Зловреден софтуер, свързан с Русия, може да се насочи към свързани системи и да деактивира HTTPS.

Преди две седмици служители от частния и публичния сектор предупредиха, че руски правителствени хакери са заразили над 500 000 потребителски рутера в 54 държави със зловреден софтуер, който може да бъде използван за различни престъпни цели. Според екипа по сигурността Talos на Cisco допълнителното разследване показва, че вирусът е по-мускулест, отколкото се предполагаше досега, и работи на значително по-широк кръг устройства, включително и на такива от незасегнати досега производители.

Най-уникалните нови възможности на зловредния софтуер се намират в новооткрит модул, който извършва активна man-in-the-middle атака на входящия уеб трафик. Този модул на ssler може да се използва от нападателите за инжектиране на злонамерен полезен товар в трафика, преминаващ през експлоатирания маршрутизатор. Товарите могат да бъдат персонализирани, за да бъдат насочени към конкретни устройства в компрометираната мрежа. Модулът, който се произнася “еѕѕІег”, може да се използва и за невидима промяна на съдържанието, предоставяно от уебсайтове.

Ssler е проектиран да краде чувствителни данни, обменяни между свързаните крайни точки и външния интернет, в допълнение към тайното модифициране на трафика, предоставян на крайните точки в заразената мрежа. Той активно сканира уеб URL адресите за сигнали, които предават пароли и друга чувствителна информация, така че те да могат да бъдат копирани и препращани към сървъри, които нападателите все още контролират две седмици след оповестяването на ботнета.

ssler умишлено се опитва да понижи нивото на HTTPS връзките до HTTP трафик с обикновен текст, за да заобиколи TLS криптирането, предназначено за предотвратяване на такива атаки. След това заглавията на заявките се променят, за да покажат, че крайната точка не е в състояние да използва криптирани връзки. Ssler предоставя специални разпоредби за трафика към Google, Facebook, Twitter и Youtube, вероятно поради подобрените функции за сигурност, които тези сайтове предлагат. Google, например, от години пренасочва автоматично HTTP трафика към HTTPS сървъри. Тъй като некриптираният трафик е по-лесен за манипулиране, новооткритият модул премахва и компресията на данни, предлагана от приложението gzip.

Ние притежаваме целия ви мрежов трафик.

Според последния анализ VPNFilter представлява по-сериозна заплаха и е насочен към повече устройства, което Cisco трябва да обясни в доклад, който ще бъде публикуван в сряда сутринта. Преди това Cisco предполагаше, че основната цел на VPNFilter е да използва маршрутизатори, комутатори и мрежови устройства за съхранение в дома и малкия бизнес като платформа за провеждане на изследователски прикрити атаки срещу основни цели. Откритието на Сислер показва, че основната цел на VPNFilter са собствениците на маршрутизатори.

Крейг Уилямс, старши технически ръководител и мениджър на световния обхват в Talos, заяви пред Ars: “Първоначално смятахме, че той е създаден предимно за офанзивни възможности като атаки по маршрутизация в целия интернет.” “Оказва се обаче, че [нападателите] са напреднали много отвъд това и сега могат да влияят на всичко, което преминава през заразената притурка. Те могат да направят така, че балансът на банковата ви сметка да изглежда нормален, докато изтеглят пари, PGP ключове и друга чувствителна информация. Те имат пълен контрол върху входа и изхода на устройството.”

Макар че HTTP Strict Transport Security и други функции, предназначени за предотвратяване на некриптирани уеб връзки, могат да помогнат да се избегне успешното понижаване на HTTP, Уилямс каза, че тези продукти не са общодостъпни в Украйна, където се намират повечето от заразените с VPN машини. Освен това много уебсайтове в Съединените щати и Западна Европа все още използват HTTP като резервен вариант за по-стари устройства, които не поддържат HTTPS.

FOLLOW US

GOOGLE PLUS

PINTEREST

FLICKR

INSTAGRAM

TAGS

Advertisement

img advertisement

Archivies

RECENTPOPULARTAG

Social