Ponad pół miliona zarażonych routerów jest gotowych do cyberataku na Ukrainę

W kwietniu Kaspersky Lab ostrzegał, że sponsorowane przez władzepaństw grupy hakerskie zaczynają wykorzystywać w swoich operacjachbotnety złożone z przejętych domowych routerów. Ostrzeżenieokazało się prawdziwe, tyle że jak twierdzi teraz FBI oraz Cisco,pierwszy z takich botnetów ma być częścią rosyjskiej operacjiprzeciwko Ukrainie. Czy przed tym właśnie ostrzegali eksperciKasperskiego? Niezależnie od pochodzenia, od strony technicznejmalware VPNFilter to prawdziwy majstersztyk.

Kluczowe informacje w tej sprawie pochodzą od badaczy z zespołuCisco Talos Intelligence. Od wielu miesięcy pracowali oni nadzaawansowanym, modularnym malware, które najwyraźniej dziedziczysporo kodu ze słynnego BlackEnergy,i które otrzymało nazwę VPNFilter. Mimo że badania nie zostałyukończone, to aktywność szkodnika stała się tak duża, żebadacze zdecydowali się ujawnić wyniki swoich dotychczasowych prac,aby ułatwić użytkownikom zabezpieczenie się przedzagrożeniem. Dotyczy to przede wszystkim Ukrainy, gdzie liczbainfekcji rośnie w alarmującym tempie. Łącznie zaś liczbazarażonych urządzeń sieciowych przekroczyła już pół miliona w54 państwach.

Co najbardziej ciekawe, tak duży botnet powstał bez użycia luk0-day. To wszystko znane już podatności w popularnych routerach idyskach NAS, najwyraźniej nigdy nie aktualizowanych przez swoichużytkowników. Na liście podatnych na VPNFilter urządzeńznajdziemy routery takich firm jak Linksys (E1200, E2500, WRVS4400N),Netgear (DGN2200, R6400, R7000, R8000, WNR1000 i WNR2000), TP-Link(R600VPN), MikroTik (RouterOS for Cloud Core Routers v1016, 1036 i1072) oraz dyski NAS firmy QNAP (TS251, TS439 Pro, być może teżinne).

Badacze z Cisco podkreślają, że VPNFilter jest jednym znajbardziej wyrafinowanych szkodników celujących w urządzeniasieciowe, zdolnym nie tylko przeprowadzać wielkoskalowe cyberataki,ale też zniszczyć sprzęt nieświadomych użytkowników.Przyjrzyjmy się schematowi działania.

W pierwszym etapie (Stage One) urządzenie sieciowe bazujące naLinuksie z powłoką Busyboxi zostaje zarażone kodem, któregojedynym zadaniem jest zarażenie sprzętu, i co ciekawe – uzyskaniena nim trwałej obecności. Trwałej, to znaczy mogącej przetrwaćnormalne zresetowanie. Jak twierdzą badacze Symanteca, jeśliużytkownik zresetuje urządzenie do ustawień fabrycznych, powinienpozbyć się szkodnika.

Po zainfekowaniu routera czy dysku NAS, malware pierwszego etapuVPNFiltera komunikuje się z serwerami dowodzenia i kontroli,kodujących informację w obrazkach publikowanych w serwisiePhotobucket, a gdyby to się nie udało, w zapasowym serwerze, którydziałał do tej pory pod domeną ToKnowAll.com – i został właśnieprzejęty przez FBI.

Amerykańska policja federalna ogłosiła z tej okazji wielkisukces, serwis DailyBeast piszewręcz, że FBI przejęło kontrolę nad rosyjskim botnetem,ale to po prostu medialna kaczka. W rzeczywistości jedyne co FBIosiągnęło, to zidentyfikowanie kanałów komunikacji malware przezPhotoBucketa (obrazki zostały już usunięte) i przejęcie domenytego zapasowego serwera, wykorzystywanego do przesyłania drugiegoetapu (Stage Two) infekcji. Sęk w tym, że z tego co piszą badaczeTalosa, VPNFilter dysponuje jeszcze trzecim, bezpośrednim systememkomunikacji: jeśli ToKnowAll przestanie działać, uruchamia nasłuchi czeka na odpowiednio spreparowany pakiet sieciowy, aby uaktywnićbezpośrednie połączenie z serwerem dowodzenia i kontroli.

W ten czy inny sposób malwareetapu pierwszego próbuje pobrać ładunek etapu drugiego. Głównąrolą tego ładunku jest zapewnienie infrastruktury dla systemuwtyczek, które zostają dostarczone później. Malware etapudrugiego nie jest w stanie przetrwać resetu routera (ale uwaga, pozwykłym resecie malware etapu pierwszego będzie próbowałoreaktywować etap drugi). Oprócz tego Stage Two potrafi jeszczejedno: po raz pierwszy zobaczyliśmy kod pozwalający na zdalnezniszczenie routera. Szkodnik potrafi nadpisać kluczowe obszarypamięci firmware losowymi danymi i zrestartować urządzenie. Dlazwykłego użytkownika, nie mającego wiedzy technicznej, nie mówiącjuż o programatorze pamięci EPROM to właściwie koniec – zamiastroutera ma cegłę.

Finalnie po uaktywnieniu etapudrugiego, z serwera dowodzenia i kontroli VPNFilter pobiera wtyczkietapu trzeciego (Stage Three). Jak na razie Cisco odkryło trzy takiewtyczki. Jedna służy do podsłuchiwania i szpiegowania ruchusieciowego, druga wprowadza mechanizm komunikacji z serweramidowodzenia i kontroli po Torze, trzecia zaś jest szczególnieciekawa: nasłuchuje obecności w sieci lokalnej programowalnychkontrolerów korzystających z protokołu Modbus. Czyżbyprzygotowanie do ataku na infrastrukturę przemysłową?

Takich wtyczek etapu trzeciegomoże być więcej: badacze Cisco Talos uważają, że po prostu niezostały jeszcze wdrożone.

Jak wspomnieliśmy, nie ma co specjalnie się ekscytowaćdeklaracjami FBI o „przejęciu rosyjskiego botnetu”. VPNFilternajwyraźniej może działać bez tej jednej domeny – kto wie, możejest ona po prostu wędzonym śledziem, rzuconym dla odwróceniauwagi? W deklaracje Amerykanów chyba nie uwierzyli też samiUkraińcy. Ichniejsza Służba Bezpieczeństwa Ukrainy opublikowałaostrzeżenieprzed atakiem

Najbardziej prawdopodobne datyataku są dwie. Pierwszą może być 26 maja, finał Ligi MistrzówUEFA w Kijowie. Drugą dzień konstytucji Ukrainy, święto narodowewypadające 27 czerwca. To właśnie 27 czerwca 2017 roku Ukrainaoberwała cyberatakiem NotPetya.

Spodziewać się można więcwówczas targetowanych ataków na infrastrukturę przemysłową,ukrycie za pomocą botnetu źródeł innych złośliwych ataków, atakże próbę zablokowania sporej części ukraińskiego internetu.

Przede wszystkim posiadacze podatnych modeli routerów i dyskówsieciowych powinni zresetować je do domyślnych ustawieńsystemowych, aby zneutralizować malware etapu drugiego i trzeciego.

Następnie należy zainstalować najbardziej aktualne łatkibezpieczeństwa dostępne dla podatnych modeli urządzeń. Tooczywiście dotyczy wszystkich, nie tylko tych z podatnymi modelami.Routery stają się coraz bardziej interesującym celem dlaoperatorów botnetów.

Spora odpowiedzialność spoczywa też na dostawcach Internetu,którzy oferują w swoich sieciach użytkownikom podatne modelerouterów. Badacze Cisco Talos mówią, że powinni oni zresetowaćzdalnie routery w imieniu swoich użytkowników, a następnieaktywnie wziąć się do działań mających zapewnić, że naurządzeniach zainstalowane są najnowsze wersje firmware.