Российская кибератака на Украину: как защититься
Накануне финала Лиги Чемпионов появились сообщения о новой кибератаке, готовящейся против Украины. СБУ предполагает, что целью является дестабилизация во время финала чемпионата.
В СБУ говорят о «российском следе». И это не первая кибератака со стороны северного соседа. Ровно год назад Украина оказалась по ударом вируса Petya.A. В этот раз хакеры используют совершенно иными методы атаки.
НВ выяснило, что происходит, кого затронет атака и как защититься от нее.
Что говорят?
О готовящейся кибератаке заявили уже несколько источников, в частности, сообщения поступали и от СБУ, и Киберполиции.
Первоисточником стала публикация в блоге Cisco Talos. Компания сообщает, что в течение нескольких последних месяцев занималась исследованием сложного вредоносного ПО, которому дали название VPNFilter. Однако последние сведения вынудили раскрыть информацию до завершения исследования, чтобы у возможных жертв была возможность принять меры.
Вредоносное ПО похоже на BlackEnergy — вирус, который отвечал за многочисленные широкомасштабные атаки в том числе на энергосистему и государственные органы Украины в 2015-2016 годах.
«Зараженные в Украине устройства находятся на стадии 2 управления злоумышленниками. То есть на них установлены модуль перехвата трафика (сетевая разведка, перехват нешифрованных данных авторизации, данные АСУТП по протоколу MOFBUS) и модуль сетевого сканирования (TCP-сканы по портам 23, 80, 2000 и 8080 – то есть поиск в сети устройств Mikrotik и QNAP NAS в качестве новых объектов атаки). Особенностью VPNFilter является вероятная нацеленность на системы АСУТП, на это указывают совпадающие фрагменты кода VPNFilter и BlackEnergy. Загрузка дополнительных модулей идет по протоколам TOR и SSL», — разъясняет Владимир Кург, R&D-директор «ИТ-Интегратор» в публикации на странице компании в Facebook.
Кто-то уже пострадал?
По данным отчета, состоянием на момент его публикации заражению подверглось не менее 500 000 устройств в 54 странах, но по большей части это Украина.
Киберполиция сообщает, что уже сотрудничает с Cisco Talos для противодействия атаке. Под угрозой находятся устройства, которые имеют реальный IP-адрес и старую прошивку. Кроме того, это роутеры, на которых используется логин и пароль по умолчанию.
На сайте органа говорится, что атаке подвержено следующее оборудование:
- Linksys: E1200, E2500, WRVS4400N;
- Mikrotik RouterOS (все версии ниже 6.42.1);
- Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
- QNAP: TS251, TS439 Pro, другие QNAP NAS устройства с QTS;
- TP-Link: R600VPN.
В публикации Cisco Talos сообщается, что другие поставщики, включая Cisco, не были замечены как зараженные вредоносным ПО. Однако это не финальный результат, исследования продолжаются. В блоге говорится, атака может привести к отключению доступа в интернет для сотен тысяч устройств.
Кто стоит за атакой?
В СБУ предполагают, что источником атаки являются хакеры из Российской Федерации, а их целью — дестабилизация ситуации в стране в период финала Лиги Чемпионов.
«Выводы криминалистического исследования показывают, что вирусное программное обеспечение VPNFilter позволяет злоумышленникам перехватывать весь трафик, проходящий через пораженное устройство (включая данные авторизации и персональные данные платежных систем), собирать и выгружать информацию, удаленно управлять инфицированным устройством и даже выводить его из строя. […]
[…] Специалисты СБУ считают, что инфицирование оборудования именно на территории Украины – подготовка к очередному акту киберагресии со стороны РФ, направленного на дестабилизацию ситуации во время проведения финала Лиги Чемпионов. Об этом свидетельствует и то, что запланированный механизм кибератаки совпадает с техниками, которые использовались в 2015-2016 годах в ходе кибератаки BlackEnergy», – говорится в сообщении на сайте структуры.
Как защититься?
В Cisco говорят, что оборудование, которое подверглось заражению, достаточно сложно защитить и они не уверены, что советы будут универсальны и действенны для всех. Подробная инструкция по защите оборудования для специалистов есть в оригинальной публикации.
Рекомендации по защите от Киберполиции:
- пользователям и владельцам домашних роутеров, беспроводных маршрутизаторов малых офисов и сетевых файловых хранилищ необходимо безотлагательно осуществить RESET к заводским настройкам (нужно сделать именно сброс настроек, а не перезагрузка), с целью удаления потенциально опасных вредоносных программных модулей из памяти устройств;
- если есть основания считать любое устройство в локальной сети пораженным указанным видом вредоносного ПО, безотлагательно обновить его программную прошивку до последней актуальной версии;
- если в операционной системе сетевого устройства является функция доступа к его файловой системы, проверить наличие файлов в директориях «/ var / run / vpnfilterw», «var / run / tor», «var / run / torrc», «var / run / tord »и удалить их содержание.
Рекомендации по защите от ИТ-Интегратор:
Известные по состоянию на вчера URL и адреса серверов управления – заблокируйте их:
Первой стадии:
photobucket[.]com/user/nikkireed11/library, photobucket[.]com/user/kmila302/library, photobucket[.]com/user/lisabraun87/library, photobucket[.]com/user/eva_green1/library, photobucket[.]com/user/monicabelci4/library, photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library, photobucket[.]com/user/millerfred/library, photobucket[.]com/user/jeniferaniston1/library,photobucket[.]com/user/amandaseyfried1/library, photobucket[.]com/user/suwe8/library, photobucket[.]com/user/bob7301/library, toknowall[.]com
Второй стадии:
91.121.109[.]209, 217.12.202[.]40, 94.242.222[.]68, 82.118.242[.]124, 46.151.209[.]33, 217.79.179[.]14, 91.214.203[.]144, 95.211.198[.]231, 195.154.180[.]60, 5.149.250[.]54, 91.200.13[.]76, 94.185.80[.]82, 62.210.180[.]229, zuh3vcyskd4gipkm[.]onion/bin32/update.php
Прочие индикаторы компроментации – в записи Talos Blog. Там же – номера правил Snort для этой угрозы.
Информация для пользователей систем защиты Cisco
Cisco обновили в автоматическом режиме индикаторами компроментации VPNFilter базы угроз следующих продуктов Advanced Malware Protection (AMP), Cloud Web Security (CWS), Network Security, ThreatGrid, Umbrella, and Web Security Appliance (WSA) и StealthWatch
ВНИМАНИЕ: для StealthWatch нужно доп. конфигурирование, инструкция по настройке обнаружения VPNFilter C2 трафика – по той же ссылке Talos Blog.
Меры защиты для SOHO-пользователей и интернет-провайдеров, предоставивших пользователям в аренду уязвимые устройства:
- зафиксировать/записать текущую сетевую конфигурацию устройства;
- сбросить конфигурацию в factory defaults и перезагрузить устройство;
- восстановить сетевую конфигурацию по п.;
- установить последние обновления от производителя.
Тэги: Хакеры, кибератака