Choosen работи с правоприлагащите органи и партньори за разузнаване на заплахи от публичния и частния сектор в продължение на няколко месеца, за да разследва широко разпространеното използване на сложна модулна злонамерена програма от страна на спонсориран или свързан с държавата актьор, който ние обадете се на “VPNFilter.” Въпреки че не сме завършили нашето проучване, последните събития убедиха Choosen, че е подходящият момент да споделим нашите открития със засегнатите страни, така че те да могат да предприемат подходящи действия, за да се защитят. Този зловреден код е подобен на зловреден софтуер BlackEnergy, който е отговорен за мащабни атаки срещу устройства в Украйна. Въпреки че това не е окончателно, ние също открихме VPNFilter, който може да бъде разрушителен зловреден софтуер, заразяващ украински хостове с тревожни темпове. Използваше C2 инфраструктура за командване и контрол. Имайки предвид тези фактори, решихме да публикуваме нашите открития, преди да завършим нашето изследване. Може да имаме някои отговори, така че ранното публикуване означава, че ни трябва повече време, за да сме готови за печат. Този сайт съдържа нашите текущи открития. Ще продължим нашето проучване и ще актуализираме този сайт, ако е необходимо.

Тази операция е едновременно обширна и способна. Въз основа на нашите партньорства ние изчисляваме, че има най-малко 500 000 заразени устройства в поне 54 държави. Linksys и MikroTik са известни заразени устройства. Мрежовото оборудване NETGEAR, TP-Link и NETGEAR също е засегнато. QNAP мрежови устройства за съхранение (NAS) също са засегнати. VPNFilter не е открит в други доставчици, като Cisco. Нашите проучвания обаче продължават. Поведението на този злонамерен софтуер върху мрежовото оборудване е особено тревожно, тъй като позволява кражба на идентификационни данни на уебсайтове и наблюдение на Modbus SCADA протоколи. Зловреден софтуер може също да бъде разрушителен и да направи заразените устройства неизползваеми. Може да се активира върху отделни жертви или масово. Това може да доведе до прекъсване на достъпа до интернет за стотици хиляди по целия свят.

Този актьор е насочен към устройства, които са трудни за защита. Те често се намират по периметъра на мрежа без система за защита от проникване. Те също така нямат базирана на хост система за защита като антивирусна (AV). Въпреки че все още определяме конкретния експлойт, използван във всеки случай, повечето целеви устройства, особено по-старите версии, имат или известни публични експлойти, или идентификационни данни по подразбиране, което прави компромиса лесен. Това допринесе за скромното увеличение на тази заплаха от по-голямата част на 2016 г.

Тази публикация съдържа техническите открития, които бихте очаквали в избран. Ние също така ще обсъдим някои от търговските умения зад заплахата, като използваме нашите резултати и основната информация на нашите анализатори, за да ви помогнем да разберете мисловния процес и възможните решения, взети от актьора. Ще обсъдим и начини за защита срещу тази заплаха и справяне със заразените устройства. Ще споделим и това, което знаем за МОК, които сме видели, но вярваме, че може да има още.

Кратка техническа разбивка

Зловреден софтуер, известен като VPNFilter, е многоетапна, модулна платформа, която може да се използва за разрушителни операции при кибератаки и събиране на информация.

Злонамереният софтуер от Етап 1 може да продължи да съществува чрез рестартиране, което го прави различен от другия зловреден софтуер, който е насочен към устройства с интернет на нещата. Зловреден софтуер обикновено не оцелява след рестартиране. Основната цел на Етап 1 е да установи постоянна опора, която ще позволи внедряването на зловреден софтуер от Етап 2. В Етап 1 се използват множество излишни механизми за командване и контрол (C2). Това позволява на злонамерения софтуер да идентифицира IP адреса на сървъра за разгръщане на Етап 2. Това го прави много устойчив и може да се справи с непредвидими промени в C2 инфраструктурата.

Събирането на файлове, изпълнението на команди, ексфилтрирането на данни и управлението на устройствата са типични за платформа за събиране на разузнавателна информация, но Етап 2 на злонамерения софтуер не продължава да съществува при рестартиране. Някои версии на етап 2 имат способност за самоунищожение, която презаписва критични части от фърмуера на устройството, рестартира го и го прави неработещо. Актьорът познава добре тези устройства и че някои версии от етап 2 могат да внедрят командата за самоунищожение на всички устройства, които контролира.

Налични са и множество модули от етап 3, които могат да се използват като добавки към зловреден софтуер от етап 2. Тези плъгини дават допълнителна функционалност на местоположение 2. Днес сме запознати с два плъгин модула: снифър за пакети за събиране на трафик през устройството и наблюдение на Modbus SCADA протоколи. Комуникационен модул позволява на етап 2 и етап 3 да комуникират през Tor. Въпреки че вярваме, че има много други плъгин модули, все още не сме ги открили.

Дискусия за търговията

Този зловреден софтуер може да се използва за изграждане на сложна инфраструктура, която може да обслужва множество оперативни нужди на заплахата. Това е много вероятно. Заразените устройства могат да се използват за извършване на злонамерена дейност. Плъгините и етапите на злонамерения софтуер са много гъвкави, позволявайки на актьора да използва устройствата по много начини.

Напредналите участници в заплахите, които включват национални държави, ще се опитат да скрият самоличността на киберпрестъпниците. Усъвършенстваните участници в заплахите използват множество методи, за да постигнат това, включително използване на инфраструктура, притежавана от друго лице, за да извършват своите операции. За да скрие техния произход, актьорът може да използва заразени устройства като точки за прескачане, за да се свърже с последната си жертва.

Можете също да използвате зловреден софтуер, за да откраднете данни от вашето устройство. Това може да се използва за събиране на данни или оценка на потенциалната стойност на мрежата. Да предположим, че се счита, че мрежата има информация, която може да загрижи за заплахата. В този случай те могат да изберат да продължат да събират съдържание чрез устройството или да се разпространят към свързаната мрежа за събиране на данни. Все още не сме успели да получим приставка от трети етап, за да използваме допълнително мрежата, обслужвана от устройството към момента на това публикуване. Имаме доказателства, че той съществува и изглежда много вероятно този напреднал актьор да може да използва модулен зловреден софтуер.

Този злонамерен софтуер може също така да стартира масивна разрушителна атака, използвайки „командата kill“. Това би направило някои или всички заразени устройства неизползваеми. Тази команда може да бъде намерена в много примери от етап 2, но може също така да задейства “exec”, наличен във всички примери за местоположение 2. Това действие обикновено е невъзстановимо за повечето жертви. Това изисква техническо ноу-хау или инструменти, които не се очакват от потребителите. Тази възможност е сериозно безпокойство и ние тихомълком я проучвахме през последните месеци.

Относно наблюдаваните дейности

Проучвахме тази заплаха и въведохме наблюдение и сканиране, за да разберем обхвата на заплахата и поведението на заразените устройства. Това е глобално докладвана заплаха, която разширява обхвата си. Проучването ни продължава, но открихме и дейност, която може да бъде свързана с този актьор. Тази дейност може да показва дейност по кражба на данни.

Наблюдавахме заразени устройства, изпълняващи TCP сканиране на портове 23 до 80, 2000 и 8080 през май. Тези портове показват, че се наблюдават допълнителни устройства Mikrotik или QNAP. Тези сканирания са извършени на машини, разположени в над 100 държави.

Нашата телеметрия също беше използвана за идентифициране на потенциално заразени устройства по целия свят. За да определим допълнителни характеристики на C2 инфраструктурата, ние оценихме тяхното колективно поведение. Много от IP адресите на жертвите показаха поведение, което силно предполага кражба на данни.