Bezpečnostné varovanie V20180524-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP WHITE |
| CVSS Skóre |
– |
| Identifikátor |
| Malvér VPNFilter napáda domáce routre a buduje rozsiahly botnet |
| Popis |
|
Novoobjavený malvér VPNFilter je komplexný, viacstupňový malvér infikujúci rôzne IoT zariadenia, domáce routre rôznych výrobcov a sieťové úložiská QNAP. Aktuálne sa predpokladá, že malvér infikoval viac ako 500 000 zariadení v najmenej 54 krajinách. Počas prvej fázy malvér infikuje zariadenie a modifikuje údaje v permanentnom úložisku zariadenias (NVRAM) a v linuxovom správcovi úloh crontab, s cieľom zaistiť si trvalú prítomnosť v infikovanom zariadení, ktorá nie je narušená ani jeho reštartovaním. Následne sa malvér pokúša pripojiť na preddefinované URL adresy, z ktorých sťahuje riadiace príkazy. V druhej fáze je malvér schopný zbierať informácie zo zariadenia a odosielať ich riadiacemu serveru C2 (Command & Control), vykonáva príkazy zasielané z riadiaceho serveru, na príkaz útočníka tiež dokáže znefunkčniť napadnuté zariadenie prostredníctvom prepísania firmvéru zariadenia. Fáza tri predstavuje akúsi nadstavbu druhej fázy, kedy je malvér schopný odchytávať prihlasovacie údaje navštívených webových stránok, dáta Modbus SCADA protokolu a monitorovať sieťovú prevádzku. Ďalšou z funkcií sprístupnených počas tretej fázy je tiež komunikácia s riadiacim serverom prostredníctvom anonymizačného nástroja Tor. |
| Dátum prvého zverejnenia varovania |
| 23.05.2018 |
| CVE |
| – |
| Zasiahnuté systémy |
|
V súčasnosti nemáme vedomosť o jednoduchom spôsobe overenia, či je konkrétne zariadenie infikované. Linksys zariadenia: E1200 E2500 WRVS4400N Mikrotik RouterOS verzie pre Cloud Core Routre: 1016 1036 1072 Netgear zariadenia: DGN2200 R6400 R7000 R8000 WNR1000 WNR2000 QNAP zariadenia: TS251 TS439 Pro TP-Link zariadenia: R600VPN |
| IoC |
|
Spojené s prvou fázou photobucket[.]com/user/nikkireed11/library photobucket[.]com/user/kmila302/library photobucket[.]com/user/lisabraun87/library photobucket[.]com/user/eva_green1/library photobucket[.]com/user/monicabelci4/library photobucket[.]com/user/katyperry45/library photobucket[.]com/user/saragray1/library photobucket[.]com/user/millerfred/library photobucket[.]com/user/jeniferaniston1/library photobucket[.]com/user/amandaseyfried1/library photobucket[.]com/user/suwe8/library photobucket[.]com/user/bob7301/library toknowall[.]com Spojené s druhou fázou 91.121.109[.]209 217.12.202[.]40 94.242.222[.]68 82.118.242[.]124 46.151.209[.]33 217.79.179[.]14 91.214.203[.]144 95.211.198[.]231 195.154.180[.]60 5.149.250[.]54 91.200.13[.]76 94.185.80[.]82 62.210.180[.]229 zuh3vcyskd4gipkm[.]onion/bin32/update.php Malvér v prvej fáze 50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec 0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92 Malvér v druhej fáze 9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17 d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e 4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b 9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387 37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4 776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d 8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1 0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b Zásuvné moduly v tretej fáze f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344 afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719 Self-Signed Certificate Fingerprints d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747 c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851 f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5 27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302 110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8 fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78 cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526 110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8 909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b 044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4 c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412 8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806 c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412 |
| Následky |
|
Vykonanie škodlivého kódu Zneprístupnenie služby Neoprávnený prístup k citlivým údajom Neoprávnený prístup do systému Neoprávnená zmena v systéme |
| Odporúčania |
| Výrobcovia napadnutých zariadení pracujú na vývoji bezpečnostných záplat opravujúcich zraniteľnosti vo firmvéroch. Odporúčame sledovať stránky výrobcu a po vydaní bezpečnostných záplat vykonať aktualizáciu na ich najnovšie verzie. Administrátorom odporúčame zresetovať zariadenia do ich pôvodných nastavení, zmeniť pôvodné heslá a vypnúť funkciu vzdialenej správy, pokiaľ je na zariadení spustená. Odporúčame tiež kontaktovať výrobcu či distribútora vašich zariadení a informovať sa o najvhodnejšom postupe ich zabezpečenia. |
« Späť na zoznam
