Разрастваща се вирусна епидемия сред рутери по цял свят засякоха специалисти от групата за сигурност Talos, част от Cisco. Става въпрос за опасен троянец VPNFilter, който за кратко време е проникнал в най-малко 500 хиляди рутера и други мрежови устройства в 54 страни по света.
Най-застрашени са устройствата на Linksys, MikroTik, Netgear, QNAP и TP-Link, предназначени за дома и офиса, предупреждава Talos. Що се отнася до географския обхват на заразата, най-много са инфектираните рутери в Украйна.
Вирусът е опасен преди всичко с това, че позволява на атакуващите да откраднат данни от акаунти за сайтове и да следят протоколите Modbus SCADA. С други думи, вирусът се цели най-вече в критичните инфраструктури.
Talos все още не е изследвала напълно вируса и към момента не предлага начин за неговото неутрализиране. Теоретично, VPNFilter може да блокира достъпа до интернет на стотици хиляди потребители.
Вирусът съдържа известно количество код, който се припокрива с кода на злонамерените програми, използвани в кампаниите BlackEnergy. Най-общо, VPNFilter има модулна структура с множество компоненти и е способен да присъства устойчиво в заразения рутер.
Нещо повече, вирусът „оживява“ дори след рестартиране на рутера, за разлика от много други подобни програми. Все пак VPNFilter може да бъде изтрит, като устройството се „нулира“ до заводските настройки, след което потребителят трябва да обнови фърмуера, да смени паролата и да ограничи протоколите за отдалечено управление.
Кампанията по разпространение на VPNFilter е започнала още през 2016 г. Начините за заразяване не са известни, но се предполага, че на първо място жертви на вируса стават устройства, които отдавна не са обновявани и съдържат редица незатворени уязвимости. На сайта на Talos е публикуван и списък със засегнатите устройства от различни производители.
Междувременно BBC съобщи, позовавайки се на разследване на ФБР, че зад мащабната атака стои руска хакерска група. С това се обяснява и широкото проникване на заразата в компютърните мрежи в Украйна.
3 коментара
Вируса оживява след рестартиране хахахаха, защо направо не написахте че възкръсва? Няма такива работи. Програмката е създадена на три етапа и първия етап който не може да бъде изтрит с рестарт търси домейн който е вече конфискуван от ФБР и за това първия етап вече е неспособен да действа.
да бе, пак Русия, кой ще иска да заразява рутерите на гола и боса, безпарична нация като украинската…най-вероятно просто понеже са в конфликт с руснаците те винаги го отнасят както и миналата година пак имаше вирус най-разпространен в Украйна и пак набедиха злите руси… аз като работещ в тази сфрера мога да кажа че е много трудно да посочиш кой е виновника освен ако не го хванещ в ход…