Накануне финала Лиги Чемпионов появились сообщения о новой кибератаке, готовящейся против Украины. СБУ предполагает, что целью является дестабилизация во время финала чемпионата.

В СБУ говорят о "российском следе". И это не первая кибератака со стороны северного соседа. Ровно год назад Украина оказалась по ударом вируса Petya.A. В этот раз хакеры используют совершенно иными методы атаки.

НВ выяснило, что происходит, кого затронет атака и как защититься от нее.

Что говорят?

О готовящейся кибератаке заявили уже несколько источников, в частности, сообщения поступали и от СБУ, и Киберполиции.

Первоисточником стала публикация в блоге Cisco Talos. Компания сообщает, что в течение нескольких последних месяцев занималась исследованием сложного вредоносного ПО, которому дали название VPNFilter. Однако последние сведения вынудили раскрыть информацию до завершения исследования, чтобы у возможных жертв была возможность принять меры.

Вредоносное ПО похоже на BlackEnergy — вирус, который отвечал за многочисленные широкомасштабные атаки в том числе на энергосистему и государственные органы Украины в 2015-2016 годах.

«Зараженные в Украине устройства находятся на стадии 2 управления злоумышленниками. То есть на них установлены модуль перехвата трафика (сетевая разведка, перехват нешифрованных данных авторизации, данные АСУТП по протоколу MOFBUS) и модуль сетевого сканирования (TCP-сканы по портам 23, 80, 2000 и 8080 — то есть поиск в сети устройств Mikrotik и QNAP NAS в качестве новых объектов атаки). Особенностью VPNFilter является вероятная нацеленность на системы АСУТП, на это указывают совпадающие фрагменты кода VPNFilter и BlackEnergy. Загрузка дополнительных модулей идет по протоколам TOR и SSL», — разъясняет Владимир Кург, R&D-директор «ИТ-Интегратор» в публикации на странице компании в Facebook.

Кто-то уже пострадал?

По данным отчета, состоянием на момент его публикации заражению подверглось не менее 500 000 устройств в 54 странах, но по большей части это Украина.

Киберполиция сообщает, что уже сотрудничает с Cisco Talos для противодействия атаке. Под угрозой находятся устройства, которые имеют реальный IP-адрес и старую прошивку. Кроме того, это роутеры, на которых используется логин и пароль по умолчанию.

На сайте органа говорится, что атаке подвержено следующее оборудование:

• Linksys: E1200, E2500, WRVS4400N;
• Mikrotik RouterOS (все версии ниже 6.42.1);
• Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
• QNAP: TS251, TS439 Pro, другие QNAP NAS устройства с QTS;
• TP-Link: R600VPN.

В публикации Cisco Talos сообщается, что другие поставщики, включая Cisco, не были замечены как зараженные вредоносным ПО. Однако это не финальный результат, исследования продолжаются. В блоге говорится, атака может привести к отключению доступа в интернет для сотен тысяч устройств.

Кто стоит за атакой?

В СБУ предполагают, что источником атаки являются хакеры из Российской Федерации, а их целью — дестабилизация ситуации в стране в период финала Лиги Чемпионов.

«Выводы криминалистического исследования показывают, что вирусное программное обеспечение VPNFilter позволяет злоумышленникам перехватывать весь трафик, проходящий через пораженное устройство (включая данные авторизации и персональные данные платежных систем), собирать и выгружать информацию, удаленно управлять инфицированным устройством и даже выводить его из строя. […]

[…] Специалисты СБУ считают, что инфицирование оборудования именно на территории Украины — подготовка к очередному акту киберагресии со стороны РФ, направленного на дестабилизацию ситуации во время проведения финала Лиги Чемпионов. Об этом свидетельствует и то, что запланированный механизм кибератаки совпадает с техниками, которые использовались в 2015-2016 годах в ходе кибератаки BlackEnergy», — говорится в сообщении на сайте структуры.

Как защититься?

В Cisco говорят, что оборудование, которое подверглось заражению, достаточно сложно защитить и они не уверены, что советы будут универсальны и действенны для всех. Подробная инструкция по защите оборудования для специалистов есть в оригинальной публикации.

Рекомендации по защите от Киберполиции:

• пользователям и владельцам домашних роутеров, беспроводных маршрутизаторов малых офисов и сетевых файловых хранилищ необходимо безотлагательно осуществить RESET к заводским настройкам (нужно сделать именно сброс настроек, а не перезагрузка), с целью удаления потенциально опасных вредоносных программных модулей из памяти устройств;
• если есть основания считать любое устройство в локальной сети пораженным указанным видом вредоносного ПО, безотлагательно обновить его программную прошивку до последней актуальной версии;
• если в операционной системе сетевого устройства является функция доступа к его файловой системы, проверить наличие файлов в директориях "/ var / run / vpnfilterw», «var / run / tor», «var / run / torrc», «var / run / tord »и удалить их содержание.

Рекомендации по защите от ИТ-Интегратор:

Известные по состоянию на вчера URL и адреса серверов управления – заблокируйте их:

Первой стадии:

photobucket[.]com/user/nikkireed11/library, photobucket[.]com/user/kmila302/library, photobucket[.]com/user/lisabraun87/library, photobucket[.]com/user/eva_green1/library, photobucket[.]com/user/monicabelci4/library, photobucket[.]com/user/katyperry45/library

photobucket[.]com/user/saragray1/library, photobucket[.]com/user/millerfred/library, photobucket[.]com/user/jeniferaniston1/library,photobucket[.]com/user/amandaseyfried1/library, photobucket[.]com/user/suwe8/library, photobucket[.]com/user/bob7301/library, toknowall[.]com

Второй стадии:

91.121.109[.]209, 217.12.202[.]40, 94.242.222[.]68, 82.118.242[.]124, 46.151.209[.]33, 217.79.179[.]14, 91.214.203[.]144, 95.211.198[.]231, 195.154.180[.]60, 5.149.250[.]54, 91.200.13[.]76, 94.185.80[.]82, 62.210.180[.]229, zuh3vcyskd4gipkm[.]onion/bin32/update.php

Прочие индикаторы компроментации – в записи Talos Blog. Там же – номера правил Snort для этой угрозы.

Информация для пользователей систем защиты Cisco

Cisco обновили в автоматическом режиме индикаторами компроментации VPNFilter базы угроз следующих продуктов Advanced Malware Protection (AMP), Cloud Web Security (CWS), Network Security, ThreatGrid, Umbrella, and Web Security Appliance (WSA) и StealthWatch

ВНИМАНИЕ: для StealthWatch нужно доп. конфигурирование, инструкция по настройке обнаружения VPNFilter C2 трафика – по той же ссылке Talos Blog.

Меры защиты для SOHO-пользователей и интернет-провайдеров, предоставивших пользователям в аренду уязвимые устройства:

• зафиксировать/записать текущую сетевую конфигурацию устройства;
• сбросить конфигурацию в factory defaults и перезагрузить устройство;
• восстановить сетевую конфигурацию по п.;
• установить последние обновления от производителя.

Источник: nv.ua