Целями VPNFilter стало больше устройств, чем первоначально сообщалось
Усовершенствованный ботнет VPNFilter, поразил более 500 тысяч маршрутизаторов и сетевых устройств, заразив больше устройств, чем считалось ранее.
Изначально в отчетах о VPNFilter было выявлено 16 моделей устройств от фирм Linksys, MikroTik, Netgear, TP-Link и QNAP, на которые было нацелено вредоносное ПО. С тех пор исследователи выявили новые модели уязвимых устройств от этих производителей, а также новые устройства от производителей ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.
Теперь список содержит более 50 моделей маршрутизаторов и сетевых устройств и еще не завершен. Например, исследователи обнаружили один образец VPNFilter, созданный для устройств фирмы UPVEL, но они еще не определили точные модели.
Большое разнообразие целей подчеркивает значительный объем работ по разработке и тестированию, которые были направлены на создание этого вредоносного ПО и ботнета. Архитектура домашнего маршрутизатора невероятно разнообразна. Большинство прошивок маршрутизатора основаны на Linux, но есть существенные различия между прошивками разных производителей, а также есть различия между прошивками разных моделей устройств.
В дополнение к учету этих различий при написании вредоносного ПО злоумышленники должны были писать варианты для разных архитектур процессора и разрабатывать эксплойты, которые надежно работали бы для большого количества устройств. Добавьте многоэтапный модульный характер вредоносного ПО и его сложный механизм сохранения, и станет ясно, что эта бот-сеть была построена высококвалифицированной группой хакеров с доступом к большому количеству ресурсов.
Исследователи из Cisco Talos также определили два новых модуля третьей ступени. Один из них может вводить вредоносный код JavaScript в HTTP-трафик, что позволяет злоумышленникам доставлять эксплойты на компьютеры, находящиеся за зараженными маршрутизаторами. Другой обнаруженный модуль можно использовать для очистки файловой системы, чтобы удалить следы вредоносного ПО и сделать устройство не загружаемым.
«Новый модуль позволяет доставлять эксплойты с помощью атаки «человек по середине » (например, они могут перехватывать сетевой трафик и внедрять в него вредоносный код без ведома пользователя)», - заявили исследователи Talos в новом отчете.
Модуль «ssler», который выполняет инъекцию JavaScript, также будет преобразовывать HTTPS-запросы в HTTP, метод, известный как SSL- стриппинг, для получения учетных данных из трафика. Несколько доменов, включены в белый список: www.google.com, twitter.com, www.facebook.com и www.youtube.com. Это сделано, чтобы избежать возникновения ошибок в браузерах.
«Очевидно, что масштабы этой кампании намного больше, чем первоначально предполагалось», - сказал Mounir Hahad, глава лаборатории Juniper Threat Labs в Juniper Networks.