VPNFilter - причини и методи за отстраняване на вируса

Новият зловреден софтуер, известен като MicroTic VPNFilter, наскоро идентифициран от Cisco Talos Intelligence Group, вече е заразил повече от 500 000 маршрутизатора и мрежовите устройства за съхранение (NAS), много от които са на разположение на малкия бизнес и офисите. Това, което прави този вирус особено опасен е, че той има така наречената "постоянна" способност да причинява вреда, което означава, че няма да изчезне само защото рутерът ще бъде рестартиран.

Как да премахнете вирусен софтуер - VPNFilter.

Какво е VPNFilter

Според Symantec, "данните от примамките и сензорите на Symantec показват, че за разлика от други заплахи от интернет на нещата, вирусът VPNFilter изглежда не сканира и се опитва да зарази всички уязвими устройства по целия свят." Това означава, че има определена стратегия и цел на инфекцията. Като потенциални цели Symantec идентифицира устройства от Linksys, MikroTik, Netgear, TP-Link и QNAP.

Как са заразени устройствата? Това са недостатъци в софтуера или хардуера, които създават вид на задната врата, чрез която нападателят може да наруши работата на устройството. Хакерите използват стандартни имена по подразбиране и пароли, за да заразят устройства или да получат достъп чрез известни уязвимости, които е трябвало да бъдат поправени с редовни софтуерни актуализации или фърмуер. Това е същият механизъм, който доведе до масови нарушения от Equifax миналата година и това вероятно е най-големият източник на кибер уязвимост!

Не е ясно и кои са тези хакери и какви са техните намерения. Има предположение, че се планира мащабна атака, която ще направи ненужните заразени устройства. Заплахата е толкова голяма, че наскоро Министерството на правосъдието и ФБР обявиха, че съдът е постановил да конфискува устройства, заподозрени в счупване. Решението на съда ще помогне да се идентифицира устройството на жертвата, наруши способността на хакерите да крадат лична и друга поверителна информация и да извършват подривни кибератаки на троянския VPNFilter.

Как работи вирусът

VPNFIlter използва много сложен двустепенен метод на инфекция, чиято цел е компютърът ви да стане жертва на събиране на разузнавателни данни и дори операция по описание. Първият етап на вируса включва рестартиране на рутера или хъба. Тъй като VPNFilter злонамерен софтуер е насочен предимно към маршрутизатори, както и към други устройства, свързани с интернет, както и Mirai malware, това може да се случи в резултат на автоматична бот-атака, която не е реализирана в резултат на успешния компромис на централни сървъри. Инфекцията възниква чрез експлойт, който кара интелигентното устройство да се рестартира. Основната цел на този етап е да се получи частичен контрол и да се даде възможност за разгръщане на етап 2 след приключване на процеса на рестартиране. Фази 1 са както следва:

  1. Качва снимка от Photobucket.
  2. Стартират се експлойти, а за извикване на IP адреси се използват метаданни.
  3. Вирусът се свързва със сървъра и изтегля злонамерена програма, след което автоматично го изпълнява.

Както докладват изследователите, като отделни URL адреси с първия етап на заразяване има библиотеки с фалшиви потребители на фотообекти:

  • com / user / nikkireed11 / библиотека
  • com / потребител / kmila302 / библиотека
  • com / user / lisabraun87 / библиотека
  • com / user / eva_green1 / библиотека
  • com / user / monicabelci4 / библиотека
  • com / user / katyperry45 / библиотека
  • com / user / saragray1 / библиотека
  • com / user / millerfred / библиотека
  • com / user / jeniferaniston1 / библиотека
  • com / user / amandaseyfried1 / библиотека
  • com / user / suwe8 / библиотека
  • com / user / bob7301 / библиотека

Веднага след като започне втората фаза на инфекцията, действителните възможности на VPNFilter злонамерения софтуер стават по-обширни. Те включват използването на вируса в следните действия:

  • Свързва се с C & C сървър.
  • Изпълнява Tor, PS и други плъгини.
  • Извършва злонамерени действия, които включват събиране на данни, изпълнение на команди, кражба на файлове, управление на устройства.
  • Може да извършва дейности по самоунищожение.

Свързан с втория етап от инфекцията с IP адрес:

  • 121109209
  • 12.202.40
  • 242.222.68
  • 118242124
  • 151.209.33
  • 79.179.14
  • 214203144
  • 211198231
  • 154.180.60
  • 149.250.54
  • 200.13.76
  • 185.80.82
  • 210180229

В допълнение към тези две фази, изследователите по киберсигурността в Cisco Talos също съобщават за фаза 3 сървър, чиято цел все още не е известна.

Уязвими маршрутизатори

Не всеки рутер може да пострада от VPNFilter. Symantec описва подробно кои рутери са уязвими. Днес VPNFilter може да зарази Linksys, MikroTik, Netgear, и TP-Link рутери, както и QNAP мрежови (NAS) устройства. Те включват:

  • Linksys e1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Микротиков маршрутизатор (за рутери с облачни версии на версии 1016, 1036 и 1072)
  • Netgear DGN2200
  • Netgear r6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Други QNAP NAS устройства с QTS софтуер
  • TP-Link R600VPN

Ако имате някое от горните устройства, проверете страницата за поддръжка на производителя за актуализации и съвети за премахване на VPNFilter. Повечето производители вече имат актуализация на фърмуера, която трябва напълно да ви предпази от векторите на атаката на VPNFilter.

Как да определите, че рутерът е заразен

Не е възможно да се определи степента на заразяване на рутера дори и с помощта на Kaspersky Anti-Virus. ИТ специалистите от всички водещи световни компании все още не са решили този проблем. Единствените препоръки, които те могат да предложат досега, е да върнат устройството до фабричните настройки.

Ще рестартиране на рутера помогне да се отървете от инфекция VPNFilter

Рестартирането на рутера ще помогне да се предотврати развитието на вируса само в първите два етапа. Все още има следи от зловреден софтуер, който постепенно ще зарази маршрутизатора. Решаване на проблема ще помогне за възстановяване на фабричните настройки на устройството.

Как да премахнете VPNFilter и да защитите вашия рутер или NAS

В съответствие с препоръките на Symantec, трябва да рестартирате устройството и след това незабавно да приложите всяко действие, необходимо за актуализиране и мигане. Звучи лесно, но, отново, липсата на постоянно обновяване на софтуера и фърмуера е най-честата причина за кибератаки. Netgear също така съветва потребителите на техните устройства да деактивират всички функции на дистанционното управление. Linksys препоръчва да рестартирате устройствата си поне веднъж на всеки няколко дни.

Лесното почистване и рестартиране на маршрутизатора не винаги елиминира напълно проблема, тъй като зловредният софтуер може да представлява сложна заплаха, която може да повлияе дълбоко на фърмуерните обекти на вашия рутер. Ето защо първата стъпка е да проверите дали вашата мрежа е била изложена на този зловреден софтуер. Изследователите от Сиско препоръчват това, като изпълните следните стъпки:

  1. Създайте нова група от хостове с името “VPNFilter C2” и я поставете под външните хостове през Java UI.
  2. След това потвърдете, че групата обменя данни, като проверява „контактите“ на самата група на вашето устройство.
  3. Ако няма активен трафик, изследователите съветват мрежовите администратори да създадат тип сигнал за прекъсване, който чрез създаване на събитие и избиране на хост в уеб базирания потребителски интерфейс уведомява веднага щом трафикът възникне в група хостове.

Точно сега трябва да рестартирате рутера. За да направите това, просто го изключете от захранването за 30 секунди, след което го включете отново.

Следващата стъпка е да рестартирате маршрутизатора. Информация за това можете да намерите в ръководството в кутията или на уебсайта на производителя. Когато презаредите маршрутизатора, трябва да се уверите, че неговата версия на фърмуера е най-новата. Отново се обърнете към документацията, доставена с маршрутизатора, за да разберете как да я актуализирате.

ВАЖНО. Никога не използвайте потребителското име и паролата по подразбиране за администриране. Всички рутери на същия модел ще използват това име и парола, което улеснява промяната на настройките или инсталирането на зловреден софтуер.

Никога не използвайте Интернет без силна защитна стена. В риск са FTP сървъри, NAS сървъри, Plex сървъри. Никога не оставяйте отдалечено администриране. Това може да е удобно, ако често сте далеч от мрежата си, но това е потенциална уязвимост, която всеки хакер може да използва. Винаги бъдете в течение. Това означава, че трябва редовно да проверявате новия фърмуер и да го преинсталирате, когато актуализациите бъдат пуснати.

Трябва ли да нулирам настройките на маршрутизатора, ако устройството ми не е в списъка

Базата данни на маршрутизаторите в рисковата група се обновява ежедневно, така че рестартирането на рутера трябва да се извършва редовно. Освен това проверете за актуализации на фърмуера на уебсайта на производителя и следвайте неговия блог или публикации в социалните мрежи.