VPNFilter

VPNFilter je malware navržený k infekci síťových prvků, především router a některých sítťových úložišť. Do května roku 2018 infikoval odhadem 500 tisíc routerů po celém světě, ačkoliv celkový počet ohrožených zařízení je zřejmě vyšší[1]. Dokáže krást data a obsahuje mechanismus pro vzdálené vypnutí vypnutí. Malware dokáže přežít restart zařízení[2]. Federální úřad pro vyšetřování (FBI) věří, že se jedná o výtvor ruské hackerské skupiny Fancy Bear[3][4].

FunkceEditovat

Malware VPNFilter infikuje mnoho různých typů routerů a síťových úložišť. Dle dostupných informací navíc dokáže využívat protokolu Modbus pro komunikaci s průmyslovými řídícími systémy. Malware obsahuje speciální kód pro ovládání sítí operačních technologií ve SCADA/ICS nasazeních[5].

Počáteční vektor infekce je stále neznámý a bezpečnostní skupina Cisco Talos se domnívá, že malware se dostává do zařízení skrze jejich známé zranitelnosti[6].

Malware se instaluje v několika fázích:

  1. První fáze využívá počítačového červa, který přidává záznam do tabulky crontab (seznamu automaticky spouštěných úloh plánovačem CRON na systémech Linux) infikovaného zařízení. Toto umožňuje malwaru přežít i restart zařízení a znovu infikovat zařízení i v případě, že původní infekce byla odstraněna. První fáze používá známé adresy URL pro instalaci druhé fáze. Pokud jsou tyto adresy nedostupné, zapíná na zařízení naslouchací rozhraní a čeká než bude kontaktováno řídícími servery.
  2. Druhá fáze je tělem samotného malware, zahrnuje základní kód pro funkčnost malwaru samotného a spouští instrukce požadované volitelnou třetí fází, pokud nějaké jsou.
  3. Třetí fází mohou být volitelné "moduly" malware, které rozšiřují schopnosti malware VPNFilter. Mezi tyto moduly patří například sledování průmyslových protokolů za použití protokolu Modbus či zajištění anonymity přes šifrované kanály sítě ToR.

Malware VPNFilter dokáže zachytávat data přenášená přes síť a šifrovaně provádět exfiltraci těchto dat na své řídící servery.

Odstranění VPNFilter z infikovaného zařízeníEditovat

Jak společnost Cisco tak společnost Symantec doporučují vlastníkům infikovaných zařízení reset do výchozího nastavení. K tomuto je třeba fyzického přístupu k zařízení a povětšinou se jedná o podržení určitého tlačítka po dobu až 30 sekund. Jelikož se toto pro každé zařízení liší, je třeba nahlédnout do dokumentace zařízení na možnost resetu do továrního nastavení. Toto sice odstraní malware, ale zároveň to vyresetuje zařízení do továrního nastavení, tedy bude nezbytné zařízení nastavit znovu. Po vyresetování zařízení do továrního nastavení jsou změněna i hesla na výchozí a tedy před připojením zařízení do sítě internetu by měla být hesla změněna, aby nedošlo k opětovné infekci zařízení.

Ohrožená zařízeníEditovat

Počáteční červ, který instaluje malware VPNFilter, může infikovat pouze zařízení s věstavěným firmwarem založeným na Busybox či systému Linux.

Zde je seznam ohrožených zařízení podle jednotlivých výrobců[7]:

Asus
RT-AX92U
RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U
D-Link
DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N
Huawei
HG8245
Linksys
E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N
Mikrotik
CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5
Mikrotik RouterOS až do verze 6.38.5
Netgear
DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50
QNAP
TS251
TS439 Pro
Další síťová úložiště QNAP NAS se softwarem QTS
TP-Link
R600VPN
TL-WR741ND
TL-WR841N
Ubiquiti
NSM2
PBE M5
Upvel
Unknown Models
ZTE
ZXHN H108N

Vyšetřování FBIEditovat

Malware VPNFilter byl vyšetřován Federálním úřadem pro vyšetřování (FBI). Toto vedlo k zabavení domény toknowall.com, na kterou šla většina požadavků z první fáze infekce. Samotná doména přesměrovala dotazy na jiné domény s kopiemi druhé a třetí fáze. Americké ministerstvo spravedlnosti též donutilo stránku Photobucket k ukončení provozu nějakých známým adres, které byly používány k šíření druhé fáze.

Doporučení FBI ohledně odstraněníEditovat

Dne 25. května 2018 doporučil úřad FBI restart všech ohrožených klientských zařízení. Toto řešení dočasně odstranilo fáze 2 a 3 daného malware, ačkoliv fáze 1 stále zůstala, což způsobilo opětovné stažení kódu a opětovnou infekci routeru. Předtím byly ovšem koncové body využíváné druhou fází malware zabaveny, tedy by se malware již nestáhnul z těchto serverů.

Jelikož má malware VPNFilter "záložní plán" pro infekci zařízení za přepnutí do naslouchacího módu a čekání na kontaktování řídícím serverem, pomohlo by to úřadu FBI určit tyto řídící servery.

ReferenceEditovat

  1. VPNFilter Update and Our First Summit Recap [online]. 21.06.2018 [cit. 2018-06-21]. Dostupné online. 
  2. VPNFilter state-affiliated malware pose lethal threat to routers. SlashGear [online]. 2018-05-24 [cit. 2021-04-20]. Dostupné online. (anglicky) 
  3. POULSEN, Kevin. Exclusive: FBI Seizes Control of Russian Botnet. The Daily Beast. 2018-05-23. Dostupné online [cit. 2021-04-20]. (anglicky) 
  4. TUNG, Liam. FBI to all router users: Reboot now to neuter Russia's VPNFilter malware. ZDNet [online]. [cit. 2021-04-20]. Dostupné online. (anglicky) 
  5. VPNFilter: New Router Malware with Destructive Capabilities. symantec-enterprise-blogs.security.com [online]. [cit. 2021-04-20]. Dostupné online. (anglicky) 
  6. VPNFilter, the Unfiltered Story [online]. 29.5.2018 [cit. 2018-06-26]. Dostupné online. 
  7. LARGENT, William. VPNFilter Update - VPNFilter exploits endpoints, targets new devices [online]. [cit. 2021-04-20]. Dostupné online. 

V tomto článku byl použit překlad textu z článku VPNFilter na anglické Wikipedii.