• Paranoid - курс по анонимности и безопасности в сети от команды codeby. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Уязвимость маршрутизатора и VPNFilter ботнет

AnnaDavydova

Перевожу для codeby
06.08.2016
54
329
#1
25 мая ФБР попросило всех перезагрузить свои маршрутизаторы. История этой просьбы заключается в одной из изощренных и сложных вредоносных программ, а также довольно простой безопасности домашней сети, и это, безусловно, является предвестником распространяющихся угроз со стороны национальных государств, преступников и хакеров, которых нам следует ожидать в ближайшие годы.

VPNFilter является
Для просмотра контента необходимо: Войти или зарегистрироваться
Для просмотра контента необходимо: Войти или зарегистрироваться
вредоносного программного обеспечения, которая заражает преимущественно старые домашние и малые офисные маршрутизаторы, таких производителей как Linksys, MikroTik, Netgear, QNAP и TP-Link. (Список конкретных моделей можно посмотреть
Для просмотра контента необходимо: Войти или зарегистрироваться
.) Это довольно важная часть вредоносного программного обеспечения. Он может перехватывать трафик, проходящий через маршрутизатор, учетные данные необходимые для авторизации и трафик SCADA, являющийся сетевым протоколом, который контролирует электростанции, химические заводы и промышленные системы. Также он атакует и другие цели в Интернете и деструктивным образом влияет, а иногда даже разрушает, зараженные устройства. Это одна из немногих вредоносных программ, которые могут пережить перезагрузку, хотя это именно то, что запросило ФБР. Он обладает рядом других возможностей и может быть удаленно обновлен. С 2016 года заражено более 500 000 маршрутизаторов, по крайней мере, в 54 странах.

Из-за сложности данного вредоносного программного обеспечения, VPNFilter считается работой правительства. Беря во внимания два очевидных факта, ФБР предложило, чтобы российское правительство было задействовано в его разработке. Во-первых, фрагмент кода идентичен тому, который был обнаружен в другом вредоносном программном обеспечении
Для просмотра контента необходимо: Войти или зарегистрироваться
, который использовался в нападении в декабре 2015 года на энергосистему Украины. Считается, что Россия стоит за этой атакой. И во вторых, большинство из этих 500 000 инфекций находятся в Украине и контролируются отдельным сервером командования и контроля. Также могут ФБР могут обладать рядом секретных доказательств, поскольку
Для просмотра контента необходимо: Войти или зарегистрироваться
в этом вопросе
Для просмотра контента необходимо: Войти или зарегистрироваться
группу, стоящую за VPNFilter как Sofacy, также известную как APT28 и Fancy Bear. Это группа, стоящая за очень длинным списком атак, включая взлом в 2016 году Демократического национального комитета.

Две компании, Cisco и Symantec, похоже, работали с ФБР в течение последних двух лет, чтобы отслеживать это вредоносное программное обеспечение, поскольку оно заражало все больше и больше маршрутизаторов. Механизм заражения неизвестен, но мы полагаем, что он нацелен на хорошо известные уязвимости в этих старых роутерах. В значительной степени никто не исправляет уязвимости на своих маршрутизаторах, поэтому они остаются, даже если были исправлены в новых моделях от тех же производителей.

30 мая ФБР
Для просмотра контента необходимо: Войти или зарегистрироваться
над toknowall.com, критическим сервером управления и контроля VPNFilter. Это называется «погружением» ("sinkholing") и служит для разрушения критической части этой системы. Когда зараженные маршрутизаторы свяжутся с toknowall.com, они больше не будут обращаться к серверу, принадлежащему создателям вредоносного программного обеспечения; вместо этого они будут обращаться к серверу, принадлежащему ФБР. Однако это не полностью нейтрализует вредоносное ПО. Оно будет оставаться на зараженных маршрутизаторах даже после перезагрузки, а основные уязвимости остаются, что, в свою очередь, делает маршрутизаторы восприимчивыми к повторному заражению, которое будет проводиться посредством контроля другим сервером.

Если вы хотите убедиться, что ваш маршрутизатор больше не заражен, вам нужно сделать больше, чем просто перезагрузить его, несмотря на предупреждение ФБР. Вам необходимо сбросить маршрутизатор до заводских настроек. Это означает, что вам нужно перенастроить его для своей сети, что может быть крайне сложно сделать, если вы не очень сведущи в этих вопросах. Если вы хотите, чтобы ваш маршрутизатор не был повторно заражен, вам необходимо
Для просмотра контента необходимо: Войти или зарегистрироваться
со всеми исправлениями безопасности и патчами от производителя. Это довольно сложно сделать, и может потребовать от вас использовать все ваши технические возможности, хотя согласитесь, что это довольно смешно и абсурдно, что роутеры автоматически не загружают и не устанавливают обновления прошивки. Некоторые из этих моделей, вероятно, даже не имеют исправлений для улучшения безопасности. Честно говоря, самое лучшее, что можно сделать, если у вас есть одна из уязвимых моделей, - это выбросить ее и приобрести новую. (Ваш интернет-провайдер, вероятно, отправит вам новый роутер бесплатно, если вы заявите, что ваш не работает должным образом. И у вас должен быть новый, потому что, если ваш текущий находится в списке уязвимых моделей, то ему, вероятно, не менее 10 лет.)

Таким образом, если перезагрузка не очистит ваш роутер от вредоносное программного обеспечения, почему ФБР
Для просмотра контента необходимо: Войти или зарегистрироваться
Для просмотра контента необходимо: Войти или зарегистрироваться
перезагрузить наши маршрутизаторы? Это делается в основном просто для того, чтобы дать нам понять, насколько велика проблема. ФБР теперь контролирует toknowall.com. Когда зараженный маршрутизатор перезагружается, он подключается к этому серверу, чтобы получить полное повторное заражение, и когда это произойдет, ФБР сразу узнает об этом. Перезагрузка даст им лучшее представление о том, какое количество зараженных устройств сейчас имеется.

Для просмотра контента необходимо: Войти или зарегистрироваться
? Скажу точно, навредить это не сможет.
Вредоносное программное обеспечение в интернете не является новым. Например, ботнет Mirai 2016 года, созданный одиноким хакером, а не правительством, нацелен на уязвимости в цифровых видеорегистраторах и веб-камерах, подключенных к Интернету. Другие вредоносные программы нацелены на подключенные к Интернету термостаты. Многие вредоносные программы нацелены на домашние маршрутизаторы. Эти устройства особенно уязвимы, поскольку они часто разрабатываются специальными командами без большого опыта в области безопасности, остаются в сетях гораздо дольше, чем наши компьютеры и телефоны, и, к сожалению, не имеют легкого способа для исправления уже имеющихся уязвимостей.

Было бы неудивительно, если бы россияне нацелили маршрутизаторы на создание сети зараженных компьютеров для последующих кибер-операций. Я уверен, что многие правительства делают то же самое. До тех пор, пока мы позволяем использовать эти небезопасные устройства в Интернете и не соблюдаем основные правила безопасности, нет никакого шанса остановить их, и мы будем уязвимы для такого рода вредоносных программ.
И в следующий раз сервера управления и контроля уже не удастся так легко вывести из строя.
Данная статья
Для просмотра контента необходимо: Войти или зарегистрироваться
в Washington Post.


Источник:
Для просмотра контента необходимо: Войти или зарегистрироваться
 
Вверх Снизу