Откритата през миналия месец кампания, може да се окаже най-голямата атака тази година, засягайки не хиляди, а милиони системи.

В края на май ви съобщихме за откритието на VPNFilter, нов вид заплаха, атакуваща основно рутери и NAS устройства. Специалистите от Talos Security алармираха, че засегнати от атаките са основно устройства на Linksys, Mikrotik, Netgear, QNAP и TP-Link.

В публикация на Tallos от вчера обаче става ясно, че това е далеч по-сложна и мащабна кампания. Не само са засегнати рутери на повече компании, но се оказва, че модули на програмата могат да компрометират крайните точки, които са свързани към мрежовите устройства, да доставят допълнителен зловреден код, да пресичат комуникацията през порт:80 (през който обикновено се свързва браузъра ви към Интернет), да краде данни за вписване и да извежда от строя засегнатите устройства, заличавайки напълно следите от атаката.

Какво беше известно за VPNFilter досега?

В оригиналната публикация на Tallos се описва зловредна кампания, която води началото си от 2016 до този момент и се смята, че става въпрос не просто за обикновени хакери, а за такива, свързани с държавни структури. Част от кода се покрива с разрушителни атаки към украинските мрежи в последните две години и BlackEnergy, участвал в атаките към енергопреносните мрежи на страната.

Макар и да не са сигурни за конкретния първоначален вектор на атаките, специалистите смятат, че атакуващата страна си проправя път към устройствата, възползвайки се от вече известни уязвимости в тях. Става дума главно за устройства, които използват фърмуер на основата на BusyBox и Линукс.

Атаката е многоетапна, включваща три стъпки – първата е устойчива, докато следващите две, които са по-опасни – не. Организаторите на атаката използват Tor за комуникация, което прави тяхното идентифициране по-трудно. Това, което препоръчваха Tallos първоначално за справяне с щетите от атаките е връщането на устройствата към заводски настройки и рестартирането им. Това обаче, може би не е панацея.

Нови устройства, устойчивост и пробив към крайните точки

Това, което съобщават специалистите от Cisco е, че след задълбочен анализ са открили, че са засегнати устройства на още компании, както и други модели на вече известни марки. Новите устройства принадлежат на ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.

„Ние също така открихме нов модул, принадлежащ към третия етап от атаката, който инжектира зловредно съдържание в уеб трафика, който преминава през мрежовото устройство. Този нов модул позволява доставянето на експлойти към крайните точки посредством MiTM (man-in-the-middle) възможности. С това ново откритие, ние може да потвърдим, че заплахата превишава откритите способности на атакуващата страна относно това, което може да направи на самото устройство и се разпростира над мрежите, което то поддържа“, пишат Tallos.

Името на този трети модул е ssler. Той е способен да извлича информация и да инжектира JavaScript код в трафика, преминаващ през устройството през порт:80. И разбира се освен входящият, и изходящият трафик е надлежно инспектиран и манипулиран. Освен това, за целите на извличането на чувствителни данни, като примерно такива за вписване (потребителско име и парола), всички инстанции на HTTPS заявки биват обърнати в HTTP, така че получената от атакуващата страна информация да не пристига при тях криптирана, а в открит вид.

Другият новооткрит модул -dstr – също представлява голяма опасност, но мисията му е друга. Вместо шпионаж, задачата му е разрушение. Той изтрива всички файлове на инфектираното устройство, които отговарят за нормалния му старт и функциониране, както и всички файлове и папки, свързани със зловредната програма, заличавайки успешно всякакви следи от атаката.

Tallos публикува и пълният списък със засегнати устройства и модели, както и известните им индикатори на компрометиране и адреси на контролните сървъри.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

2 Коментара
стари
нови оценка
Отзиви
Всички коментари