SOS :: Security Operation Space
17 октября, среда, 00:00
|
Hot News:

IoT-зловред VPNFilter потерял центр управления

25 мая 2018 г., пятница, 02:11

ФБР захватило контроль над одним из C&C-доменов масштабного ботнета, составленного из сетевых устройств.

Министерство юстиции США информирует о предпринятых в этой стране усилиях по ликвидации глобального ботнета, составленного из сетевых устройств и предположительно созданного APT-группировкой Sofacy. В результате спецоперации ФБР с разрешения суда захватило контроль над одним из C&C-доменов ботнета, и кампания по выявлению заражений по всему миру и чистке уже запущена.

APT-группа Sofacy, она же Fancy Bear, APT28 и Sednit, уже порядка десяти лет атакует правительственные и частные организации, постоянно совершенствуя свой арсенал.

Новоявленная бот-сеть, по оценке Cisco и партнеров по исследованию, в настоящее время состоит как минимум из 500 тыс. зараженных устройств, размещенных в 54 странах. В основном это роутеры  класса SOHO (для дома и небольших офисов) от Linksys, MikroTik, NETGEAR и TP-Link, а также сетевые устройства хранения данных (NAS) производства QNAP. По всем признакам, данный ботнет существует с 2016 года, однако сканирование с целью нарастить его потенциал стало заметным лишь в последние месяцы. Эта вредоносная активность особенно сильна на Украине, где для резидентных ботов был поднят отдельный C&C-сервер. СБУ даже опубликовала предупреждение по этому поводу.

Каким образом происходит заражение, определить пока не удалось. Внедряемый в результате ступенчатой атаки зловред, названный исследователями VPNFilter, имеет модульную архитектуру и по сложности, со слов Cisco, превосходит своих IoT-собратьев. Он способен собирать и выводить информацию, мониторить передачу данных в системах SCADA по протоколам Modbus, а также стирать критически важные данные, эффективно выводя из строя зараженное устройство.

Как устроен бот

Анализ вредоносного кода показал сходство с BlackEnergy, функциональность которого тоже можно расширить с помощью плагинов. Модуль VPNFilter, загружаемый на первом этапе заражения, призван обеспечить постоянное присутствие и дальнейшее развертывание зловреда в системе. При этом все загрузки осуществляются через сеть Tor или защищенные SSL-соединения. Этот компонент также примечателен тем, что умеет переживать перезапуск устройства — среди IoT-зловредов таким свойством обладают лишь боты Hide ‘N Seek. По свидетельству Symantec, от первичного заражения можно избавиться лишь откатом до заводских настроек.

Компонент VPNFilter второй ступени подобной цепкостью не обладает, но всегда может быть повторно загружен с помощью первого модуля. Этот плагин, по словам автора записи в блоге Cisco Talos, является “рабочей лошадкой” для сбора данных. Он умеет отыскивать файлы, отправлять собранную информацию на свой сервер и выполнять некоторые функции по управлению зараженным устройством.

Однако больше всего аналитиков встревожила способность некоторых версий второго компонента VPNFilter к самоуничтожению. С этой целью зловред по команде выполняет частичную перезапись прошивки и инициализирует перезапуск, после чего устройство перестает функционировать.

Множественные плагины этапа 3 призваны расширить возможности второго компонента. В Cisco идентифицировали два из них: анализатор сетевых пакетов и модуль, ответственный за Tor-связь. Как показал анализ, перехват пакетов позволяет VPNFilter не только собирать информацию о трафике на зараженном устройстве, но также воровать регистрационные данные к сайтам.

Рекомендации

Исследователи подчеркивают, что защита SOHO-роутеров и NAS от подобных заражений — дело непростое. В подобных устройствах почти не бывает встроенных антивирусов; они обычно расположены на границе сети и напрямую связаны с Интернетом, поэтому система предотвращения вторжений здесь не поможет. В то же время многие из этих устройств содержат хорошо известные уязвимости — особенно устаревшие модели, а пропатчить их рядовому пользователю не под силу или недосуг.

И все же Cisco советует по возможности поддерживать SOHO-роутеры и NAS в актуальном состоянии, а уже зараженные VPNFilter устройства откатить до заводских настроек и перезапустить, чтобы вычистить его компоненты второго и третьего эшелона. Минюст США, со своей стороны, призывает жертв данного зловреда прислушаться к этим рекомендациям.

В настоящее время участники операции по истреблению VPNFilter выявляют жертв заражения, что стало возможным благодаря захвату C&C. Передачей этих сведений структурам, способным обеспечить очистку на местах (интернет-провайдерам, национальным CERT), занимается некоммерческая организация Shadowserver Foundation. Результаты совместного исследования новой угрозы Cisco уже передала заинтересованным вендорам.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:46
16:15
16:12
15:15
14:15
13:15
11:49
11:15
10:15
08:15
08:15
08:15
07:15
06:18
06:15
05:47
15:15
15:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.117
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.