Дальнейшее исследование VPNFilter обнаружило, что спектр мишеней этого IoT-зловреда шире, чем показал предварительный анализ. В новой блог-записи Cisco сказано, что на самом деле количество брендов, на которые нацелен VPNFilter, в два раза больше, а число атакуемых моделей превышает семь десятков.

О существовании VPNFilter широкая общественность впервые узнала три недели назад, когда Минюст США рассказал о принятых мерах по ликвидации 500-тысячного ботнета, построенного на основе этой вредоносной программы. Одновременно Cisco опубликовала первые результаты расследования этой киберкампании, инициатором которой предположительно является APT-группа Sofacy.

На тот момент было определено, что VPNFilter способен атаковать SOHO-роутеры производства Linksys, MikroTik, NETGEAR и TP-Link, а также NAS-устройства QNAP. За истекший период список потенциальных жертв заражения пополнился именами ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.

Зловред, внедряемый на сетевые устройства через эксплойт, имеет модульную архитектуру, очень цепок, использует Tor-связь и умеет не только собирать данные для ботоводов и привносить задаваемые ими изменения, но также затирать прошивку, эффективно выводя сетевое устройство из строя.

Более тщательное исследование позволило идентифицировать еще два плагина VPNFilter, загружаемых на третьем этапе заражения. Один из них, именуемый ssler, предназначен для внедрения вредоносного контента в трафик, проходящий через зараженный роутер и направляемый на порт 80. По свидетельству Cisco, это расширяет возможности злоумышленников, позволяя им атаковать и другие устройства в сети.

«Новый модуль позволяет автору атаки доставлять эксплойты на конечные устройства из положения «человек посередине» (так, например, он может перехватывать сетевой трафик и внедрять в него вредоносный код без ведома пользователя)», — пишут исследователи. Согласно блог-записи Cisco, возможности ssler также позволяют осуществлять откат HTTPS-соединений до HTTP, чтобы облегчить кражу конфиденциальных данных.

Вторая находка — плагин dstr — внесла ясность в ситуацию с самоуничтожением VPNFilter, фатальным для зараженного устройства. Как оказалось, этот компонент третьей стадии обеспечивает выполнение соответствующей команды в тех случаях, когда модуль этапа 2 лишен такой возможности.

Плагин dstr, по словам экспертов, стирает все данные, необходимые для нормальной работы сетевого устройства. «Вначале он удаляет все файлы и папки, связанные с собственными операциями, а затем — остальные файлы в системе», — уточняют исследователи. В попытке замести следы зловред также завершает все свои процессы, чистит флеш-память и перезапускает устройство, после чего оно выходит из строя.

Углубленное исследование также показало, что возможности ранее обнаруженного снифера пакетов — плагина ps — не ограничиваются перехватом на каналах Modbus, которые обычно используют системы SCADA. Один из образцов этого модуля также продемонстрировал способность отслеживать трафик на широкополосных VPN-роутерах TP-LINK (R600VPN), созданных на базе технологии SafeStream.

«VPNFilter все еще в силе, реален как угроза, притом атакует более широкий спектр устройств, чем считалось ранее, и это не может не вызывать озабоченность, — заявил в ответ на запрос Threatpost Дерек Манки (Derek Manky), специалист Fortinet по разработке глобальной стратегии обеспечения безопасности. — Его пример наглядно показал, что киберкампания даже после выявления может продолжаться теми же темпами».

Категории: Аналитика, Вредоносные программы, Главное