Исследователи из Cisco обнаружили еще семь модулей в ботах VPNFilter, нацеленных на SOHO-роутеры разных производителей. Как оказалось, зловред также умеет создавать карту сети, вызывать состояние отказа в обслуживании, маскировать свой трафик и отыскивать в сети другие устройства, пригодные для эксплойта.

«Индивидуальным пользователям и организациям пора понять: VPNFilter — это фреймворк, притом настолько изощренный, что его нужно отслеживать в обязательном порядке, — сказано в блоге Cisco Talos. — С подобными угрозами можно бороться лишь при наличии передовых средств защиты и хорошо продуманной обороны».

Ботнет, созданный на основе VPNFilter, объявился в Интернете в мае; на тот момент в его состав, по оценкам экспертов, входило не менее 500 тыс. зараженных роутеров и NAS-устройств. К июню эксперты выяснили, что список затронутых вендоров на самом деле гораздо шире, а число атакуемых моделей превышает семь десятков. На тот момент Cisco и партнерам по исследованию удалось определить несколько составляющих IoT-зловреда. Компонент первого этапа заражения обеспечивает постоянное присутствие и дальнейшее развертывание VPNFilter, модуль второй ступени собирает и выводит информацию, множественные плагины, загружаемые в третью очередь, обеспечивают дополнительные возможности. Из последних были выявлены анализатор сетевых пакетов, модуль для Tor-связи, инжектор эксплойтов и исполнитель команды на самоуничтожение, фатальной для устройства.

Дополнительные модули, найденные Cisco за истекший период, тоже появляются на третьей стадии заражения. Плагин nm предназначен для поиска и регистрации других перспективных мишеней в локальной сети посредством ping-сканирования. Модуль htpx способен обеспечить внедрение эксплойта в HTTP-трафик; используя iptables, он втихую переадресовывает поток пакетов с портом назначения 80 на локальный сервер (порт 8888), отслеживает признаки присутствия исполняемых файлов Windows и помечает их флагом.

Утилита netfilter, оперируя списком из 168 IP-адресов, по команде блокирует доступ к некоторым приложениям, использующим шифрование: WhatsApp, популярному в Китае QQ Chat, защищенным IM-сервисам Amazon (Wickr, Signal). Примечательно, что Telegram в этом перечне отсутствует. Не исключено, что злоумышленники пытаются таким образом направить коммуникации жертв на сервис, который больше подходит для развития атаки.

Плагин ndbr создан на основе легальной утилиты и представляет собой многофункциональный SSH-инструмент для сканирования портов по IP-адресам. Модуль portforwarding перенаправляет трафик на инфраструктуру по выбору автора атаки.

Инструмент tcpvpn обеспечивает злоумышленнику удаленный доступ по VPN-туннелю к внутренней сети, расположенной за скомпрометированным устройством. Функции socks5proxy соответствуют его названию: это прокси-сервер для связи с C&C, поддерживающий протокол SOCKS пятой версии. По свидетельству Cisco, аутентификацию он не использует и, согласно вшитым настройкам, работает на порту 5380.

Кто и зачем построил ботнет VPNFilter, выяснить до сих пор не удалось. Непонятно также, каким образом были заражены первые жертвы. Попыток восстановления доступа к устройствам, очищенным от инфекции, не обнаружено.

Категории: Аналитика, Вредоносные программы, Главное