VPNFilter: еще хуже, чем казалось поначалу

Зловред VPNFilter, обнаруженный специалистами компании Cisco Talos в мае, оказался более опасным и живучим, чем считалось изначально. На момент обнаружения вредоносного ПО им были инфицированы порядка 500 тысяч маршрутизаторов и сетевых устройств в 54 странах мира. Исследователи предполагали, что обнаружение атаки остановит ее развитие. Этому способствовали и заявления ФБР о том, что агентам Бюро удалось установить контроль над одним из доменов, которые использовались организаторами атаки. Также ранее сообщалось, что ФБР призвало всех пользователей перезагрузить свои роутеры: считалось, что эта мера позволит отследить сетевую инфраструктуру, используемую киберпреступниками.

Все эти надежды не оправдались. Согласно новому отчету Cisco Talos, атака VPNFilter продолжает набирать силу. Если ранее в список уязвимых входили 16 моделей устройств от Linksys, MikroTik, Netgear, TP-Link и QNAP, то теперь этот список пополнили устройства еще и от ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE, а общее число уязвимых моделей выросло до 71. Кроме того, исследователи обнаружили в структуре зловреда новые модули. В частности, модуль ssler способен осуществлять перехват сетевого трафика и в ряде случаев – его расшифровку даже при использовании HTTPS-соединения. Также VPNFilter может полностью выводить из строя инфицированные устройства.

Эксперты Cisco Talos подчеркивают, что VPNFilter не использует какие-либо уязвимости нулевого дня, эксплуатируя достаточно известные проблемы. А потому всем производителям следует незамедлительно выпустить обновление прошивки для своих устройств. Это уже сделано многими компаниями, и установка новой прошивки гарантирует удаление зловреда. Один из руководителей Cisco Talos Крейг Уильямс также раскритиковал действия ФБР. По его мнению, эти действия создают у пользователей «ложное чувство безопасности». В действительности же «возможности VPNFilter намного превосходят наши изначальные предположения», сказал Уильямс.