Исследователи Cisco обнаружили вирус VPNFilter, атакующий роутеры

VPNFilter

Специалисты в области информационной безопасности из Cisco обнаружили ботнет, состоящий из 500 000 взломанных маршрутизаторов. Компоненты, входящие в состав скомпрометированной сети, находятся на территории 54 государств. Максимальное распространение вирус получил на Украине.

По словам исследователей, причиной создания ботнета стала активность вредоноса под названием VPNFilter. Специалисты из Cisco и Symantec обнаружили его на устройствах Linksys, MikroTik, NETGEAR и TP-Link.

Как VPNFilter функционирует?

Работу вредоносного ПО можно разделить на три основных этапа:

  • Первый этап заключается в заражении роутера. На этой стадии у пользователя есть возможность предотвратить дальнейшее распространение вируса, вернув устройство к заводским настройкам.
  • На втором этапе малварь может получать данные о выполняемых командах, собирать необходимую информацию и вносить изменения в прошивку, делая устройство непригодным к дальнейшему использованию.
  • Третий этап работы вируса является малоизученным. На этой стадии вредонос может осуществлять сбор трафика, который приводит к утечке конфиденциальных данных.

Также VPNFilter способен «общаться» с C&C-сервером. Исследователи предполагают, что это не все возможности вируса, многие его модули ещё не расшифрованы.

VPNFilter

Схема работы VPNFilter

До конца не известно, с какой целью злоумышленники заражают маршрутизаторы. Cisco выявила несколько возможных сценариев. По мнению исследователей компании, хакеры проводят атаки для:

  • отслеживания сетевого трафика и похищения учётных записей;
  • проведения более масштабных атак с использованием взломанных роутеров;
  • выведения маршрутизаторов из строя и нанесения ущерба инфраструктуре.

Подозрения

Исследователи вируса предполагают, что ботнет контролируется российской организацией Fancy Bear. Хакерская группа причастна к созданию червя Petya и атаке BlackEnergy. В свою очередь, пресс-секретарь президента России Дмитрий Песков опроверг причастность Кремля к хакерским атакам на Украину.

Это не первый вредонос, связанный с использованием маршрутизаторов. В мае 2018 года был обнаружен вирус Roaming Mantis, атакующий смартфоны через Wi-Fi роутеры.

Источник: блог Cisco Talos