Pół miliona domowych routerów ze szpiegowskim oprogramowaniem

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19140
Reakcje/Polubienia
55664
Co najmniej pół miliona urządzeń firm takich jak Linksys, Netgear, TP-Link, Mikrotik i QNAP zostało zainfekowane zaawansowanym złośliwym oprogramowaniem, które potrafi m. in. podsłuchiwać ruch użytkownika.

Domowe routery czy serwery plików są nieustannie narażone na ataki – najczęściej nie chronione przez inne mechanizmy bezpieczeństwa, wystawione do sieci, dostępne dla każdego zainteresowanego, a jednocześnie niepozbawione poważnych błędów, są idealnym celem ataków. Ktoś to zauważył i od wielu miesięcy mozolnie infekował wiele z nich w 54 różnych krajach. Jednym z największych celów napastników okazała się Ukraina.

Tajemniczy atak z pewnymi tropami
Zespół Talos firmy Cisco
Zaloguj lub Zarejestruj się aby zobaczyć!
dzisiaj wstępną analizę zagrożenia nazwanego VPNFilter. Jak podkreślają badacze, nie dysponują pełną wiedzą na temat tego ataku, a wręcz zakładają, że ich dotychczasowa wiedza jest szczątkowa, jednak z uwagi na trwające na sporą skalę ataki zdecydowali się ujawnić do tej pory zebrane informacje.

VPNFilter to wielomodułowa platforma pozwalająca na skuteczne i trwałe infekowanie niektórych routerów oraz dysków sieciowych. Pierwszy etap infekcji złośliwym oprogramowaniem to prosty moduł instalowany w zarażonym urządzeniu, który potrafi przetrwać restart i służy do pobrania modułu głównego. Drugi etap infekcji to moduł główny, który zarządza działaniem szkodnika i może dodatkowo pobierać elementy trzeciego etapu infekcji – wyspecjalizowane wtyczki służące do realizacji bardziej specyficznych celów atakujących.

vpnfilter-580x424.jpg

Niektóre elementy użyte w kodzie złośliwego oprogramowania pokrywają się z analogicznymi elementami użytymi w atakach BlackEnergy, przypisywanych rosyjskiemu wywiadowi wojskowemu. Ostatnie kampanie VPNFiltera skierowane były na użytkowników z Ukrainy, gdzie BlackEnergy powodował do tej pory największe straty. Nie oznacza to jednak automatycznie, że za złośliwym kodem stoją Rosjanie – równie dobrze ktoś mógł zostawić fałszywe tropy.

Jak działa złośliwy kod
Etap infekcji nie został bezpośrednio zaobserwowany, jednak wszystkie zidentyfikowane zainfekowane urządzenia posiadały nieaktualne wersje oprogramowania a błędy, pozwalające na przejęcie nad nimi kontroli, były publicznie znane. Wiele zatem wskazuje na to, że do ataków użyto na pierwszym etapie znanych podatności.

Pierwszy moduł instalowany jest na urządzeniach działających pod kontrolą Linuksa i używających Busyboksa. Moduł skompilowany jest pod kilka różnych architektur. Aby przetrwać restart urządzenia modyfikuje pamięć NVRAM i dodaje się do crontaba. Komunikacja z serwerem C&C odbywa się za pomocą protokołu SSL lub poprzez sieć Tor. Dane serwera C&C są pobierane z odpowiednio przeliczonych koordynat GPS z tagów EXIF zdjęć umieszczonych w serwisie Photobucket lub na jednym z serwerów skonfigurowanych przez atakujących. W razie gdyby żaden z serwerów ze zdjęciami nie był dostępny, złośliwy kod przełącza się w tryb nasłuchu i czeka na bardzo konkretny pakiet – musi on mieć ustawioną flagę SYN, przyjść na publiczny adres IP interfejsu, mieć co najmniej 8 bajtów i zawierać ciąg \x0c\x15\x22\x2b. Wtedy z kolejnych znaków payloadu odczytywany jest adres nowego serwera C&C.

Gdy moduł pierwszy połączy się z C&C, otrzymuje moduł główny. Jego funkcje z kolei obejmują:

  • zniszczenie urządzenia (przez nadpisanie /dev/mtdblock0 zerami i restart),
  • wykonanie dowolnego polecenia,
  • uruchomienie serwera proxy,
  • instalowanie dodatkowego modułu.
Do tej pory (nie licząc stosunkowo rzadkiej w tego rodzaju oprogramowaniu funkcji przetrwania restartu) było w miarę standardowo. Ciekawie robi się na etapie analizy zidentyfikowanych modułów. Okazuje się bowiem, że mają one dość zaawansowane funkcje. Najciekawiej wygląda sniffer pakietów, który podsłuchuje cały ruch internetowy urządzenia (czyli ruch sieci za nim stojącej skierowany do i z internetu) i przeszukuje pod kątem ciągów HTTP basic authentication (dane służące do logowania do serwerów WWW) oraz pakietów Modbus TCP/IP, protokołu służącego często do sterowania urządzeniami SCADA. Drugi analizowany moduł konfiguruje klienta sieci Tor. Badacze sugerują także, że widzieli ślady trzeciego modułu, który z kolei miał pomagać w penetracji sieci znajdującej się za zainfekowanym urządzeniem.

Jakie urządzenia są infekowane
Badacze podali listę urządzeń, na których do tej pory obserwowali infekcje:

  • Linksys E1200, E2500, WRVS4400N
  • MikroTik RouterOS dla Cloud Core Routers 1016, 1036, 1072 (zapis w oryginalnym artykule: MIKROTIK ROUTEROS VERSIONS FOR CLOUD CORE ROUTERS: 1016, 1036, 1072)
  • Netgear DGN2200, R6400, R7000, R8000, WNR1000, WNR2000
  • QNAP TS251, TS439 Pro, inne urządzenia działające pod kontrolą QTS
  • TP-Link R600VPN
Niestety dla ich posiadaczy nie mamy dobrych wiadomości – nie znamy dobrej metody sprawdzenia, czy urządzenie jest zainfekowane. Talos rekomenduje przywrócenie urządzenia do ustawień fabrycznych i instalację wszystkich dostępnych aktualizacji oprogramowania. Jeśli macie jedno z wyżej wymienionych urządzeń dostępnych na publicznym interfejsie w internecie i nie instalowaliście aktualizacji, zalecamy zastosowanie się do rekomendacji Talosa.

Najnowsze obserwacje
Badacze Talosa postanowili podzielić się swoim odkryciem ze względu na obserwowane fale skanowania i infekowania urządzeń znajdujących się na Ukrainie. Co ciekawe, urządzenia infekowane na Ukrainie miały skonfigurowany inny serwer C&C niż cała reszta świata. Biorąc pod uwagę skalę ataków badacze Talosa obawiają się, że lada moment mogło dojść do eskalacji np. przez użycie funkcji uszkadzania urządzeń, stąd podjęli decyzję o opublikowaniu wyników swojego śledztwa.
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!


Szczegółowy opis zagrożenia wraz z listą IOC znajdziecie
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Ostatnio edytowane przez moderatora:

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35550
Reakcje/Polubienia
24586
Miasto
Trololololo
Więc pozostaje życzyć udanego surfowania :sarkazm
 

DziadDalf

Bardzo aktywny
Fąfel
Dołączył
27 Maj 2010
Posty
3332
Reakcje/Polubienia
1951
Miasto
Z DziadLandu ;p
:gwiazdy noi już sobie zaktualizowałeś router :szydera,
Po pierwsze multum ludzi nie wie o takich rzeczach, nie wypominając że nie potrafią wejść w sam router bo to zbyt skomplikowane (dla nich) a co dopiero zaktualizować firmware.
Po drugie czasem ktoś im ustawiał router i nawet nie wpadną na pomysł robienia kopi ustawień (ani nawet sobie nie spiszą ich na kartkę, są nieraz aktualizacje które wprost piszą o braku możliwości użycia backupa ze starszej wersji oprogramowania), zaktualizują firmware się okaże że internety nie działają i krzyk. Jak to mówią działa to nie ruszać, o głupim braku zasilania np. podczas aktualizacji nie wspominając a na aktualizowaniu oprogramowania przez wifi kończąc).
A już nie mówiąc że nie będą się w to bawić co tydzień. Bo wcale nie daje im to żadnej gwarancji. Ustawienie restartów przez osoby które nie mają pojęcia o swoim sprzęcie i o tym jak to działa może być jeszcze śmieszniejsze... jeśli kojarzysz jak niektóre działają tracą ustawienia daty itd. jak np "nie mają internetu" itd. i braknie zasilania na chwile.

ps. bym zapomniał polecam OpenWRT (LEDE), DD-WRT itd. ;p
 
Ostatnia edycja:

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19140
Reakcje/Polubienia
55664

wwd

Bardzo aktywny
Dołączył
22 Styczeń 2012
Posty
362
Reakcje/Polubienia
257
Czy ACL nie powinno być ustawione na "Deactivated"?
Co jak ostatni fw mam z 2009? Nic nowego na niego nie wyjdzie podobno jak z procem E8600.... nie ma co liczyć na żadne łatki.
Jest jakiś router w rozsądnych pieniądzach (najlepiej z adsl), który w tym momencie jest bezpieczny?
 

wwd

Bardzo aktywny
Dołączył
22 Styczeń 2012
Posty
362
Reakcje/Polubienia
257
Wiadomo że to co dobre musi kosztować, niestety na router mógłbym wydać do 200zł.
W tej cenie to chyba nic sensownego nie ma.
Zastanawiam się w takim razie czy nie jest bardziej bezpieczne w tym przypadku łączyć się za pomocą zwykłego modemu adsl.
Z wi-fi nie korzystam, czasem potrzebuję drugiego portu lan (ale to też nie tak często), w sumie to mam mało czasu teraz na internet... może to lepiej :)
Poczta, nowe posty na kilku forach i to wszystko, no i oczywiście przelewy za rachunki i zakupy.
Czas chyba zacząć je robić ze slaxa....
 

Elvis

Bardzo aktywny
Ekspert
Dołączył
21 Czerwiec 2012
Posty
2304
Reakcje/Polubienia
850
Czy ACL nie powinno być ustawione na "Deactivated"?
Co jak ostatni fw mam z 2009? Nic nowego na niego nie wyjdzie podobno jak z procem E8600.... nie ma co liczyć na żadne łatki.
Jest jakiś router w rozsądnych pieniądzach (najlepiej z adsl), który w tym momencie jest bezpieczny?
A jaki masz teraz router? Może jest na niego jakieś dd-wrt albo OpenWRT
 
  • Lubię to
Reactions: wwd

.m.

Wygadany
Dołączył
1 Grudnia 2011
Posty
79
Reakcje/Polubienia
36
w koncu na cos ten moj netis jest odporny :sarkazm niestety ale z aktualizacjami producenci sobie leca w kule. do mojego ostatnia aktualizacja to koniec 2016. i rece opadaja, mozna pisac, prosic o wydanie aktualizacji chocby o latki jakie sa gdzies wydawane... za chiny ludowe nic nie zrobia. i tak tez maja inni producenci. dlatego przyjalem nowa strategie zakupowa - pierwsze co to szukac bede informacji jak traktuja aktualizacje do starszych sprzetow. i dopiero po tym odsiewie bede cos wybieral. tyczy sie to zarowno koputerow, routerow itd. na pierwszy odstrzal poszedl telefon- padlo na xiaomi bo nie leca w kule ani z wydawaniem aktualizacji ani cenami. nawet najtansze nowe modele otrzymaja aktualizacje do oreo i zawsze najnowsze miui. za jakis czas moze wymienie komputer i router :] wyklaruje sie do tego czasu ktorzy produceci olali temat :)
 
Do góry