Zespół Talos firmy Cisco opublikował obszerne ostrzeżenie przed złośliwym oprogramowaniem VPNFilter, które zainfekowało pół miliona routerów i serwerów plików w 54 krajach, najwięcej na Ukrainie. Pierwszy etap infekcji polegał na zainstalowaniu prostego modułu, który potrafi przetrwać restart i służy do pobrania modułu głównego. Według badaczy wszystkie zarażone urządzenia posiadały nieaktualne wersje oprogramowania, a błędy, które pozwoliły przejąć nad nimi kontrolę, były publicznie znane. Moduł pierwszego etapu został skompilowany pod kilka różnych architektur i komunikuje się z serwerem C&C, używając protokołu SSL lub sieci Tor. Udane połączenie z serwerem C&C skutkuje pobraniem modułu głównego, który zarządza działaniem VPNFiltera i może dodatkowo pobierać wyspecjalizowane wtyczki służące do realizacji bardziej specyficznych celów atakujących. Na szczególną uwagę zasługuje sniffer pakietów, który podsłuchuje cały ruch internetowy urządzenia i przeszukuje go pod kątem danych umożliwiających logowanie do serwerów WWW oraz pakietów Modbus TCP/IP, protokołu służącego do sterowania urządzeniami SCADA.
Ryzyko duże: Lista podatnych na atak urządzeń obejmuje: Linksys E1200, E2500, WRVS4400N; MikroTik RouterOS dla Cloud Core Routers 1016, 1036, 1072; TP-Link R600VPN; Netgear DGN2200, R6400, R7000, R8000, WNR1000, WNR2000; QNAP TS251, TS439 Pro, inne urządzenia działające pod kontrolą QTS.
Działania długoterminowe: Analiza potencjalnych nadużyć pod kątem opisanego wektora ataku. Monitorowanie dostępności stosownych poprawek.
Źródło: https://blog.talosintelligence.com/2018/05/VPNFilter.html
