VPNFilter - novi malver sa destruktivnim osobinama
Za razliku od većinje IoT pretnji, ovaj malver ostaje i nakon restartovanja.
Nova pretnja koja napada veći broj rutera i NAS uređaja može trajno da onesposobi zaražene uređaje. Malver koji je poznat pod nazivom VPNFilter se razlikuje od većine IoT malvera po tome što ostaje na zaraženom uređaju čak i nakon restartovanja. Takođe, ovaj malver špijunira saobraćaj koji prolazi kroz uređaj. Njegovi autori su izgleda najviše zainteresovani za SCADA industrijske kontrolne sisteme, jer su napravili modul namenjen baš za presretanje Modbus SCADA komunikacije.
Poslednjih nedelja aktivnosti hakerske grupe koja stoji iza VPNFilter malvera su se pojačale, a od posebnog interesovanja su im mete u Ukrajini. Za razliku od IoT pretnji poput Mirai botneta, ovaj malver ne pokušava da zarazi sve ranjive uređaje, već samo ciljane.
Do sada je poznato da VPNFilter može da zarazi rutere proizvođača Linksys, MikroTik, Netgear i TP-Link, kao i QNAP NAS uređaje. Kompletna lista uređaja uključuje sledeće modele: Linksys E1200, Linksys E2500, Linksys WRVS4400N, Mikrotik RouterOS za Cloud Core rutere: verzije 1016, 1036 i 1072, Netgear DGN2200, Netgear R6400, Netgear R7000, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro, ostali QNAP NAS uređaji koji imaju QTS softver, TP-Link R600VPN.
VPNFilter ima 3 faze
VPNFilter uspeva da zarazi pomenute uređaje tako što eksploatiše default kredencijale, posebno kod starijih verzija. U pitanju je malver koji ima više faza. U prvoj fazi malver osigurava trajno prisustvo na zaraženom uređaju i kontaktira C&C server radi preuzimanja narednih modula. U drugoj fazi isporučuje se glavni payload koji ima sposobnost da prikuplja fajlove, izvršava komande, izvlači podatke i upravlja uređajem. Takođe, ima i destruktivne osobine i može trajno da onesposobi uređaj (eng. bricking) ukoliko dobije takvu komandu. Trajno onesposobljavanje uređaja ovaj malver radi tako što prepravlja firmware i restartuje uređaj, nakon čega on postaje neupotrebljiv.
U trećoj fazi postoji više modula koji se ponašaju kao pluginovi za drugu fazu. To uključuje packet sniffer za špijuniranje saobraćaja koji prolazi kroz uređaj, a to znači i krađu website kredencijala i praćenje Modbus SCADA protokola. Još jedan modul treće faze omogućava da se u fazi 2 komunikacija obavlja preko Tora.
Korisnicima čiji su uređaji inficirani se preporučuje da odmah urade restart. To će ukloniti sve prisutne komponente faze 2 i 3. To znači da će sve destruktivne komponente VPNFiltera biti uklonjene, barem privremeno. Međutim, faza 1 najverovatnije i dalje ostaje prisutna što znači da napadači mogu da reinstaliraju faze 2 i 3. Zbog toga je potrebno da izvršite najnovije dostupne zakrpe i da se postarate da uređaji ne koriste default kredencijale. Ukoliko malver (faza 1) nije uklonjen ni nakon ovih radnji, potrebno je da uradite tzv. “hard reset“, odnosno da vratite uređaj na fabrička podešavanja. To će ukloniti malver u potpunosti. Na većini uređaja ovo možete uraditi pritiskom i držanjem malog dugmeta za reset dok je uređaj uključen u struju. Nije poznato na koji način napadači žele da iskoriste ove destruktivne mogućnosti malvera. Dva su najverovatnija odgovora: žele da trajno onesposobe veliki broj uređaja ili žele da unište dokaze o napadima.
Symantecovi proizvodi štite svoje korisnike od ove pretnje.
Saveti proizvođača
Netgear savetuje korisnike da, pored najnovijih zakrpa i promene default kredencijala, onesposobe “remote management“ opciju na svom ruteru. Inače, ova opcija je u fabričkim podešavanjima isključena. Ukoliko korisnici žele da budu sigurni da je ova opcija isključena, potrebno je da posete stranicu Netgear Router Login i da se sa admin kredencijalima uloguju, a zatim da izaberu opciju "Advanced" pa "Remote Management". Ukoliko je čekirana kućica pored "Turn Remote Management On", potrebno je otčekirati je i kliknuti "Apply".
Lynksys savetuje korisnike da periodično menjaju lozinke i da vrše redovna ažuriranja softvera. Ukoliko korisnici sumnjaju da su zaraženi, potrebno je da vrate ruter na fabrička podešavanja.
MikroTik navodi da su njihovi uređaji zaraženi zbog ranjivosti u MikroTit RouterOS softveru za koji su zakrpu objavili još u martu 2017. Ažuriranje ovog softvera će izbrisati VPNFilter i sve povezane fajlove.
QNAP je objavio preporuke za neutralisanje VPNFiltera koje sadrže i vodič za uklanjanje bilo koje infekcije pomoću kompanijskih alata za uklanjanje malvera. FBI je takođe uključen u priču i preduzima mere da se VPNFilter onesposobi.
Izvor: Symantec Blog