Нова кібератака на Україну: що таке вірус VPNFilter і як з ним боротися

23 травня американський розробник мережевого устаткування компанія Cisco попередила про більш ніж 500 тисячах заражених роутерів і маршрутизаторів. Як повідомляє компанія, вірус VPNFilter був виявлений в 54 країнах, однак основна мета хакерів - Україна. Таких висновків дійшли фахівці Cisco після "сплеску" кібератак в Україні 8 травня. Cisco має також свою кіберрозвідку - Cisco Talos, де впевнені, що за кібератакою стоїть російський уряд.

Після публікації інформації уряд США повідомив, що він буде боротися з хакерами, які захопили контроль над сотнею тисяч заражених маршрутизаторів і пристрої зберігання. Для цього Федеральний суд в Пенсільванії дав дозвіл ФБР зламати домен в Інтернеті, через який, за підозрою влади США, хакери керують зараженими пристроями.

Якщо домен дійсно є інструментом хакерів з контролю над пристроями жертв кібератаки, то після злому вдасться відстежити всі заражені пристрої.

Поки що вірус не перебуває в активній стадії, щоб його помітити. Швидше за все, його активують до певної значущої дати для країни. Кіберполіція раніше вважала, що такою датою стане субота, 26 травня, коли почався футбольний фінал Ліги чемпіонів. Однак розслаблятися не варто - попереду ще кілька важливих для країни дат.

Чому така назва: "VPNFilter"? Справа в тому, що вірусу потрібно замаскувати свої файли. VPN сервіси - одні з найпоширеніших програм серед користувачів. Тому папка на пристрої з подібною назвою не у всіх викликає підозру. Користувач просто подумає, що це чергова системна папка і не стане в неї заглядати.

Буде як з вірусом Petya.A?

Влітку 2017 року по всьому світу почалася масова атака вірусу-здирника Petya.A, которий шифрував дані комп'ютерів своїх жертв 

Ні, на цей раз вірус під назвою VPNFilter заражає роутери і маршрутизатори, через які отримує доступ до всієї підключеної до каналу техніки. Це кібератака Інтернету речей, тобто всіх пристроїв, які підключаються до мережі і взаємодіють один з одним без втручання людини.

Якщо у вас є розумний холодильник, який підключений до зараженого роутера, то цілком можливо, що хакери зможуть його відключити або змінити його налаштування. Наслідки від цього не найприємніші, але набагато страшніше, якщо хакери отримають доступ до об'єктів критичної інфраструктури і життєво важливих об'єктів, які давно автоматизовані. Наприклад, при контролі енергетичного сектора хакери зможуть відключити світло у всьому місті.

Як він працює?

Вірус VPNFilter вміє самознищуватися, тим самим виводячи з ладу контрольовану техніку. Крім цього, вірус може довго бути непомітно присутній на пристрої для збору інформації.
Вірус складається з трьох етапів розвитку. Перший етап VPNFilter забезпечує стабільність програми. Тобто вірус здатний "вижити" після перезавантаження, на відміну від подібних вірусів для Інтернету речей.

На другому етапі вірус збирає метадані, виконує команди, фільтрує дані. На цій стадії хакери через програму можуть управляти пристроями. Деякі версії вірусу VPNFilter вміють самознищуватися, переписуючи прошивку пристрою. Після перезавантаження "перепрошитого" вірусом техніка виходить з ладу.

Третій етап шкідливого ПЗ діє як додаток для другого етапу. Фахівці Cisco Talos поки що виявили два модулі до вірусу: програма починає працювати як "сніффер" - перехоплювач всього мережевого трафіку (від паролів до даних SCADA Modbus, який використовується на автоматичних пристроях). Або ж підключається до сервера зловмисників через службу анонімного браузера Tor.

На думку фахівців, це шкідливе ПЗ використовується для створення розширеної, важкодоступної інфраструктури з контролю над важливими для життя держави секторами.

У блозі Talos Cisco можна ознайомитися з детально технічною характеристикою вірусу

Хто знаходиться під загрозою?

На даний момент зафіксовано зараження цих моделей пристроїв:

• Linksys Devices: E1200, E2500, WRVS4400N;
• Mikrotik RouterOS (Всі версіі ї,  нижчі 6.42.1)
• Netgear Devices: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
• QNAP Devices: TS251, TS439 Pro, Other QNAP NAS devices running QTS software;
• TP-Link Devices R600VPN.

Однак, навіть якщо марки вашого пристрою в списку немає, якщо він не було захищене надійним паролем, то ризик зараження залишається дуже високим.

Як захиститися?

Захист від цього вірусу надзвичайно складний через властивість  пристроїв піддаватися атаці . Більшість з них підключені безпосередньо до Інтернету, без будь-яких пристроїв безпеки або антивірусів.

Якщо ви підозрюєте, що ваш пристрій було заражено, то обнуліть його налаштування до заводських. Для цього на корпусі самого пристрою є кнопка "reset". Після перезавантаження необхідно налаштувати роутер, а для безпеки поставити на нього пароль. За порадою кіберполіції України, також допоможе установка нової версії ПЗ на роутер, оскільки деякі виробників обладнання вже випустили ПЗ, яке бореться з вірусом.

У роутера є своє меню. Щоб зайти в меню підключеного роутера в адресному рядку браузера, слід набрати 192.168.0.1. або 192.168.1.1. (В залежності від моделі роутера).

Якщо роутер запросить пароль після скидання налаштувань, то його можна також побачити на нижній кришці корпусу пристрою. Після того, як ви зайшли в меню, обов'язково поміняйте стандартний заводській пароль та ім'я користувача.

Можна також дозволити доступ в меню роутера тільки для одного пристрою з тією чи іншою IP. З будь-якого питання зв'язуйтеся зі службою підтримки компанії, чиє обладнання ви використовуєте, а також з провайдером, який надає інтернет-послуги.

Хто атакує?

Такий логотип для своєї команди використали хакери Fancy Bear (вони ж АРТ28 і Sofacy) для сайту, присвяченому злому Антидопінгового олімпійського комітету

Компанія Cisco і уряд США пов'язують кібератаку з хакерським угрупованням Sofacy. Хакери також відомі і під іншими іменами: "Fancy Bears", "APT28", "Tsar Team". Назва команди різняться через різні інструментів, які хакери використовують під час атак. Sofacy працюють з 2008 року.

Хакери з групи Sofacy в основному атакують сектора оборони, енергії, уряду, засоби масової інформації США і європейських країн. Список атак команди зазвичай збігається зі списком інтересів уряду Російської Федерації, через що був зроблений висновок про належність хакерів до Головного розвідувального управління Росії (ГРУ).

У хакерів є власні розробки (XAgent, X-Tunnel, WinIDS, Foozer і DownRange), які вражають операційну систему Windows і деякі мобільні системи. Sofacy відома тим, що реєструє домени, які дуже схожі на домени існуючих організацій, щоб виманити паролі і логіни (фішинг). Саме це сталося в 2016 році, коли один з членів Демократичної партії США спробував зайти на електронну пошту. Замість цього користувач заповнив форму сайту-фальшивки. В результаті помилки хакери отримали доступ до поштового сервера партії. Sofacy також пов'язують з атаками на німецький бундестаг і телевізійну станцію TV5 Monde Франції в 2015 році.