З чого все почалося?

Декілька місяців дослідницький проект з питань безпеки під назвою Talos  виявив можливого державного чи міжнародного агента широкого використання, котрий працює над формуванням складної модульної системи шкідливих програм. Цю систему назвали VPNFilter. Остаточне дослідження ще не завершене — однак компанія Cisco та її дослідницька група наполягають: діяти слід вже зараз. Причина: паралелі новітнього шкідливого ПЗ із кодом у версіях BlackEnergy. Останній був відповідальним за декілька великомасштабних атак на цільові пристрої в Україні в енергетичній системі нашої держави. Зараз почалося формування ботнету із заражених комп’ютерів та пристроїв з України. Воно відбувається із використанням інфраструктури, команд і систем керування (C2), призначених для України.

Чому Cisco звертає увагу на це явище?

І масштаби, і потенційна руйнівна здатність цієї операції турбують дослідників. Попередня оцінка кількості вже заражених пристроїв — мінімум 500 тис у щонайменше 54 країнах. Відомі пристрої, на які впливає VPNFilter, — це мережеве обладнання Linksys, MikroTik, NETGEAR та TP-Link у системі малого та домашнього офісу (SOHO), а також на пристроях з підтримкою мережних пристроїв QNAP (NAS).

Важливість нової загрози у тому, що компоненти шкідливого програмного забезпечення VPNFilter дозволяють красти облікові дані веб-вузла та стежити за протоколами Modbus SCADA. Нарешті, зловмисне програмне забезпечення має деструктивну здатність, яка може зробити інфікований пристрій непридатним для використання. Руйнування пристроїв таким чином може відбуватися як окремо, так і одночасно для сотень тисяч пристроїв у всьому світі. По суті це — атака на інфраструктуру на рівні користувачів, наголошують у Cisco.

В чому загроза для українців?

Як стверджує Cisco, у вірусах VPNFilter використовується код, що застосовувався під час попередніх кібератак. Ті атаки велись з території РФ або за участю кремлівської влади. Спільний код між новим ПЗ та вірусом-вимагальником NotPetya вказує на то, що атака скерована в першу чергу на Україну. Зараження почалося на початку травня 2018 року і має досягти пікового значення до Дня Конституції України. Вірус NotPetya атакував саме у цей період у червні 2017 року. У передріздвяний та передноворічний періоди аналогічні віруси атакували українську енергетичну систему у 2015 та 2016 роках. Про підготовку кібератаки також попередив співробітник компанії Cisco у розмові із журналістами Reuters.

Як визначити, яким саме пристроям загрожує нова хакерська атака?

Тип пристроїв, на які скерована атака, важко захистити. Вони часто перебувають підключеними до загальної інтернет-мережі, не мають системи захисту від вторгнення (IPS), і зазвичай не мають наявної системи захисту на основі хоста, такої як антивірусний (AV) пакет. Більшість з цих пристроїв, особливо в старих версіях, мають загальнодоступні параметри підключення та характеристики, які роблять підключення  порівняно простим. Тому якщо у вас є роутер — швидше за все, його вже зламали або спробували зламати.

Як працює ботнет нового типу?

Шкідливе програмне забезпечення VPNFilter — це багатоступенева модульна платформа, що має універсальні можливості для підтримки інтелектуального збирання та руйнівних операцій з використанням кібератак. Атака, за словами представників Cisco, розгортатиметься у декілька етапів.

На першій стадії це шкідливе програмне забезпечення здатне зберегтися навіть попри перезавантаження пристрою. Воно використовує численні резервні механізми управління для виявлення IP-адреси поточного сервера та розгортання наступного, другого етапу зараження, кажуть у Cisco.

На другому етапі відбувається критичний перезапис частини прошивки у роутерах, внаслідок чого відбувається повне або часткове блокування та подальше перезавантаження. Ініціювати команду на перезапис та перезавантаження можна віддалено. Відтак ініціювати перезапуск та знищення роутерів можна одночасно в будь-який момент за бажанням тих, хто контролює та ініціював атаку.

Що таке VPNFilter і як захиститися від нової шкідливої програми

Також у Cisco повідомляють про існування модулів третього етапу. Вони формують додаткові можливості для контролю. Зокрема, йдеться про сніффер пакетів для збору трафіку, який проходить через пристрій, включаючи крадіжку облікових даних веб-сайту та моніторинг протоколів SCADA з Modbus. Також є комунікаційний модуль, який дозволяє програмам передавати інформацію через браузер Tor із шифруванням. Можуть бути ще й інші плагіни — проте поки про них немає додаткової інформації.

В чому особливості атаки, що насувається?

З високою впевненістю у Cisco кажуть, що це зловмисне програмне забезпечення використовується для ураження надзвичайної, важкодоступної інфраструктури, яка може використовуватися для важливих операційних потреб. До числа тих, хто вже пережив зараження, входять як компанії, так і державні установи та приватні особи. Природа атаки має ще одну особливість: помилково її ініціаторами вважатимуть пристрої, які були заражені. Автори атаки зможуть використати заражену інфраструктуру для маскування справжніх джерел керування пристроями.

Також зловмисне програмне забезпечення  може використовуватися для збору даних, що проходить через пристрій. Окрім простого перехоплення, це ще й може відбуватися для тестування роутерів та модемів на вразливість до зовнішнього втручання.

Нарешті, це зловмисне програмне забезпечення може використовуватися для проведення великомасштабної руйнівної атаки, використовуючи команду «kill». У Cisco зазначають, що така команда призведе до повного або часткового руйнування пристроїв на програмному та апаратному рівні без можливості відновлення їхньої працездатності без спеціальних навичок чи обладнання.

Які основні небезпеки?

Із 8 травня дослідники спостерігали різкий сплеск у діяльності VPNFilter . Майже всі новопризначені жертви знаходились в Україні. Також слід зазначити, що більшість українських інфікованих пристроїв піддалися впливу програмного забезпечення другої стадії. Саме такий код є спорідненим із BlackEnergy (шкідливим ПЗ, котре знеструмлювало енергетичні мережі у 2015 та 2016 роках). 17 травня 2018 року відбувся сплеск заражень в Україні (це була річниця підписання безвізу з ЄС). Основна небезпека — це високе число роутерів та модемів, котрі можуть одномоментно або за короткий строк опинитися заблокованими чи відключеними, а їхні користувачі опиняться без зв’язку із інтернетом.

Як захиститися від новітньої хакерської загрози?

Захист від цієї загрози надзвичайно важкий через характер пристроїв, що постраждали. Більшість з них підключені безпосередньо до інтернету, без жодних додаткових параметрів чи пристроїв безпеки та послуг захисту. Крім того, у більшості таких пристроїв немає вбудованих можливостей для боротьби з шкідливим програмним забезпеченням, наголошують у Cisco.

Для протидії дослідники із Cisco створили «чорні списки» доменів та IP-адрес, а також звернулися до Linksys, Mikrotik, Netgear, TP-Link та QNAP щодо цієї проблеми. В компанії також поділилися цими показниками та дослідженнями з міжнародними правоохоронними органами та нашими членами Альянсу Кіберзагроз. Докладніше механізм зараження та протидії йому описаний на сайті дослідницької групи Talos.

Що варто зробити вам просто зараз?

Панікувати не слід. У Cisco радять наступне:

  • Користувачі маршрутизаторів SOHO та / або пристроїв NAS мають скинути їх на заводські налаштування за замовчуванням та перезавантажити їх, щоби видалити потенційно руйнівні, нестійкі стадії другого та третього типів.
  • Інтернет-провайдери, які надають своїм користувачам маршрутизатори SOHO, мають перезавантажити маршрутизатори від імені своїх клієнтів.
  • Якщо у вас є будь-який з пристроїв, про який відомо, що вони можуть постраждати від цієї загрози, надзвичайно важливо, щоби ви сконтактували з виробником, щоби забезпечити оновлення до останніх версій прошивки. Якщо цього ще не зроблено, слід оновити прошивку та застосувати випущені патчі до ваших пристроїв.
  • Інтернет-провайдери мають сконтактувати із клієнтами та нагадати їм про оновлення прошивок та ПЗ до найновіших версій.

Через потенціал вразливості до руйнування інфраструктури у Cisco наголошують на необхідності провести усі оновлення для всіх пристроїв SOHO або NAS, незалежно від того, чи вони підпадають під зазначені вище ризики, чи ні.