного программного обеспечения и ботнета VPNFilter. Ведь основная цель атаки злоумышленников — экосистема роутеров для дома и малых офисов — имеет невероятное разнообразие. И, хотя большинство прошивок маршрутизаторов основаны на Linux, существуют огромные различия между разными версиями ПО этого типа, и не только между разными решениями от разных производителей, но и даже между разными моделями устройств из одной линейки продуктов того же производителя.

Кроме учета этих различий при создании своего вредоносного программного обеспечения, злоумышленники также должны были написать различные вариации под разные архитектуры процессоров и разработать эксплойты, которые бы надежно работали с большим количеством устройств. Добавьте к вышесказанному многоступенчатую модульную структуру вредоносного ПО и его сложный механизм сохранения, и становится очевидным, что ботнет VPNFilter был создан высококвалифицированной группой хакеров, имеющих доступ к большому количеству ресурсов.

Описание вируса

Описание вируса VPNFilter

Впервые детальная информация об этой угрозе появилась 23 мая 2018 года. Так, исследователи из подразделения Cisco Systems Talos в своем предварительном отчете, посвященном этой угрозе (https://blog.talosintelligence.com/2018/05/VPNFilter.html), сообщили о заражении более чем 500 000 роутеров и других устройств сложным вредоносным программным обеспечением. Этот массивный ботнет, согласно оценкам исследователей, состоял из скомпрометированных устройств, расположенных в более чем 54 странах мира, — в основном это определенные модели маршрутизаторов для дома и малого бизнеса от Linksys, MikroTik, Netgear и TP-Link, а также устройств для сетевого хранения данных (NAS) от QNAP (с тех пор, как мы уже отмечали выше, список производителей и моделей значительно расширился).

Данные устройства были заражены многоступенчатой вредоносной программной структурой, которая существует в различных версиях (к примеру, исследователи идентифицировали версии ПО, ориентированные на архитектуры процессоров x86 и MIPS). Кроме того, было обнаружено, что код вредоносного ПО VPNFilter имеет сходство с BlackEnergy, троянской программой, которая была использована для кибератаки на украинские энергосистемы в декабре 2015 года, что позволило исследователям сделать предположение о причастности этой же группы российских хакеров и к вирусу VPNFilter.

Таким образом, VPNFilter — это одна из самых сложных вредоносных программных структур для заражения устройств со встроенной операционной системой, из всех известных на сегодняшний день. Она многоступенчатая, модульная и, в отличие от большинства других вредоносных программ, ориентированных на маршрутизаторы, способна сохранять свою функциональность даже после перегрузки зараженного устройства. Также по желанию злоумышленников это вредоносное ПО может вывести из строя зараженные устройства, сделав их непригодным к эксплуатации в дальнейшем без обращения за профессиональной помощью или использования специализированного инструментария.

«Деструктивная способность особенно примечательна», — отметили исследователи Cisco Talos в предварительном отчете. — «Это показывает, что злоумышленники предпочитают уничтожить устройства пользователей, чтобы скрыть результаты своей деятельности, а не просто стереть следы своей вредоносной программы. Если данная функциональность является частью их планов, то последствия выполнения этой команды могут иметь огромные масштабы: невозможность использования сотен тысяч устройств и, как следствие, блокирование доступа к Интернету для сотен тысяч человек по всему миру. Либо же атака может быть осуществлена на определенный географический регион, если такова будет цель у злоумышленников».

Как происходит заражение?

Как происходит заражение VPNFilter

Хотя точные методы заражения пока не были установлены, исследователи предположили, что злоумышленники, вероятнее всего, использовали эксплойты, ориентированные на общеизвестные проблемы с безопасностью данных устройств, а не уязвимости нулевого дня. После успешной атаки на устройство жертвы, на первом этапе заражения злоумышленники разворачивают скомпилированный пакет для систем на базе ОС семейства Linux с поддержкой набора UNIX-утилит BusyBox. Эта полезная нагрузка первого этапа атаки позволяет изменять значения, хранящиеся в энергонезависимой памяти устройства (Non Volatile Random Access Memory, NVRAM) и добавлять себя в файлы crontab, содержащие инструкции для запуска планировщика заданий в ОС на базе Linux, чтобы закрепиться на этом устройстве.

Читайте так же:
Как работать с мультилиниями в AutoCAD

Затем компонент первого этапа пытается подключиться к Photobucket.com, популярному сервису для хранения мультимедийных файлов, прежде всего картинок и фотографий, для скачивания загруженной туда злоумышленниками определенной фотографии из определенной галереи. EXIF данные (метаданные) этой фотографии содержат IP-адрес сервера загрузки, закодированного как адрес геолокации. (Данная возможность уже заблокирована ФБР со стороны серверов сервиса Photobucket.com).

Если это фото не удалось загрузить, вредоносная программа пытается получить доступ к резервной копии (бэкапу) этого фото для получения IP-адреса сервера загрузки. Если же и эта попытка провалилась, то она начинает слушать эфир в ожидании специального сетевого пакета, созданного злоумышленниками, содержащего IP-адрес сервера.

Таким образом, вредоносная программа имеет встроенную избыточность, чтобы гарантировать злоумышленникам, что они не потеряют контроль над ботнетом и смогут обновлять свою вредоносное программное обеспечение многими способами.

Как только связь с сервером удается установить, полезная нагрузка первого этапа переходит к загрузке более сложного программного компонента второго этапа, который подключается к серверу управления, размещенном в анонимной сети Tor, для получения инструкций. Этот компонент вредоносной программы способен выполнять команды оболочки на зараженном устройстве, перезагружать его, выводить из строя, загружать файлы с сервера, загружать на сервер локальные файлы, активировать устройство как прокси-сервер и многое другое.

Существует также возможность проинструктировать вредоносную программу загружать со сторонних серверов специальные плагины, а также выполнять их, что позволяет злоумышленникам реализовывать дополнительную функциональность. Исследователи из Cisco Systems Talos сообщили о наблюдении двух таких плагинов, но, как они подозревают, их намного больше.

Один из этих плагинов работал как локальный сниффер трафика, извлекая учетные данные и другую информацию из HTTP-соединений, проходящих через маршрутизатор. Он также отслеживал и производил мониторинг трафика по протоколам Modbus SCADA, что позволяет предположить, что одна из целей злоумышленников — определение сетей, связанных с промышленными системами управления.

Возможности и применение VPNFilter

Возможности и применение VPNFilter

Вредоносная программа VPNFilter имеет разнообразное применение, и ее очень сложно заблокировать. Она нацелена на устройства, которые непосредственно подключены к Интернету, не имеют запущенного программного обеспечения безопасности, редко обновляются и имеют известные уязвимости. Данное вредоносное программное обеспечение также использует сложные техники персистенции и управления, которые сложно отследить и пресечь.

Ботнет VPNFilter может быть использован для самых разнообразных целей. Так, злоумышленники могут использовать его, чтобы красть учетные данные пользователей, идентифицировать интересные частные сети и атаковать их изнутри, скрывать следы своей деятельности во время киберопераций против других целей, а также осуществлять DDoS-атаки.

В начале июня 2018 года исследователи Cisco Talos также сообщили том, что им удалось идентифицировать два новых модуля третьего этапа. Один из них может добавлять вредоносный код JavaScript в HTTP-трафик, что позволяет злоумышленникам доставлять эксплойты на компьютеры и телефоны, подключенные к зараженным маршрутизаторам. Другой из обнаруженных модулей может быть использован для стирания файловой системы, что позволяет, одновременно, как удалить с устройства следы вредоносного программного обеспечения, так и вывести это устройство из строя, сделав его не загружаемым.

«Новый модуль позволяет злоумышленникам доставлять эксплойты конечным точкам, используя возможности метода «человек посередине» (Man in the middle). Так, например, злоумышленники могут перехватывать сетевой трафик и внедрять в него вредоносный код без ведома пользователя», — заявили исследователи Talos в своем обновленном отчете, посвященном VPNFilter (https://blog.talosintelligence.com/2018/06/vpnfilter-update.html). — «Это новое наблюдение позволяет нам констатировать, что угроза выходит за рамки определения того, какие возможности появляются у злоумышленников на самом сетевом устройстве, и расширяет зону действия угрозы до уровня сетей, которые поддерживает скомпрометированное сетевое устройство».

Модуль «ssler», который выполняет инъекцию JavaScript, также всегда будет преобразовывать HTTPS-запросы в HTTP, используя методику, известную как SSLstrip, чтобы перехватывать учетные данные из веб-трафика. Но есть несколько доменов, включенных в своеобразный «белый список», соединение с которыми всегда будет осуществляться через HTTPS, куда, в том числе, входят: «www.google.com», «twitter.com», «www.facebook.com» и «www.youtube.com». Это, возможно, было реализовано для того, чтобы избежать массового возникновения ошибок в браузерах, которые пытаются связываться с этими сайтами исключительно через HTTPS из-за встроенных настроек.

«Сейчас стало очевидным, что масштабы этой компании злоумышленников оказались намного большими, чем первоначально предполагалось», — поведал Мунир Хахад (Mounir Hahad), глава Juniper Threat Labs в компании Juniper Networks, через блог компании, — «Возможность заражения конечных точек вводит новую переменную и делает процесс очистки более сложным, чем простая перезагрузка маршрутизатора. Любой эксплойт может быть использован злоумышленниками, управляющими данной угрозой, для атаки на компьютеры, находящимися за зараженным маршрутизатором».

Для людей, чьи модели маршрутизаторов попали в список уязвимых к VPNFilter (представлен ниже), исследователи из Juniper Threat Labs советуют прежде всего выполнить следующие рекомендации для смягчения последствий данной угрозы:

  1. Убедитесь, что у вас установлено новейшее обновление вашего антивирусного программного обеспечения, запущенного на всех конечных точках, связанных с этим маршрутизатором.
  2. Убедитесь, что все ваши программные системы имеют последние патчи безопасности.
  3. Включите двухфакторную аутентификацию для онлайновых учетных записей на всех сервисах, где это поддерживается.
Читайте так же:
Как исправить ошибку Close Steam to continue installation – что делать

Обновленный список устройств уязвимых к ботнету VPNFilter

Список устройств уязвимых к ботнету VPNFilter

Следующие устройства ASUS, D-LINK, HUAWEI, LINKSYS, MIKROTIK, NETGEAR и других производителей следует в первую очередь проверить на заражение вирусом VPNFilter:

VPNFilter – причины и методы удаления вируса

Новая вредоносная программа, известная как MicroTic VPNFilter, недавно идентифицированная Cisco Talos Intelligence Group, уже заразила более 500 000 маршрутизаторов и сетевых устройств хранения данных (NAS), многие из которых находятся в распоряжении малых предприятий и офисов. То, что делает этот вирус особенно опасным, – у него есть так называемая «постоянная» способность к нанесению вреда, а это означает, что он не исчезнет только потому, что маршрутизатор будет перезагружен.

Как справиться с вирусом VPNFilter

Как удалить вирусное ПО — VPNFilter.

Что такое VPNFilter

Согласно Symantec, «данные из приманок и сенсоров Symantec показывают, что в отличие от других угроз IoT, вирус VPNFilter, похоже, не сканирует и без разбора пытается заразить все уязвимые устройства по всему миру». Это означает, что существует определённая стратегия и цель заражения. В качестве потенциальных целей Symantec определила устройства от Linksys, MikroTik, Netgear, TP-Link и QNAP.

Итак, как устройства заразились? Это недостатки в программном или аппаратном обеспечении, которые создают своего рода бэкдор, через который злоумышленник может нарушить работу устройства. Хакеры используют стандартные имена и пароли по умолчанию для заражения устройств или получения доступа через известные уязвимости, которые должны были быть исправлены с помощью регулярных обновлений программного обеспечения или прошивки. Это тот же самый механизм, который привёл к массовым нарушениям от Equifax в прошлом году, и это, пожалуй, самый большой источник кибер-уязвимости!

Также неясно, кто эти хакеры и каковы их намерения. Есть предположение, что планируется масштабная атака, которая сделает заражённые устройства бесполезными. Угроза настолько обширна, что недавно Министерство юстиции и ФБР объявили, что суд вынес решение о конфискации устройств, подозреваемых во взломе. Решение суда поможет выявить устройства-жертвы, нарушит способность хакеров похищать личную и другую конфиденциальную информацию и осуществлять подрывные кибератаки троян VPNFilter.

Как работает вирус

VPNFIlter используется очень сложный двухступенчатый метод заражения, целью которого является ваш компьютер, чтобы стать жертвой сбора разведывательных данных и даже операции дескрипции. Первый этап работы вируса включает перезагрузку вашего маршрутизатора или концентратора. Поскольку вредоносное ПО VPNFilter нацелено в первую очередь на маршрутизаторы, а также на другие устройства, связанные с Интернетом, так же как и вредоносное ПО Mirai, это может произойти в результате автоматической атаки бот-сети, которая не реализована в результате успешной компрометации центральных серверов. Инфекция происходит с помощью эксплойта, который вызывает перезагрузку смарт-устройства. Основная цель этого этапа – получить частичный контроль и включить развёртывание этапа 2 после завершения процесса перезагрузки. Фазы этапа 1 следующие:

  1. Загружает фотографию из Photobucket.
  2. Запускаются эксплойты, а для вызова IP-адресов используются метаданные.
  3. Вирус подключается к серверу и загружает вредоносную программу, после которой автоматически её выполняет.

Заражение VPNFilter через роутер

Как сообщают исследователи, в качестве отдельных URL-адресов с первым этапом заражения являются библиотеки поддельных пользователей фотообъектов:

  • com/user/nikkireed11/library
  • com/user/kmila302/library
  • com/user/lisabraun87/library
  • com/user/eva_green1/library
  • com/user/monicabelci4/library
  • com/user/katyperry45/library
  • com/user/saragray1/library
  • com/user/millerfred/library
  • com/user/jeniferaniston1/library
  • com/user/amandaseyfried1/library
  • com/user/suwe8/library
  • com/user/bob7301/library

Как только запускается вторая стадия заражения, фактические возможности вредоносного ПО VPNFilter становятся более обширными. Они включают использование вируса в следующих действиях:

  • Подключается к серверу C&C.
  • Выполняет Tor, P.S. и другие плагины.
  • Выполняет вредоносные действия, которые включают сбор данных, выполнение команд, кражу файлов, управление устройствами.
  • Способно выполнять деятельность по самоуничтожению.

Как работает VPNFilter

Связанные со вторым этапом заражения IP-адреса:

  • 121.109.209
  • 12.202.40
  • 242.222.68
  • 118.242.124
  • 151.209.33
  • 79.179.14
  • 214.203.144
  • 211.198.231
  • 154.180.60
  • 149.250.54
  • 200.13.76
  • 185.80.82
  • 210.180.229

В дополнение к этим двум этапам исследователи кибербезопасности в Cisco Talos также сообщили о сервере 3-го этапа, цель которого до сих пор остаётся неизвестной.

Исследование кибербезопасности в Cisco Talos

Уязвимые роутеры

Не каждый маршрутизатор может пострадать от VPNFilter. Symantec подробно описывает, какие маршрутизаторы уязвимы. На сегодняшний день VPNFilter способен заражать маршрутизаторы Linksys, MikroTik, Netgear и TP-Link, а также устройств с подключением к сети (NAS) QNAP. К ним относятся:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik Router (для маршрутизаторов с облачным ядром версии 1016, 1036 и 1072)
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Другие устройства NAS QNAP с программным обеспечением QTS
  • TP-Link R600VPN

Если у вас есть какое-либо из вышеперечисленных устройств, проверьте страницу поддержки вашего производителя на наличие обновлений и советы об удалении VPNFilter. У большинства производителей уже есть обновление прошивки, которое должно полностью защитить вас от векторов атаки VPNFilter.

Читайте так же:
Как отключить автоматическое обновление ICQ и вернуть старую версию

Уязвимые роутеры

Как определить, что роутер заражён

Определить степень заражения роутера невозможно даже с помощью антивируса Касперского. Айтишники всех ведущих мировых компаний пока не решили эту проблему. Единственные рекомендации, которые они пока могут предложить – это сброс устройства до заводских настроек.

Поможет ли перезагрузка роутера избавиться от заражения VPNFilter

Перезагрузка роутера поможет предотвратить развитие вируса только первых двух этапов. В нём всё ещё останутся следы вредоносного ПО, которое будет постепенно заражать роутер. Решить проблему поможет сброс устройства до заводских настроек.

Как удалить VPNFilter и защитить свой роутер или NAS

В соответствии с рекомендациями Symantec, необходимо перезагрузить устройство, а затем немедленно применить любые действия, необходимые для обновления и перепрошивки. Это звучит просто, но, опять же, отсутствие постоянного обновления программного обеспечения и прошивки является самой распространённой причиной кибератак. Netgear также советует пользователям своих устройств отключать любые возможности удалённого управления. Linksys рекомендует перезагружать его устройства хотя бы раз в несколько дней.

Простая очистка и сброс вашего маршрутизатора не всегда полностью избавляет от проблемы, поскольку вредоносное ПО может представлять собой сложную угрозу, что может глубоко поражать объекты прошивки вашего маршрутизатора. Вот почему первый шаг – проверить, была ли ваша сеть подвергнута риску этой вредоносной программы. Исследователи Cisco настоятельно рекомендуют это сделать, выполнив следующие шаги:

  1. Создайте новую группу хостов с именем «VPNFilter C2» и сделайте её находящейся под внешними хостами через Java UI.
  2. После этого подтвердите, что группа обменивается данными, проверив «контакты» самой группы на вашем устройстве.
  3. Если нет активного трафика, исследователи советуют сетевым администраторам создать тип сигнала отключения, который путём создания события и выбора хоста в веб-интерфейсе пользователя уведомляет, как только происходит трафик в группе хостов.

Прямо сейчас вы должны перезагрузить маршрутизатор. Для этого просто отключите его от источника питания на 30 секунд, затем подключите обратно.

Отключить питание роутера

Следующим шагом будет сброс настроек вашего маршрутизатора. Информацию о том, как это сделать, вы найдёте в руководстве в коробке или на веб-сайте производителя. Когда вы снова загрузите свой маршрутизатор, вам нужно убедиться, что его версия прошивки является последней. Опять же обратитесь к документации, прилагаемой к маршрутизатору, чтобы узнать, как его обновить.

Никогда не пользуйтесь интернетом без сильного брандмауэра. В группе риска FTP-серверы, NAS-серверы, Plex-серверы. Никогда не оставляйте удалённое администрирование включённым. Это может быть удобно, если вы часто находитесь далеко от своей сети, но это потенциальная уязвимость, которую может использовать каждый хакер. Всегда будьте в курсе последних событий. Это означает, что вы должны регулярно проверять новую прошивку и переустанавливать её по мере выхода обновлений.

Нужно ли сбрасывать настройки роутера, если моё устройство отсутствует в списке

База данных роутеров в группе риска обновляется ежедневно, поэтому сброс роутера необходимо выполнять регулярно. Как и проверять обновления прошивки на сайте производителя и следить за его блогом или сообщениями в соцсетях.

Новая кибератака на Украину: что такое вирус VPNFilter и как с ним бороться

По данным компании Cisco, в мире появился новый вирус VPNFilter. На этот раз основной целью кибератаки стали роутеры украинских пользователей

23 мая американский разработчик сетевого оборудования компания Cisco предупредила о более чем 500 тысячах зараженных роутеров и маршрутизаторов. Как сообщает компания, вирус VPNFilter был обнаружен в 54 странах, однако основная цель хакеров — Украина. К таким выводам пришли специалисты Cisco, после “всплеска” кибератак в Украине 8 мая. Cisco имеет также свою киберразведку — Cisco Talos, где уверены, что за кибератакой стоит российское правительство.

После публикации информации, правительство США сообщило, что оно будет бороться с хакерами, которые захватили контроль над сотней тысяч зараженных маршрутизаторов и устройства хранения. Для этого Федеральный суд в Пенсильвании дал разрешение ФБР взломать домен в Интернете, через который, по подозрению властей США, хакеры управляют зараженными устройствами.

Если домен действительно является инструментом хакеров по контролю над устройствами жертв кибератаки, то после взлома удастся отследить все зараженные устройства.

Пока что вирус не находится в активной стадии, чтобы его заметить. Скорее всего, его активируют к определенной значимой дате для страны. Киберполиция ранее считала, что такой датой станет суббота 26 мая, когда начался футбольный финал Лиги чемпионов. Однако расслабляться не стоит — впереди ещё несколько важных для страны дат.

Почему такое название: “VPNFilter”? Дело в том, что вирусу нужно замаскировать свои файлы. VPN сервисы — одни из самых распространенных программ среди пользователей. Поэтому папка на устройстве с подобным названием не у всех вызовет подозрение. Пользователь просто подумает, что это очередная системная папка и не станет в нее заглядывать.

Будет как с вирусом Petya.A?

null

Летом 2017 года по всему миру началась массовая атака вируса-вымогателя Petya.A, которій шифровал данные компьютеров своих жертв

Нет, на этот раз вирус под названием VPNFilter заражает роутеры и маршрутизаторы, через которые получает доступ ко всей подключенной к каналу технике. Это кибератака Интернета вещей, то есть всех устройств, которые подключаются к сети и взаимодействуют друг с другом без вмешательства человека.

Читайте так же:
Как установить или удалить Adobe Reader

Если у вас есть умный холодильник, который подключен к зараженному роутеру, то вполне возможно, что хакеры смогут его отключить или изменить его настройки. Последствия от этого не самые приятные, но гораздо страшнее, если хакеры получат доступ к объектам критической инфраструктуры и жизненно важным объектам, которые давно автоматизированы. Например, при контроле энергетического сектора, хакеры смогут отключить свет во всем городе.

Как он работает?

Вирус VPNFilter умеет самоуничтожаться, тем самым выводя из строя контролируемую технику. Помимо этого, вирус может долго незаметно присутствовать на устройстве для сбора информации.
Вирус состоит из трех этапов развития. Первый этап VPNFilter обеспечивает стабильность программы. То есть вирус способен “выжить” после перезагрузки в отличие от подобных вирусов для Интернета вещей.

На втором этапе вирус собирает метаданные, выполняет команды, фильтрует данные. На этой стадии хакеры через программу могут управлять устройствами. Некоторые версии вируса VPNFilter умеют самоуничтожаться, переписывая прошивку устройства. После перезагрузки “перепрошитая” вирусом техника выходит из строя.

Третий этап вредоносного ПО действует как дополнение для второго этапа. Специалисты Cisco Talos пока что выявили два модуля к вирусу: программа начинает работать как “сниффер” — перехватчик всего сетевого трафика (от паролей до данных SCADA Modbus, который используется на автоматических устройствах). Или же подключается к серверу злоумышленников через службу анонимного браузера Tor.

По мнению специалистов, это вредоносное ПО используется для создания расширенной, труднодоступной инфраструктуры по контролю над важными для жизни государства секторами.

null

В блоге Talos Cisco можно ознакомиться с детально технической характеристикой вируса

Кто находится под угрозой?

  • На данный момент зафиксировано заражение этих моделей устройств:
  • Linksys Devices: E1200, E2500, WRVS4400N;
  • Mikrotik RouterOS (Всі версіі що нижче 6.42.1 )
  • Netgear Devices: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
  • QNAP Devices: TS251, TS439 Pro, Other QNAP NAS devices running QTS software;
  • TP-Link Devices R600VPN.

Однако, даже если марки вашего устройства в списке нет, если оно не было защищено надежным паролем, то риск заражения остается очень высоким.

Как защититься?

Защита от этого вируса чрезвычайно сложна из-за природы подвергаемых атаке устройств. Большинство из них подключены непосредственно к Интернету, без каких-либо устройств безопасности или антивирусов.

Если вы подозреваете, что ваше устройство было заражено, то обнулите его настройки до заводских. Для этого на корпусе самого устройства есть кнопка “reset”. После перезагрузки необходимо настроить роутер, а для безопасности поставить на него пароль. По совету Киберполиции Украины, также поможет установка новой версии ПО на роутер, так как некоторые производителей оборудования уже выпустили ПО, которое борется с вирусом.

У роутера есть свое меню. Чтобы зайти в меню подключенного роутера в адресной строке браузера следует набрать 192.168.0.1. или 192.168.1.1. (в зависимости от модели роутера).

Если роутер запросит пароль после сброса настроек, то его можно также увидеть на нижней крышке корпуса устройства. После того, как вы зашли в меню, обязательно поменяйте стандартній заводской пароль и имя пользователя.

Можно также разрешить доступ в меню роутера только для одного устройства с определенным IP. При любом вопросе связывайтесь со службой поддержки компании, чье оборудование вы используете, а также с провайдером, который предоставляет интернет-услуги.

Кто атакует?

nullТакой логотип для своей команды использовале хакеры Fancy Bear (они же АРТ28 и Sofacy) для сайта, посвященному взлому Антидоппингового олимпийского комитета

Компания Cisco и правительство США связівают кибератаку с хакерской группировкой Sofacy. Хакеры также известны и под другими именами: "Fancy Bears", "APT28", "Tsar Team". Название команды разнятся из-за разных инструментов, которые хакеры применяют во время атак. Sofacy работают с 2008 года.

Хакеры из группы Sofacy в основном атакуют сектора обороны, энергии, правительства, средства массовой информации США и европейских стран. Список атак команды обычно совпадает со списком интересов правительства Российской Федерации, из-за чего был сделан вывод о принадлежности хакеров к Главному разведывательному управлению России (ГРУ).

У хакеров есть собственные разработки ( XAgent, X-Tunnel, WinIDS, Foozer и DownRange) которые поражают операционную систему Windows и некоторые мобильные системы. Sofacy известна тем, что регистрирует домены, которые очень похожи на домены существующих организаций, чтобы выманить пароли и логины (фишинг). Именно это произошло в 2016 году, когда один из членов Демократической партии США попытался зайти на электронную почту. Вместо этого пользователь заполнил форму сайта-фальшивки. В результате ошибки, хакеры получили доступ к почтовому серверу партии. Sofacy также связывают с атаками на немецкий бундестаг и телевизионную станцию ​​TV5 Monde Франции в 2015 году.

голоса
Рейтинг статьи
Ссылка на основную публикацию