-
-
-
- Новости
- Услуги
- Сообщить об инциденте
- CERT
- Контакты
-
Malware-ul VPNFilter este o platformă modulară cu mai multe etape, capabilă să suporte atât operațiunile de colectare a informațiilor, cât și cele distrugătoare de atacuri cibernetice.
Stadiul 1 al malware-ului VPNFilter infectează dispozitive care rulează firmware bazate pe Busybox și Linux.
Malware-ul din stadiul 1 persistă prin reboot, se adaugă la crontab, planificatorul de task-uri în Linux, pentru a atinge persistența.
Odată ce malware-ul a finalizat inițializarea, acesta începe să descarce pagini din adresele URL prestabilite.
Adresele URL au fost indicate către Photobucket.com, o gazdă de partajare a imaginilor. Malware-ul descarcă prima imagine din galeria pe care se referă adresa URL și apoi continuă să extragă adresa IP a serverului de descărcare. Adresa IP (C2) este extrasă din șase valori întregi pentru latitudinea și longitudinea GPS în informațiile EXIF.
Malware-ul din stadiul 2, care nu persistă prin repornire, posedă capabilități pe care le-am așteptat într-o platformă de colectare a informațiilor, cum ar fi colectarea de fișiere, execuția de comenzi, filtrarea datelor și gestionarea dispozitivelor.
Comunicarea C2 și descărcările suplimentare de programe malware apar peste conexiuni criptate folosind Tor sau SSL
Instalarea modulelor de etapă 3
Adresele URL au indicat către Photobucket.com, o gazdă de partajare a imaginilor. Malware-ul descarcă prima imagine din galeria pe care se referă adresa URL și apoi continuă să extragă adresa IP a serverului de descărcare. Adresa IP este extrasă din șase valori întregi pentru latitudinea și longitudinea GPS în informațiile EXIF.
Dispozitive infectate efectuează scanări TCP pe porturile 23, 80, 2000 și 8080.
Dispozitive potenţial afectate sunt: TP-link R600VPN; Linksys E1200, E2500 WRVS4400N; Mikrotik RouterOS: 1016, 1036, 1072; Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000; QNAP: TS251, TS439 Pro
Orange CERT consideră acest program malware drept o amenințare potențial gravă. Este important de remarcat că exploatarea campaniei a început de la câteva luni și a crescut pe 17 mai. (În Ucraina)
În cazul unei activități suspecte pe dispozitive, Orange Moldova CERT recomandă să actualizați firmware-ul dispozitivelor.