Вирусът “VPNfilter” е хакерско ножче от швейцарската армия.

Според изследователите на CISCO TALOS VPN филтърът, зловредният софтуер, който накара Федералното бюро за разследване да посъветва потребителите да нулират интернет рутерите си, е имал значително по-голям удар, отколкото се смяташе досега. Макар че изследователите веднъж бяха открили, че зловредният софтуер е изграден с още няколко атакуващи модула, които биха могли да бъдат разположени на заразените маршрутизатори, разследването разкри седем допълнителни модула, които биха могли да бъдат използвани за експлоатиране на мрежите, към които са били свързани маршрутизаторите, кражба на данни и създаване на подземна мрежа за командване и контрол на бъдещи атаки. Изглежда, че зловредният софтуер е бил насочен главно към Украйна по повод годишнината от атаката на NotPetya. Все пак VPNfilter е бил проектиран да бъде използван като дългосрочна платформа за експлоатация на мрежи и атаки.

Въпреки че откриването на зловредния софтуер може да е осуетило основната цел на нападателите, VPNfilter все още засяга хиляди рутери по света, включително уязвими рутери Mikrotik, към които нападателите са се насочили агресивно. Това ново проучване подчертава заплахата, която представлява нарастващият брой уязвими и често неподправени интернет и безжични маршрутизатори, както и други устройства от типа “интернет на нещата”.

VPN филтърът е бил открит на половин милион рутера в 54 държави, като компонентите на кода го свързват с APT 28 (известна също като “Fancy Bear”). Според експертите на Cisco Talos зловредният софтуер засяга устройства на Linksys, Mikrotik, Netgear и TP-Link, както и мрежови устройства за съхранение QNAP. Според Крейг Уилямс, директор на Talos, зловредният софтуер се е насочил към известни уязвимости в непоправени продукти, като е обърнал специално внимание на протокола за отдалечено конфигуриране на устройствата Mikrotik.

Поради фокуса върху Mikrotik Talos е пуснала Winbox Protocol Dissector. Този инструмент може да се използва за търсене на злонамерена дейност в маршрутизатори Mikrotik, които използват протокола Winbox. VPN филтърът се възползва от предимствата на Winbox, базиран на Windows клиент за администриране на Mikrotik. Според Kaspersky зловредният софтуер Cryptomining и Slingshot, друга предполагаема държавно спонсорирана атака със зловреден софтуер, са били насочени към същия протокол.

Първият етап на VPNfilter е създаден така, че да издържа на рестартиране, което е необичайно за зловреден софтуер, насочен към маршрутизатори, който често разчита на код, съхраняван в енергонезависима памет. Първият етап получи интернет адрес от шест целочислени стойности, използвани за GPS географска ширина и дължина в EXIF данните на изображението, като изтегли цифрово изображение от Photobucket или от домейна Toknowall.com (домейн, конфискуван от ФБР). Ако тези два начина не успееха, вирусът преминаваше в режим “слушане”, което позволяваше на нападателите да се свържат и да го конфигурират с втория етап чрез отдалечена връзка.

Вторият етап, който не беше постоянен, служеше като платформа за поставяне на допълнителни модули на заразените маршрутизатори. Той също така имал “превключвател за самоунищожение”, който можел да се използва за подмяна на части от софтуера на рутера и за рестартирането му, като по този начин го направил безполезен. Вторият етап на атаката беше промит чрез изключване на маршрутизаторите, но първият етап остана отворен за връщане на директни връзки от нападателите.

Изследователите вече бяха разкрили два допълнителни модула. Пакетният прихващач прихваща интернет трафика, включително идентификационните данни на уебсайтове и протоколите Modbus SCADA, докато преминава през устройството. За втория се използва анонимизиращата мрежа Tor, която позволява провеждането на тайни разговори. Седемте нови модула, много от които са базирани на съществуващи инструменти с отворен код, значително увеличават броя на потенциалните атаки, които могат да бъдат организирани на компрометирани маршрутизатори.