VPNFilter - malware jest dużo groźniejsze niż podejrzewano

VPNFilter - malware jest dużo groźniejsze niż podejrzewano

Cisco zaktualizowało informacje o odkrytym niedawno zagrożeniu VPNFilter, które infekuje routery i serwery NAS, tworząc sieć botów gotowych do ataku.

Pierwsze doniesienia Cisco dotyczące botnetu stworzonego z setek tysięcy zainfekowanych malware VPNFilter urządzeń pojawiły się w maju i już wtedy były dość przerażające. Ponad 500000 urządzeń mogło zostać wykorzystane do pozyskiwania informacji, zacierania śladów ataków i odłączenia od internetu tysięcy osób. Teraz okazuje się, że VPNFilter jest bardziej rozpowszechniony i niebezpieczny, niż się komukolwiek wydawało. Pierwsze odkrycie mówiło, że działalność malware ogranicza się do urządzeń Linksys, Netgear, TP-Link, MikroTik i QNAP, jednakże najnowsze informacje od Cisco mówią, że urządzenia takich firm jak Asus, D-Link, Huawei, Ubiquiti, UPVEL i ZTE również mogą zostać zainfekowane. Odkrycie to sugeruje, że ofiarami VPNFilter stało się dużo więcej urządzeń, niż początkowo przypuszczano.

Pojawiające się w sieci plotki sugerują, że za VPNFilter stoją Rosjanie, którzy przy pomocy stworzonej sieci botów chcą zaatakować m.in. Ukrainę

Cisco odkryło również nowe zdolności malware: "Odkryliśmy nowy moduł fazy trzeciej, który wstrzykuje podejrzaną zawartość w ruch internetowy, jak tylko dane miną urządzenie sieciowe. Podczas naszego pierwszego ostrzeżenia, nie mieliśmy wszystkich informacji związanych z trzecią fazą działania malware. Zagrożenie posiada możliwość dodawania kodu do strumienia danych bez wiedzy użytkownika". Kolejny z modułów pozwala innym modułom, które nie posiadały wbudowanej komendy "kill", na całkowitą blokadę pracy urządzenia. Cisco informuje, że moduł ten usuwa również wszelkie ślady działalności wirusa, zanim urządzenie stanie się niezdatne do pracy. Oznacza to, że można aktywować malware i nikt po zaprzestaniu jego działalności by się o tym nie dowiedział. Wszystko miało wyglądać, jakby urządzenie "umarło" z przyczyn naturalnych. Poniżej przedstawiamy tabelkę z urządzeniami podatnymi na atak.

Linksys Mikrotik Netgear Qnap TP-Link Asus D-Link Huawei Ubiquity ZTE
E1200 CCR1016 DGN2200 TS251 R600VPN RT-AC66U DES-1210-08P HG8245 NSM2 ZXHN H108N
E2500 CCR1036 R6400 TS439 Pro TL-WR741ND RT-N10 DIR-300   PBE M5  
WRVS4400N CCR1072 R7000   TL-WR841N RT-N10E DIR-300A      
E3000 CCR1009 R8000     RT-N10U DSR-250N      
E3200 CRS109 WNR1000     RT-N56U DSR-500N      
E4200 CRS112 WNR2000     RT-N66U DSR-1000      
RV082 CRS125 DG834       DSR-1000N      
  RB411 DGN1000              
  RB450 DGN3500              
  RB750 FVS318N              
  RB911 MBRN3000              
  RB921 WNR2200              
  RB941 WNR4000              
  RB951 WNDR3700              
  RB952 WNDR4000              
  RB960 WNDR4300              
  RB962 WNDR4300-TN              
  RB1100 UTM50              
  RB1200                
  RB2011                
  RB3011                
  RB Groove                
  RB Omnitik                
  STX5            

Komentarze do: VPNFilter - malware jest dużo groźniejsze niż podejrzewano