ФБР счи­та­ет, что рос­сий­ские хакеры за­ра­зи­ли вре­до­нос­ной про­грам­мой «VPNFilter» сотни тысяч ком­пью­те­ров по всему миру, и офи­ци­аль­но ре­ко­мен­ду­ет всем пе­ре­за­гру­зить марш­ру­ти­за­то­ры для предот­вра­ще­ния рас­про­стра­не­ния вре­до­нос­ных про­грамм, со­об­ща­ет The New York Times

Со­глас­но за­яв­ле­ния ФБР вре­до­нос­ная про­грам­ма "VPNFilter", рас­про­стра­ни­лась на 500 000 марш­ру­ти­за­то­ров в 54 стра­нах, про­грам­ма может вы­пол­нять несколь­ко функ­ций, вклю­чая сбор ин­фор­ма­ции, бло­ки­ро­ва­ние се­те­во­го тра­фи­ка и ис­поль­зо­ва­ние устройств дру­ги­ми спо­со­ба­ми. ”Размер и объем ин­фра­струк­ту­ры, на ко­то­рую влияет вре­до­нос­ное про­грамм­ное обес­пе­че­ние VPNFilter, зна­чи­тель­ны", - го­во­рит­ся в пре­ду­пре­жде­нии ФБР.

Счи­та­ет­ся, что атака свя­за­на с рос­сий­ски­ми раз­ве­ды­ва­тель­ны­ми груп­па­ми, в част­но­сти с груп­пой, из­вест­ной, как A.P.T. 28. Этой группе, также из­вест­ной, как Socafy и Fancy Bear, при­пи­сы­ва­ют боль­шин­ство рус­ских ха­кер­ских атак.

Ми­ни­стер­ство юс­ти­ции за­яви­ло на про­шлой неделе, что сотни тысяч ком­пью­те­ров уже на­хо­дят­ся под кон­тро­лем группы, ко­то­рая, как по­ла­га­ют, управ­ля­ет­ся во­ен­ным раз­ве­ды­ва­тель­ным управ­ле­ни­ем России. Нью-Йорк Таймс утвер­жда­ет, что A.P.T. 28 также счи­та­ет­ся от­вет­ствен­ной за взлом пре­зи­дент­ских вы­бо­ров США 2016 года.

Анализ, про­ве­ден­ный ком­па­ни­ей Cisco об угро­зах, под­раз­де­ле­ни­ем Талос, го­во­рит о том, что были ата­ко­ва­ны 500,000 марш­ру­ти­за­то­ров, по мень­шей мере в 54 стра­нах. Анализ Talos также ука­зы­ва­ет на сход­ство между ком­пью­тер­ным кодом VPNFilter и " вер­си­я­ми вре­до­нос­но­го ПО BlackEnergy, ко­то­рое от­ве­ча­ло за мно­го­чис­лен­ные круп­но­мас­штаб­ные атаки, на­прав­лен­ные на устрой­ства в Укра­ине.”

” Вре­до­нос­ная про­грам­ма об­ла­да­ет раз­ру­ши­тель­ной спо­соб­но­стью, ко­то­рая может сде­лать за­ра­жен­ное устрой­ство непри­год­ным для ис­поль­зо­ва­ния” это может быть, как на от­дель­ных ма­ши­нах жертв или в мас­со­вом по­ряд­ке, и имеет по­тен­ци­ал пре­кра­ще­ния до­сту­па в Ин­тер­нет для сотен тысяч жертв по всему миру", - го­во­рит­ся в со­об­ще­нии Talos.

"Марш­ру­ти­за­то­ры ста­но­вят­ся уяз­ви­мы­ми, и в них за­гру­жа­ет­ся часть вре­до­нос­но­го ПО, и эта часть вре­до­нос­но­го ПО на­чи­на­ет про­пус­кать ин­фор­ма­цию. В прин­ци­пе, это просто кража любых данных, про­хо­дя­щих через марш­ру­ти­за­то­ры”, - объ­яс­нил Аджай Суд, ге­не­раль­ный ди­рек­тор Symantec Canada.

Список мо­де­лей устройств, на ко­то­рых был об­на­ру­жен VPNFilter:

Linksys E1200;
Linksys E2500;
Linksys WRVS4400N;
Mikrotik RouterOS для ро­у­те­ров Cloud Core: версии 1016, 1036 и 1072;
Netgear DGN2200;
Netgear R6400;
Netgear R7000;
Netgear R8000;
Netgear WNR1000;
Netgear WNR2000;
QNAP TS251;
QNAP TS439 Pro;
Другие устрой­ства QNAP NAS, с про­грамм­ным обес­пе­че­ни­ем QTS;
TP-Link R600VPN.
ФБР по­про­си­ло, чтобы все пе­ре­за­гру­зи­ли свои марш­ру­ти­за­то­ры, для того чтобы "вре­мен­но на­ру­шить вре­до­нос­ное ПО и помочь по­тен­ци­аль­ной иден­ти­фи­ка­ции за­ра­жен­ных устройств." Что это значит?

Суд объ­яс­нил, что в этой кон­крет­ной атаке вре­до­нос­ное ПО за­гру­жа­ет себя в память марш­ру­ти­за­то­ра. Во время пе­ре­за­груз­ки память марш­ру­ти­за­то­ра очи­ща­ет­ся, что озна­ча­ет, что, хотя уяз­ви­мость, ко­то­рая поз­во­ли­ла ата­ко­вать, все еще оста­ет­ся, сама ин­фек­ция вре­мен­но уби­ра­ет­ся. Делая это, хакеры затем будут вы­нуж­де­ны за­ра­жать марш­ру­ти­за­тор снова. К этому мо­мен­ту, есть на­деж­да что, осо­зна­вая угрозу, по­став­щи­ки услуг смогут вы­пу­стить патчи без­опас­но­сти.

В до­пол­не­ние к пе­ре­за­груз­ке марш­ру­ти­за­то­ра, ФБР и Суд ре­ко­мен­ду­ют от­клю­чить функ­цию на устрой­стве под на­зва­ни­ем Remote Network Management, ко­то­рая остав­ля­ет веб-порт от­кры­ты­ми. Эта функ­ция поз­во­ля­ет на­стро­ить Wi-Fi и другие се­те­вые устрой­ства уда­лен­но.

Ком­мен­та­рий автора:
В самом за­яв­ле­нии ФБР от­сыл­ки на рус­ских ха­ке­ров нет, но New York Times и ка­над­ских ресурс делает на них упор.

По факту, ФБР решило устро­ить ми­ро­вой флеш­моб. Источник