Как стало известно Bleeping Computer, операторов ботнета VPNFilter, построенного на сетевых устройствах, не обескуражил захват C&C-домена американскими властями. Данные телеметрии за прошлую неделю показали, что злоумышленники продолжают поиск уязвимых роутеров и, видимо, пытаются создать новую бот-сеть.

Возобновление активности ботоводов VPNFilter, которыми предположительно являются участники APT-группы Sofacy, обнаружили эксперты JASK и GreyNoise Intelligence. Ссылаясь на их наблюдения, репортер Bleeping Computer пишет, что новые сканы замечены лишь на Украине и нацелены на выявление роутеров Mikrotik с открытым портом 2000.

Ботнет VPNFilter, составленный из 500 тыс. роутеров и NAS-устройств, привлек внимание ИБ-сообщества этой весной, когда сканирование с целью наращивания его потенциала стало очевидным. Атаки на территории Украины начались 8 мая и впоследствии усилились; в этой стране злоумышленники даже подняли отдельный C&C-сервер.

Анализ показал, что зловред, на основе которого построен данный ботнет, состоит из трех компонентов, при этом сначала загружается модуль, от которого невозможно избавиться перезапуском. Два последующих плагина таким свойством не обладают, но могут быть повторно загружены. Третий компонент — самый опасный, так как он умеет стирать данные, эффективно выводя сетевое устройство из строя.

Попытка ликвидировать VPNFilter была предпринята в прошлом месяце. ФБР с разрешения суда захватило контроль над одним из C&C-доменов ботнета, что позволило запустить кампанию по выявлению зараженных устройств и очистке.

Судьба украинского центра управления бот-сетью неизвестна. По всей видимости, он продолжает функционировать, и злоумышленники решили использовать эту возможность для восстановления своих боевых порядков.

Категории: Аналитика, Вредоносные программы, Главное