Нова кібератака на Україну: що таке вірус VPNFilter і як з ним боротися

Анастасія Пашинська
29 травня, 2018 вiвторок
17:10

За даними компанії Cisco, в світі з'явився новий вірус VPNFilter. На цей раз основною метою кібератаки стали роутери українських користувачів

23 травня американський розробник мережевого устаткування компанія Cisco попередила про більш ніж 500 тисячах заражених роутерів і маршрутизаторів. Як повідомляє компанія, вірус VPNFilter був виявлений в 54 країнах, однак основна мета хакерів - Україна. Таких висновків дійшли фахівці Cisco після "сплеску" кібератак в Україні 8 травня. Cisco має також свою кіберрозвідку - Cisco Talos, де впевнені, що за кібератакою стоїть російський уряд.

Після публікації інформації уряд США повідомив, що він буде боротися з хакерами, які захопили контроль над сотнею тисяч заражених маршрутизаторів і пристрої зберігання. Для цього Федеральний суд в Пенсільванії дав дозвіл ФБР зламати домен в Інтернеті, через який, за підозрою влади США, хакери керують зараженими пристроями.

Якщо домен дійсно є інструментом хакерів з контролю над пристроями жертв кібератаки, то після злому вдасться відстежити всі заражені пристрої.

Поки що вірус не перебуває в активній стадії, щоб його помітити. Швидше за все, його активують до певної значущої дати для країни. Кіберполіція раніше вважала, що такою датою стане субота, 26 травня, коли почався футбольний фінал Ліги чемпіонів. Однак розслаблятися не варто - попереду ще кілька важливих для країни дат.

Чому така назва: "VPNFilter"? Справа в тому, що вірусу потрібно замаскувати свої файли. VPN сервіси - одні з найпоширеніших програм серед користувачів. Тому папка на пристрої з подібною назвою не у всіх викликає підозру. Користувач просто подумає, що це чергова системна папка і не стане в неї заглядати.

Буде як з вірусом Petya.A?

null 

Влітку 2017 року по всьому світу почалася масова атака вірусу-здирника Petya.A, которий шифрував дані комп'ютерів своїх жертв 

Ні, на цей раз вірус під назвою VPNFilter заражає роутери і маршрутизатори, через які отримує доступ до всієї підключеної до каналу техніки. Це кібератака Інтернету речей, тобто всіх пристроїв, які підключаються до мережі і взаємодіють один з одним без втручання людини.

Якщо у вас є розумний холодильник, який підключений до зараженого роутера, то цілком можливо, що хакери зможуть його відключити або змінити його налаштування. Наслідки від цього не найприємніші, але набагато страшніше, якщо хакери отримають доступ до об'єктів критичної інфраструктури і життєво важливих об'єктів, які давно автоматизовані. Наприклад, при контролі енергетичного сектора хакери зможуть відключити світло у всьому місті.

Як він працює?

Вірус VPNFilter вміє самознищуватися, тим самим виводячи з ладу контрольовану техніку. Крім цього, вірус може довго бути непомітно присутній на пристрої для збору інформації.
Вірус складається з трьох етапів розвитку. Перший етап VPNFilter забезпечує стабільність програми. Тобто вірус здатний "вижити" після перезавантаження, на відміну від подібних вірусів для Інтернету речей.

На другому етапі вірус збирає метадані, виконує команди, фільтрує дані. На цій стадії хакери через програму можуть управляти пристроями. Деякі версії вірусу VPNFilter вміють самознищуватися, переписуючи прошивку пристрою. Після перезавантаження "перепрошитого" вірусом техніка виходить з ладу.

Третій етап шкідливого ПЗ діє як додаток для другого етапу. Фахівці Cisco Talos поки що виявили два модулі до вірусу: програма починає працювати як "сніффер" - перехоплювач всього мережевого трафіку (від паролів до даних SCADA Modbus, який використовується на автоматичних пристроях). Або ж підключається до сервера зловмисників через службу анонімного браузера Tor.

На думку фахівців, це шкідливе ПЗ використовується для створення розширеної, важкодоступної інфраструктури з контролю над важливими для життя держави секторами.

null

У блозі Talos Cisco можна ознайомитися з детально технічною характеристикою вірусу

Хто знаходиться під загрозою?

На даний момент зафіксовано зараження цих моделей пристроїв:

  • Linksys Devices: E1200, E2500, WRVS4400N;
  • Mikrotik RouterOS (Всі версіі ї,  нижчі 6.42.1)
  • Netgear Devices: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
  • QNAP Devices: TS251, TS439 Pro, Other QNAP NAS devices running QTS software;
  • TP-Link Devices R600VPN.

Однак, навіть якщо марки вашого пристрою в списку немає, якщо він не було захищене надійним паролем, то ризик зараження залишається дуже високим.

Як захиститися?

Захист від цього вірусу надзвичайно складний через властивість  пристроїв піддаватися атаці . Більшість з них підключені безпосередньо до Інтернету, без будь-яких пристроїв безпеки або антивірусів.

Якщо ви підозрюєте, що ваш пристрій було заражено, то обнуліть його налаштування до заводських. Для цього на корпусі самого пристрою є кнопка "reset". Після перезавантаження необхідно налаштувати роутер, а для безпеки поставити на нього пароль. За порадою кіберполіції України, також допоможе установка нової версії ПЗ на роутер, оскільки деякі виробників обладнання вже випустили ПЗ, яке бореться з вірусом.

У роутера є своє меню. Щоб зайти в меню підключеного роутера в адресному рядку браузера, слід набрати 192.168.0.1. або 192.168.1.1. (В залежності від моделі роутера).

Якщо роутер запросить пароль після скидання налаштувань, то його можна також побачити на нижній кришці корпусу пристрою. Після того, як ви зайшли в меню, обов'язково поміняйте стандартний заводській пароль та ім'я користувача.

Можна також дозволити доступ в меню роутера тільки для одного пристрою з тією чи іншою IP. З будь-якого питання зв'язуйтеся зі службою підтримки компанії, чиє обладнання ви використовуєте, а також з провайдером, який надає інтернет-послуги.

Хто атакує?

 null

Такий логотип для своєї команди використали хакери Fancy Bear (вони ж АРТ28 і Sofacy) для сайту, присвяченому злому Антидопінгового олімпійського комітету

Компанія Cisco і уряд США пов'язують кібератаку з хакерським угрупованням Sofacy. Хакери також відомі і під іншими іменами: "Fancy Bears", "APT28", "Tsar Team". Назва команди різняться через різні інструментів, які хакери використовують під час атак. Sofacy працюють з 2008 року.

Хакери з групи Sofacy в основному атакують сектора оборони, енергії, уряду, засоби масової інформації США і європейських країн. Список атак команди зазвичай збігається зі списком інтересів уряду Російської Федерації, через що був зроблений висновок про належність хакерів до Головного розвідувального управління Росії (ГРУ).

У хакерів є власні розробки (XAgent, X-Tunnel, WinIDS, Foozer і DownRange), які вражають операційну систему Windows і деякі мобільні системи. Sofacy відома тим, що реєструє домени, які дуже схожі на домени існуючих організацій, щоб виманити паролі і логіни (фішинг). Саме це сталося в 2016 році, коли один з членів Демократичної партії США спробував зайти на електронну пошту. Замість цього користувач заповнив форму сайту-фальшивки. В результаті помилки хакери отримали доступ до поштового сервера партії. Sofacy також пов'язують з атаками на німецький бундестаг і телевізійну станцію TV5 Monde Франції в 2015 році.

Читайте також:
15 вересня, 2021 середа
Шевченко отримав несподіваний варіант продовження кар'єри
Давид Арахамия
23 вересня, 2021 четвер
Арахамія висловився за виключення з фракції "СН" депутатки Буймістер, яка голосувала проти закону про олігархів
Віктор Ляшко
21 вересня, 2021 вiвторок
Ляшко назвав області, яким загрожує "червона" зона карантину
Київ
+9
  • Київ
  • Львів
  • Вінниця
  • Дніпро
  • Донецьк
  • Житомир
  • Запоріжжя
  • Івано-Франківськ
  • Кропивницкий
  • Луганськ
  • Луцьк
  • Миколаїв
  • Одеса
  • Полтава
  • Рівне
  • Суми
  • Сімферополь
  • Тернопіль
  • Ужгород
  • Харків
  • Херсон
  • Хмельницький
  • Черкаси
  • Чернівці
  • Чернигів
  • USD 26.58
    Купівля 26.58
    Продаж 26.83
  • EUR
    Купівля 31.06
    Продаж 31.46
  • Актуальне
  • Важливе
2021, субота
25 вересня
15:25
Інфографіка
Ентоні Джошуа та Олександр Усик
Усик - Джошуа: букмекери дали прогноз на бій
15:10
Храм Блаженних Мучеників УГКЦ
Костянтин Москалець: Непереможні мученики
15:09
Україна є відправною точкою для майбутнього західного світу, - Кірон Скіннер
14:50
На виборах мера Харкова вже зареєструвалися 6 кандидатів
14:41
Василь Бурба
Бурба офіційно під протокол спростував усі брехливі заяви, якими ОП намагався приховати факт зради, - Бутусов
14:20
Уряд Німеччини знову може очолити жінка
14:00
Путін створив Росію, аби жерти своїх сусідів, - Сенцов
13:46
"Вітер гуляє, холод. І головне, ще й смердить!" Батьки показали, що всередині музичної школи у Рівному
13:23
Скільки було нападників та куль. У МВС розповіли подробиці замаху на Шефіра
13:00
Ілон Маск розлучився зі співачкою Граймс
12:33
Стерненко просить критично ставитися до анонімної експертизи на користь "тітушок" в його справі
12:14
У випадку карантину зарплатня вчителів не скорочується
11:57
Вулиця Лятошинського. Житомир
Вулицю Лятошинського в Житомирі хочуть зробити пішохідною
11:32
Краматорськ святкує 153-ій День міста
11:25
Інфографіка
Ентоні Джошуа та Олександр Усик
Усик - Джошуа: де та коли дивитись найочікуваніший бій року
11:00
Віталій Шишов
Стало відомо, коли поховають Віталія Шишова
10:44
Ексклюзив
Toyota влетіла в загорожу державної резиденції. Є фото й відео
10:18
"Відрубування рук є вкрай необхідним для забезпечення безпеки", - "Талібан"
09:52
В Алмати найманець "ДНР" набрав кредитів й влаштував масове вбивство
09:30
Рятувальники нагадали правила безпечного обігріву помешкань
09:10
Володимир Зеленський
Зеленському посилили кортеж, Нацполіцію перевели на посилений режим, - ЗМІ
09:00
Ексклюзив
Дюна
Культурне розкодування "Дюни": який прадавній сюжет сховано за декораціями?
08:45
коронавірус
Пандемія COVID в Україні: 8 тис. нових заражень, 133 смерті. Запоріжжя вийшло у ТОП-5 коронавірусних регіонів
08:21
Афганські біженці напали на жінку-військову у США
08:14
Ексклюзив
Дмитро Білоцерківець
В Україні відбувається децентралізація витрат, а не доходів, — Білоцерковець
08:01
Інфографіка
Олімпік - Зоря
УПЛ: розклад і результати матчів 9-го туру чемпіонату України з футболу
07:59
Ентоні Джошуа (ліворуч) та Олександр Усик
Усик - Джошуа: онлайн-трансляція бою
07:45
Відкрився Odessa JazzFest. Хто виступатиме сьогодні і завтра
07:20
Піски
На фронті побільшало обстрілів: 14 разів неподалік від 10 міст та селищ
07:00
Ексклюзив
Дмитро Ярош
Дмитро Ярош: Ми зсередини розвалимо Росію
2021, п'ятниця
24 вересня
23:18
Під Києвом зіштовхнулись мікроавтобус та рейсовий автобус, троє людей постраждало
22:57
Партія Шарія
СБУ оголосила підозру одній із керівниць "Партії Шарія"
22:52
Перетинали курси мішеней: російські літаки вдерлися до зони бойових стрільб українських зенітників, грубо порушивши правила польотів
22:48
Ексклюзив
Економіст Гайдай про антиолігархічний закон: Це неефективний спосіб боротися із впливом фінансово-промислових груп
22:34
У Грузії спрогнозували п'яту хвилю захворюваності на COVID-19
22:09
США видали дозволи на певні фінансові операції з "Талібаном"
22:05
Екскерівник розвідки Бурба дав свідчення ТСК у справі "вагнерівців", - нардеп Костенко
21:58
Євген Єнін
Єнін: ФБР бере участь у розслідуванні замаху на Шефіра
21:47
Венеційська комісія
Голова Венеційської комісії попросив Зеленського надати закон про олігархів для оцінки, - ОПУ
21:30
Другий регулятор США рекомендував робити третє щеплення проти коронавірусу: яким групам населення
Більше новин