Доставчиците на сигурност и оборудване, доставчиците на интернет услуги и държавните служители се борят да намерят и поправят заразените устройства.

Въпреки това, поради несигурния характер на тези IoT потребителски устройства, изложени на публичен интернет, почистването или защитата ще отнеме работа.

VPNFilter е скрита, модулна платформа за атака, съдържаща три етапа на зловреден софтуер. Първият етап установява опора на устройството и за разлика от други ботнет инфекции на Internet of Things, не може да бъде спрян с рестартиране. Вторият етап се занимава с кибер шпионаж, кражба на файлове и данни и функция за самоунищожение. Третият етап съдържа множество модули, включително снифър за пакети за набиране на идентификационни данни на уебсайтове и Modbus SCADA протоколи. Има и опция за анонимизиране на Tor.

Според изследователите на Cisco Talos, VPNFilter може да се използва както за шпиониране, така и за атака на мрежовата инфраструктура на целевата държава. Първоначалната цел е Украйна. Това е мястото, където се намират повечето от заразените IoT устройства. Нападателите са създали подмрежа, която е насочена към тази нация с нейния командно-контролен сървър.

Според Крейг Уилямс (старши изследовател на заплахите и глобален мениджър за популяризиране в Cisco Talos), злонамереният софтуер също съдържа „точно копие на Black Energy“. Черната енергия беше използвана за спиране на осветлението в Западна Украйна през 2015 г. Смяташе се, че тази атака е дело на Русия.

Гръбнакът на VPNFilter в момента се състои от устройства Linksys, MikroTik и NETGEAR. QNAP мрежови устройства за съхранение (NAS) също са заразени.

Cisco не посочи руски държавно спонсорирани хакери зад VPNFilter, но не ги изключи, особено с връзката BlackEnergy и специфичните за Украйна мрежи за атака. Уилямс твърди, че наблюдаваното от нас припокриване на кода е точно копие на оригинала, дори с грешка. Със сигурност може да е фалшив флаг [насочен към Русия]. Когато добавите този [зловреден софтуер] към други фактори, той може да се насочи към Украйна с разрушителен зловреден софтуер… Ние сме уверени, че те не действат в най-добрия интерес на Украйна.

SBU, службата за сигурност на Украйна, призова Русия за заплахата и предупреди, че може да има атака срещу инфраструктурата на страната по време на финала на Шампионската лига на УЕФА в Киев. „Експерти от Службата за сигурност смятат, че проникването на оборудване на украинска територия е подготовка за друг акт на Руската федерация за дестабилизиране на ситуацията по време на финала на Шампионската лига“, се казва в изявление на СБУ, публикувано от Ройтерс.

Мрежа „без приписване“

Уилямс от Cisco описва VPNFilter почти като VPN тунел, който може да се използва за атаки от нападатели.

VPNFilter позволява на нападателите да останат анонимни, тъй като използва заразени SOHO и домашни устройства като свои оръжия. Жертвите действат като несъзнаващи участници. Уилямс казва, че това е модулна мрежа с приписвания, която може да атакува други мрежи, без да ги обвинява (нападателите).“ Ето как една национална държава атакува друга национална държава, без да носи отговорност.

Въпреки че Украйна изглежда е първата цел, VPNFilter може да зарази устройства в 54 държави, включително САЩ, и може да се използва срещу всяка държава, заявява той. Вграденият модул за самоунищожение изтрива фърмуера на устройството, правейки го неработещо. Това може да извади както потребителите, така и компаниите офлайн.

Cisco за първи път откри заразени устройства през май, сканирайки портове 23, 80 и 2000. Тези портове обикновено са свързани със системи QNAP NAS и Mitrotik. На 8 май, когато нивата на инфекция на VPNFilter скочиха, предимно в Украйна, нещата се влошиха. Те също се повишиха отново на 17 май. Cisco направи публично достояние констатациите си, преди да разбере напълно заразените и експлоатирани уязвимости.

За да предупреди клиентите и да заключи техните устройства, компанията работи в тясно сътрудничество със засегнатите доставчици и други членове на Cyber Threat Alliance. Той също така блокира домейни, свързани с инфраструктурата на атакуващия за своите клиенти.

“Атакуващите могат да освободят друга NotPetya… DDoS атака, буквално всяка. Уилямс заявява, че те са ограничени само от своята креативност.

Какво да правя

 Зловреден софтуер от етап 2 и 3 трябва да бъде премахнат от заразените устройства възможно най-скоро. Тази временна корекция е само за момента, тъй като постоянният злонамерен софтуер от първи етап не може да бъде премахнат с рестартиране. Нападателите може да се върнат, за да заразят устройството отново и да го преинсталират. Symantec препоръчва устройствата да се актуализират с най-новите кръпки. Идентификационните данни по подразбиране на машините също трябва да бъдат променени на твърди идентификационни данни,

Постъпват актуализации от различни доставчици на оборудване. Netgear посъветва потребителите да деактивират дистанционното управление и актуализациите на фърмуера, както и нулирането на пароли.
Уилямс каза, че кампанията VPNFilter го е уловила „надяваме се“ навреме. Той казва, че интернет доставчиците, малките и средни предприятия и големите компании с тези устройства ще бъдат отговорни за корекцията и защитата на IoT устройства.

Cisco поиска от интернет доставчиците да работят агресивно с клиентите, за да заправят и актуализират рутерите и да им помогнат да ги рестартират.

Мунир Хахад е ръководител на Juniper ThreatLabs в Juniper Networks. Той препоръчва всички домашни рутери да бъдат нулирани. Той казва, че списъкът с компрометирани устройства е обширен и може да е непълен, така че се препоръчва всички домашни рутери и NAS устройства да се рестартират от време на време.

Това обаче не означава, че VPNFilter сканира произволно всяко уязвимо устройство като Mirai, казва Symantec. Symantec не е станал свидетел на безразборно сканиране, използвайки своите honeypot или сензорни данни.

Експерти предупреждават, че Русия и други национални държави биха могли да ескалират своите кибератаки срещу Америка, вероятно представяйки се за други държави или групи за нападение, за да изглежда по-малко достоверно. Русия работи усилено през изминалата година, включително кампанията си за атака NotPetya срещу Украйна, операцията си за намеса в изборите по време на президентските избори в САЩ през 2016 г. и най-скоро операцията под фалшив флаг за хакване на системите на Зимните олимпийски игри.

“Това е много тревожен вид злонамерен софтуер, който може да повреди инфраструктурата и да изпрати западните съюзници обратно в техните каменни векове”, каза Том Келерман, главен служител по киберсигурност на Carbon Black. „Това ще се разпространи бързо в страните-членки на НАТО тази седмица и изглежда, че Путин си е загубил ума.“

Уилямс от Cisco е съгласен, че VPNFilter представлява заплаха за националната държава. Казва, че това не е ежедневна заплаха. Създаването отне много време и усилия с цел координирани атаки по целия свят.

Не е изненадващо, че IoT устройствата имат известни уязвимости и слаба защита (пароли по подразбиране и т.н.). Адам Майерс от CrowdStrike отбелязва, че тези устройства не са изненадващи да бъдат използвани като оръжия за атака. Това повдига въпроса “Какво отне толкова време?” Той казва. „Фактът, че тези устройства са били насочени не е нов.“