VPNFilter to bardzo ekspansywny i niebezpieczny wirus, który zagraża urządzeniom na całym świecie. Potrafi szybko dostosować się do zmian wprowadzanych w infrastrukturze sieciowej. Do tego jest zdolny niszczyć urządzenia, które zainfekował.

Groźnego wirusa odkrył zespół Talos działający w firmie Cisco. Według firmy, zarażonych jest 500 tysięcy routerów sieciowych w 54 krajach. Najwięcej w Rosji i na Ukrainie. Eksperci obawiają się, że może zostać wykorzystany do cyberataku na szeroką skalę. Eksperci zauważyli, że szyfrowanie RC4 jakiego używa VPNFilter jest identyczne z tym wykorzystywanym przez wirus BlackEnergy, który w grudniu 2015 roku posłużył do ataku na elektrownie na Ukrainie.

VPNFilter jest ulepszoną wersją wirusa BlackEnergy, którego użyto w cyberataku na Ukrainę w 2015 roku (graf. CISCO)

Na VPNFilter podatne są routery Linksys, MikroTik, NETGEAR i TP-Link, a także dyski NAS. Warto jednak zaznaczyć, że zespół Cisco nie zakończył jeszcze sprawdzania wirusa i możliwe, że lista zagrożonych urządzeń będzie dłuższa. Co gorsza, w przeciwieństwie do podobnych zagrożeń VPNFilter działa nawet po zrestartowaniu urządzenia.

Atak wirusa przebiega w trzech fazach. W pierwszej fazie robak obserwuje infrastrukturę sieciową i nawiązuje połączenie ze zdalnym serwerem. W drugiej fazie na urządzenia pobierane jest oprogramowanie szpiegowskie, które przechwytuje dane i wykonuje kod na komputerach. Urządzenie także może zniszczyć fizycznie urządzenie, na którym się znajduje. VPNFilter ma budowę modułową, z tego powodu przestępcy mogą w łatwy sposób dodawać dodatkowe funkcje, które zwiększą skuteczność wirusa.

Wirus utrzymuje się nawet po restarcie routera i może „mutować” (graf. CISCO)

Według ekspertów z zespołu Talos, obrona przed zagrożeniem jest niezwykle trudna. Przede wszystkim należy zresetować urządzenie do ustawień fabrycznych, co usunie zagrożenie. Po wykonaniu restartu należy zaktualizować oprogramowanie routera. Z kolei operatorzy internetu powinni zdalnie zresetować urządzenia swoich klientów i upewnić się, że ich oprogramowanie jest zaktualizowane.

 

 

 

 

 

Źródło: chip