Malware-ul modular sofisticat analizat de compania Talos și denumit VPNFilter este o amenințare expansivă, robustă, extrem de capabilă și periculoasă, care vizează dispozitive care sunt dificil de protejat. Dezvoltatorii acestui malware au fost probabil sponsorizați de un stat și VPNFilter poate distruge dispozitivele utilizatorilor pentru a-și acoperi urmele, scrie CERT.RO.
De câteva luni, compania Talos din cadrul Cisco a colaborat cu mai mulți parteneri din domeniul securității cibernetice, dar și cu entități cu atribuții în zona de criminalitate informatică din sectorul public și privat, pentru analiza unui malware modular sofisticat, denumit "VPNFilter", care aparține cel mai probabil unui actor avansat, sponsorizat de un stat sau afiliat unui stat.
Descriere
O particularitate importantă a codului acestui malware este aceea că prezintă multiple similarități cu versiuni ale malware-ului cunoscut drept BlackEnergy - care a fost responsabil pentru mai multe atacuri la scară largă asupra sistemelor informatice din Ucraina.
Deși acest aspect poate fi insuficient pentru a demonstra ceva, cei care au investigat cazul malware-ului cu potențial distructiv VPNFilter, au observat că acesta infectează în mod activ și la o rată alarmantă sisteme din Ucraina, utilizând o infrastructură de comandă și control (C2) dedicată țării respective.
Atât scara, cât și capacitatea acestei operațiuni sunt îngrijorătoare. Talos și partenerii săi, estimează că numărul dispozitivelor infectate va fi de cel puțin 500.000 în mai bine de 54 de țări.
Impact
Dispozitivele afectate de VPNFilter sunt echipamentele de rețea Linksys, MikroTik, NETGEAR și TP-Link utilizate în birouri mici și locuințe (SOHO), precum și dispozitive de stocare atașate la rețea QNAP (NAS). Nu s-au observat infecții la niciun alt furnizor.
Comportamentul acestui program malware asupra echipamentelor de rețea este deosebit, întrucât componentele VPNFilter permit extragegerea datelor de autentificare pentru site-uri web și monitorizarea protocoalelor Modbus SCADA.
În cele din urmă, malware-ul are o componentă distructivă care poate face un dispozitiv infectat inutilizabil, prin declanșarea pe sisteme victimă individuale sau în masă, având potențialul de a întrerupe accesul la internet pentru sute de mii de victime din întreaga lume.
Tipurile de dispozitive vizate de acest actor sunt dificil de protejat. Acestea sunt plasate adesea perimetral, fără a fi protejate de un sistem de protecție împotriva intruziunilor (IPS), sau un sistem de protecție anti-virus (AV).
Metodele de exploatare utilizate în fiecare caz diferă, majoritatea dispozitivelor vizate având exploit-uri cunoscute pentru versiuni ale sistemului de operare mai vechi sau date de autentificare implicite. Toate acestea au contribuit la creșterea acestei amenințări începând cu anul 2016.
Concluzii
VPNFilter este o amenințare expansivă, robustă, extrem de capabilă și periculoasă, care vizează dispozitive care sunt dificil de protejat.
Cartacterul său extrem de modular permite schimbări rapide în infrastructura operațională a actorului, care ajută la falsa atribuire, colectarea informațiilor și găsirea unei platforme pentru efectuarea viitoarelor atacuri.
Capacitatea distructivă denotă că actorul este dispus să distrugă dispozitivele utilizatorilor pentru a-și acoperi urmele, mergând mult mai departe decât simpla eliminare a malware-ului. Dacă ar corespunde cu scopurile lor, această comandă poate fi executată la scară largă, făcând indisponibile mii de dispozitive din întreaga lume.
Deși amenințarea la adresa dispozitivelor IoT nu este ceva inedit, faptul că aceste dispozitive sunt utilizate de actorii avansați (statali) pentru a desfășura operațiuni cibernetice, a sporit considerabil urgența rezolvării acestei probleme.
Recomandări
- utilizatorii ruterelor SOHO și/sau dispozitivelor NAS să le reseteze la setările din fabrică și să le reinițializeze în vederea eliminării malware-urilor utilizate în diferite stagii ale VPNFilter;
- resetarea echipamentelor de rețea distribuite (de către furnizorii de servicii de internet) utilizatorilor, în numele clienților;
- actualizarea imediată a dispozitivelor cunoscute sau suspectate ca fiind afectate de această amenințare;
- colaborea strânsă dintre ISP și clienți pentru actualizarea și aplicarea patch-urilor de securitate relevante.
0
0
