VPNFilter се оказа далеч по-мащабна заплаха
Откритата през предишния месец акция, може да се окаже най-голямата офанзива тази година, засягайки не хиляди, а милиони системи.
В края на май ви съобщихме за откритието на VPNFilter, нов тип опасност, атакуваща главно рутери и NAS устройства. Специалистите от Talos Security сигнализираха, че наранени от офанзивите са главно устройства на Linksys, Mikrotik, Netgear, QNAP и TP-Link.
В обява на Tallos от през вчерашния ден обаче излиза наяве, че това е надалеч по-сложна и огромна акция. Не единствено са наранени рутери на повече компании, само че се оказва, че модули на програмата могат да компрометират крайните точки, които са свързани към мрежовите устройства, да доставят спомагателен злотворен код, да пресичат връзката през порт:80 (през който нормално се свързва браузъра ви към Интернет), да краде данни за регистриране и да извежда от строя засегнатите устройства, заличавайки изцяло следите от офанзивата.
Какво беше известно за VPNFilter до момента?
В истинската обява на Tallos се разказва зловредна акция, която води началото си от 2016 до този миг и се счита, че става въпрос не просто за елементарни хакери, а за такива, свързани с държавни структури. Част от кода се покрива с разрушителни офанзиви към украинските мрежи в последните две години и BlackEnergy, взел участие в офанзивите към енергопреносните мрежи на страната.
Макар и да не са сигурни за съответния първичен вектор на офанзивите, експертите считат, че атакуващата страна си проправя път към устройствата, възползвайки се от към този момент известни уязвимости в тях. Става дума основно за устройства, които употребяват фърмуер на основата на BusyBox и Линукс.
Атаката е многоетапна, включваща три стъпки – първата е устойчива, до момента в който идващите две, които са по-опасни – не. Организаторите на офанзивата употребяват Tor за връзка, което прави тяхното идентифициране по-трудно. Това, което препоръчваха Tallos в началото за справяне с вредите от офанзивите е връщането на устройствата към фабричен настройки и рестартирането им. Това обаче, може би не е панацея.
Нови устройства, резистентност и пробив към крайните точки
Това, което оповестяват експертите от Cisco е, че след изчерпателен разбор са разкрили, че са наранени устройства на още компании, както и други модели на към този момент известни марки. Новите устройства принадлежат на ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.
„Ние също по този начин открихме нов модул, принадлежащ към третия стадий от офанзивата, който инжектира зловредно наличие в уеб трафика, който минава през мрежовото устройство. Този нов модул разрешава доставянето на експлойти към крайните точки чрез MiTM (man-in-the-middle) благоприятни условия. С това ново изобретение, ние може да потвърдим, че опасността надвишава откритите качества на атакуващата страна по отношение на това, което може да направи на самото устройство и се разгръща над мрежите, което то поддържа“, пишат Tallos.
Името на този трети модул е ssler. Той е кадърен да извлича информация и да инжектира JavaScript код в трафика, преминаващ през устройството през порт:80. И несъмнено с изключение на входящият, и изходящият трафик е съответно инспектиран и манипулиран. Освен това, за задачите на извличането на чувствителни данни, като примерно такива за регистриране (потребителско име и парола), всички инстанции на HTTPS поръчки биват обърнати в HTTP, тъй че получената от атакуващата страна информация да не идва при тях криптирана, а в открит тип.
Другият новооткрит модул -dstr – също съставлява огромна заплаха, само че задачата му е друга. Вместо шпионаж, задачата му е опустошение. Той изтрива всички файлове на инфектираното устройство, които дават отговор за естествения му старт и действие, както и всички файлове и папки, свързани със зловредната стратегия, заличавайки сполучливо всевъзможни следи от офанзивата.
Tallos разгласява и цялостният лист със наранени устройства и модели, както и известните им знаци на компрометиране и адреси на контролните сървъри.
В края на май ви съобщихме за откритието на VPNFilter, нов тип опасност, атакуваща главно рутери и NAS устройства. Специалистите от Talos Security сигнализираха, че наранени от офанзивите са главно устройства на Linksys, Mikrotik, Netgear, QNAP и TP-Link.
В обява на Tallos от през вчерашния ден обаче излиза наяве, че това е надалеч по-сложна и огромна акция. Не единствено са наранени рутери на повече компании, само че се оказва, че модули на програмата могат да компрометират крайните точки, които са свързани към мрежовите устройства, да доставят спомагателен злотворен код, да пресичат връзката през порт:80 (през който нормално се свързва браузъра ви към Интернет), да краде данни за регистриране и да извежда от строя засегнатите устройства, заличавайки изцяло следите от офанзивата.
Какво беше известно за VPNFilter до момента?
В истинската обява на Tallos се разказва зловредна акция, която води началото си от 2016 до този миг и се счита, че става въпрос не просто за елементарни хакери, а за такива, свързани с държавни структури. Част от кода се покрива с разрушителни офанзиви към украинските мрежи в последните две години и BlackEnergy, взел участие в офанзивите към енергопреносните мрежи на страната.
Макар и да не са сигурни за съответния първичен вектор на офанзивите, експертите считат, че атакуващата страна си проправя път към устройствата, възползвайки се от към този момент известни уязвимости в тях. Става дума основно за устройства, които употребяват фърмуер на основата на BusyBox и Линукс.
Атаката е многоетапна, включваща три стъпки – първата е устойчива, до момента в който идващите две, които са по-опасни – не. Организаторите на офанзивата употребяват Tor за връзка, което прави тяхното идентифициране по-трудно. Това, което препоръчваха Tallos в началото за справяне с вредите от офанзивите е връщането на устройствата към фабричен настройки и рестартирането им. Това обаче, може би не е панацея.
Нови устройства, резистентност и пробив към крайните точки
Това, което оповестяват експертите от Cisco е, че след изчерпателен разбор са разкрили, че са наранени устройства на още компании, както и други модели на към този момент известни марки. Новите устройства принадлежат на ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.
„Ние също по този начин открихме нов модул, принадлежащ към третия стадий от офанзивата, който инжектира зловредно наличие в уеб трафика, който минава през мрежовото устройство. Този нов модул разрешава доставянето на експлойти към крайните точки чрез MiTM (man-in-the-middle) благоприятни условия. С това ново изобретение, ние може да потвърдим, че опасността надвишава откритите качества на атакуващата страна по отношение на това, което може да направи на самото устройство и се разгръща над мрежите, което то поддържа“, пишат Tallos.
Името на този трети модул е ssler. Той е кадърен да извлича информация и да инжектира JavaScript код в трафика, преминаващ през устройството през порт:80. И несъмнено с изключение на входящият, и изходящият трафик е съответно инспектиран и манипулиран. Освен това, за задачите на извличането на чувствителни данни, като примерно такива за регистриране (потребителско име и парола), всички инстанции на HTTPS поръчки биват обърнати в HTTP, тъй че получената от атакуващата страна информация да не идва при тях криптирана, а в открит тип.
Другият новооткрит модул -dstr – също съставлява огромна заплаха, само че задачата му е друга. Вместо шпионаж, задачата му е опустошение. Той изтрива всички файлове на инфектираното устройство, които дават отговор за естествения му старт и действие, както и всички файлове и папки, свързани със зловредната стратегия, заличавайки сполучливо всевъзможни следи от офанзивата.
Tallos разгласява и цялостният лист със наранени устройства и модели, както и известните им знаци на компрометиране и адреси на контролните сървъри.
Източник: kaldata.com
КОМЕНТАРИ