VPNFilter

VPNFilter je malware navržený k infekci síťových prvků, především router a některých sítťových úložišť. Do května roku 2018 infikoval odhadem 500 tisíc routerů po celém světě, ačkoliv celkový počet ohrožených zařízení je zřejmě vyšší^[1]. Dokáže krást data a obsahuje mechanismus pro vzdálené vypnutí vypnutí. Malware dokáže přežít restart zařízení^[2]. Federální úřad pro vyšetřování (FBI) věří, že se jedná o výtvor ruské hackerské skupiny Fancy Bear^[3]^[4].

Funkce

Malware VPNFilter infikuje mnoho různých typů routerů a síťových úložišť. Dle dostupných informací navíc dokáže využívat protokolu Modbus pro komunikaci s průmyslovými řídícími systémy. Malware obsahuje speciální kód pro ovládání sítí operačních technologií ve SCADA/ICS nasazeních^[5].

Počáteční vektor infekce je stále neznámý a bezpečnostní skupina Cisco Talos se domnívá, že malware se dostává do zařízení skrze jejich známé zranitelnosti^[6].

Malware se instaluje v několika fázích:

První fáze využívá počítačového červa, který přidává záznam do tabulky crontab (seznamu automaticky spouštěných úloh plánovačem CRON na systémech Linux) infikovaného zařízení. Toto umožňuje malwaru přežít i restart zařízení a znovu infikovat zařízení i v případě, že původní infekce byla odstraněna. První fáze používá známé adresy URL pro instalaci druhé fáze. Pokud jsou tyto adresy nedostupné, zapíná na zařízení naslouchací rozhraní a čeká než bude kontaktováno řídícími servery.
Druhá fáze je tělem samotného malware, zahrnuje základní kód pro funkčnost malwaru samotného a spouští instrukce požadované volitelnou třetí fází, pokud nějaké jsou.
Třetí fází mohou být volitelné "moduly" malware, které rozšiřují schopnosti malware VPNFilter. Mezi tyto moduly patří například sledování průmyslových protokolů za použití protokolu Modbus či zajištění anonymity přes šifrované kanály sítě ToR.

Malware VPNFilter dokáže zachytávat data přenášená přes síť a šifrovaně provádět exfiltraci těchto dat na své řídící servery.

Odstranění VPNFilter z infikovaného zařízení

Jak společnost Cisco tak společnost Symantec doporučují vlastníkům infikovaných zařízení reset do výchozího nastavení. K tomuto je třeba fyzického přístupu k zařízení a povětšinou se jedná o podržení určitého tlačítka po dobu až 30 sekund. Jelikož se toto pro každé zařízení liší, je třeba nahlédnout do dokumentace zařízení na možnost resetu do továrního nastavení. Toto sice odstraní malware, ale zároveň to vyresetuje zařízení do továrního nastavení, tedy bude nezbytné zařízení nastavit znovu. Po vyresetování zařízení do továrního nastavení jsou změněna i hesla na výchozí a tedy před připojením zařízení do sítě internetu by měla být hesla změněna, aby nedošlo k opětovné infekci zařízení.

Ohrožená zařízení

Počáteční červ, který instaluje malware VPNFilter, může infikovat pouze zařízení s věstavěným firmwarem založeným na Busybox či systému Linux.

Zde je seznam ohrožených zařízení podle jednotlivých výrobců^[7]:

Asus: RT-AX92U; RT-AC66U; RT-N10; RT-N10E; RT-N10U; RT-N56U; RT-N66U
D-Link: DES-1210-08P; DIR-300; DIR-300A; DSR-250N; DSR-500N; DSR-1000; DSR-1000N
Huawei: HG8245
Linksys: E1200; E2500; E3000; E3200; E4200; RV082; WRVS4400N
Mikrotik: CCR1009; CCR1016; CCR1036; CCR1072; CRS109; CRS112; CRS125; RB411; RB450; RB750; RB911; RB921; RB941; RB951; RB952; RB960; RB962; RB1100; RB1200; RB2011; RB3011; RB Groove; RB Omnitik; STX5; Mikrotik RouterOS až do verze 6.38.5
Netgear: DG834; DGN1000; DGN2200; DGN3500; FVS318N; MBRN3000; R6400; R7000; R8000; WNR1000; WNR2000; WNR2200; WNR4000; WNDR3700; WNDR4000; WNDR4300; WNDR4300-TN; UTM50
QNAP: TS251; TS439 Pro; Další síťová úložiště QNAP NAS se softwarem QTS
TP-Link: R600VPN; TL-WR741ND; TL-WR841N
Ubiquiti: NSM2; PBE M5
Upvel: Unknown Models
ZTE: ZXHN H108N

Vyšetřování FBI

Malware VPNFilter byl vyšetřován Federálním úřadem pro vyšetřování (FBI). Toto vedlo k zabavení domény toknowall.com, na kterou šla většina požadavků z první fáze infekce. Samotná doména přesměrovala dotazy na jiné domény s kopiemi druhé a třetí fáze. Americké ministerstvo spravedlnosti též donutilo stránku Photobucket k ukončení provozu nějakých známým adres, které byly používány k šíření druhé fáze.

Doporučení FBI ohledně odstranění

Dne 25. května 2018 doporučil úřad FBI restart všech ohrožených klientských zařízení. Toto řešení dočasně odstranilo fáze 2 a 3 daného malware, ačkoliv fáze 1 stále zůstala, což způsobilo opětovné stažení kódu a opětovnou infekci routeru. Předtím byly ovšem koncové body využíváné druhou fází malware zabaveny, tedy by se malware již nestáhnul z těchto serverů.

Jelikož má malware VPNFilter "záložní plán" pro infekci zařízení za přepnutí do naslouchacího módu a čekání na kontaktování řídícím serverem, pomohlo by to úřadu FBI určit tyto řídící servery.

Reference

↑ VPNFilter Update and Our First Summit Recap [online]. 21.06.2018 [cit. 2018-06-21]. Dostupné online. ^{[nedostupný zdroj]}
↑ VPNFilter state-affiliated malware pose lethal threat to routers. SlashGear [online]. 2018-05-24 [cit. 2021-04-20]. Dostupné online. (anglicky)
↑ POULSEN, Kevin. Exclusive: FBI Seizes Control of Russian Botnet. The Daily Beast. 2018-05-23. Dostupné online [cit. 2021-04-20]. (anglicky)
↑ TUNG, Liam. FBI to all router users: Reboot now to neuter Russia's VPNFilter malware. ZDNet [online]. [cit. 2021-04-20]. Dostupné online. (anglicky)
↑ VPNFilter: New Router Malware with Destructive Capabilities. symantec-enterprise-blogs.security.com [online]. [cit. 2021-04-20]. Dostupné online. (anglicky)
↑ VPNFilter, the Unfiltered Story [online]. 29.5.2018 [cit. 2018-06-26]. Dostupné online. ^{[nedostupný zdroj]}
↑ LARGENT, William. VPNFilter Update - VPNFilter exploits endpoints, targets new devices [online]. [cit. 2021-04-20]. Dostupné online.

V tomto článku byl použit překlad textu z článku VPNFilter na anglické Wikipedii.

[1] VPNFilter Update and Our First Summit Recap [online]. 21.06.2018 [cit. 2018-06-21]. Dostupné online. ^{[nedostupný zdroj]}

[2] VPNFilter state-affiliated malware pose lethal threat to routers. SlashGear [online]. 2018-05-24 [cit. 2021-04-20]. Dostupné online. (anglicky)

[3] POULSEN, Kevin. Exclusive: FBI Seizes Control of Russian Botnet. The Daily Beast. 2018-05-23. Dostupné online [cit. 2021-04-20]. (anglicky)

[4] TUNG, Liam. FBI to all router users: Reboot now to neuter Russia's VPNFilter malware. ZDNet [online]. [cit. 2021-04-20]. Dostupné online. (anglicky)

[5] VPNFilter: New Router Malware with Destructive Capabilities. symantec-enterprise-blogs.security.com [online]. [cit. 2021-04-20]. Dostupné online. (anglicky)

[6] VPNFilter, the Unfiltered Story [online]. 29.5.2018 [cit. 2018-06-26]. Dostupné online. ^{[nedostupný zdroj]}

[7] LARGENT, William. VPNFilter Update - VPNFilter exploits endpoints, targets new devices [online]. [cit. 2021-04-20]. Dostupné online.

[1]

[2]

[3]

[4]

[5]

[6]

[7]