Нова кібератака на Україну. Що відомо на даний момент

25 травня 2018, 05:33

Напередодні фіналу Ліги Чемпіонів з'явилися повідомлення про нову кібератаку, яка готується проти України. СБУ припускає, що метою була дестабілізація під час фіналу чемпіонату. НВ зібрало, що відомо на цей момент.

В СБУ говорять про "російський слід". І це не перша кібератака з боку північного сусіда. Рівно рік тому Україна опинилася по ударом вірусу Petya.A. Цього разу хакери використовують зовсім інші методи атаки.

Відео дня

НВ з'ясувало, що відбувається, кого торкнеться атака і як захиститися від неї.

Що говорять?

Про підготовку кібератаки заявили вже кілька джерел, зокрема, повідомлення надходили і від СБУ, і від кіберполіції.

Першоджерелом стала публікація в блозі Cisco Talos. Компанія повідомляє, що протягом кількох останніх місяців займалася дослідженням складного шкідливого ПО, якому дали назву VPNFilter. Однак останні відомості змусили розкрити інформацію до завершення дослідження, щоб у ймовірних жертв була можливість вжити заходів.

Шкідливе ПО схоже на BlackEnergy — вірус, який заподіяв численні широкомасштабні атаки зокрема на енергосистему і державні органи України в 2015-2016 роках.

«Заражені в Україні пристрої знаходяться на стадії 2 управління зловмисниками. Тобто на них встановлені модулі перехоплення трафіку (мережева розвідка, перехоплення нешифрованих даних авторизації, дані АСУТП за протоколом MOFBUS) і модуль мережевого сканування (TCP-скани за портами 23, 80, 2000 і 8080 — тобто пошук в мережі пристроїв Mikrotik і QNAP NAS як нових об'єктів атаки). Особливістю VPNFilter є ймовірна націленість на системи АСУТП, на це вказують фрагменти коду VPNFilter і BlackEnergy, що збігаються. Завантаження додаткових модулів йде за протоколами TOR і SSL», — роз'яснює Володимир Кург, R&D-директор «ІТ-Інтегратор» в публікації на сторінці компанії в Facebook.

Хтось уже постраждав?

За даними звіту, станом на момент його публікації зараження зазнали не менше 500 000 пристроїв в 54 країнах, але здебільшого це Україна.

Кіберполіція повідомляє, що вже співпрацює з Cisco Talos для протидії атаці. Пiд загрозою перебувають пристрої, що мають реальну IP-адресу та стару прошивку. Крім того, це роутери, на яких використовується логін і пароль за замовчуванням.

На сайті органу йдеться, що атаці піддається наступне обладнання:

  • Linksys: E1200, E2500, WRVS4400N;
  • Mikrotik RouterOS (всі версії нижче 6.42.1);
  • Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
  • QNAP: TS251, TS439 Pro, інші QNAP NAS пристроі з ПЗ QTS;
  • TP-Link: R600VPN.

У публікації Cisco Talos повідомляється, що інші постачальники, включаючи Cisco, не були помічені як заражені шкідливим ПЗ. Однак це не фінальний результат, дослідження тривають. У блозі йдеться, що атака може привести до відключення доступу в інтернет для сотень тисяч пристроїв.

Хто стоїть за атакою?

В СБУ припускають, що джерелом атаки є хакери з Російської Федерації, а їх метою — дестабілізація ситуації в країні в період фіналу Ліги Чемпіонів.

«Висновки криміналістичного дослідження показують, що вірусне програмне забезпечення VPNFilter дозволяє зловмисникам перехоплювати весь трафік, що проходить через уражений пристрій (включаючи дані авторизації і персональні дані платіжних систем), збирати і вивантажувати інформацію, дистанційно керувати інфікованим пристроєм і навіть виводити його з ладу. [...]

[...] Фахівці СБУ вважають, що інфікування обладнання саме на території України — підготовка до чергового акту кіберагресіі з боку РФ, спрямованого на дестабілізацію ситуації під час проведення фіналу Ліги Чемпіонів. Про це свідчить і те, що запланований механізм кібератаки збігається з техніками, які використовувалися в 2015-2016 роках під час кібератаки BlackEnergy», — йдеться в повідомленні на сайті структури.

Як захиститися?

В Cisco кажуть, що обладнання, яке зазнало зараження, досить складно захистити і вони не впевнені, що поради будуть універсальні і дієві для всіх. Детальна інструкція щодо захисту обладнання для фахівців є в оригінальній публікації.

Рекомендації щодо захисту від кіберполіції:

  • користувачам та власникам домашніх роутерів, бездротових маршрутизаторів малих офісів та мережевих файлових сховищ необхідно невідкладно здійснити RESET до заводських налаштувань (потрібно зробити саме скидання налаштувань, а не перезавантаження), з метою видалення потенційно небезпечних шкідливих програмних модулів з оперативної пам’яті пристроїв;

  • у випадку, коли є підстави вважати будь-який пристрій в локальній мережі ураженим зазначеним видом шкідливого програмного забезпечення, невідкладно оновити його програмну прошивку до останньої актуальної версії;

  • якщо в операційній системі мережевого пристрою є функція доступу до його файлової системи, перевірити наявність файлів в директоріях «/var/run/vpnfilterw», «var/run/tor», «var/run/torrc», «var/run/tord» та видалити їх вміст.

Рекомендації щодо захисту від ІТ-Інтегратор:

Відомі станом на вчора URL і адреси серверів управління — заблокуйте їх:

Першої стадії:

photobucket [.] com/user/nikkireed11/library, photobucket [.] com/user/kmila302/library, photobucket [.] com/user/lisabraun87/library, photobucket [.] com/user/eva_green1/library, photobucket [.] com/user/monicabelci4/library, photobucket [.] com/user/katyperry45/library

photobucket [.] com/user/saragray1/library, photobucket [.] com/user/millerfred/library, photobucket [.] com/user/jeniferaniston1/library, photobucket [.] com/user/amandaseyfried1/library, photobucket [.] com/user/suwe8/library, photobucket [.] com/user/bob7301/library, toknowall [.] com

Другої стадії:

91.121.109 [.] 209, 217.12.202 [.] 40, 94.242.222 [.] 68, 82.118.242 [.] 124, 46.151.209 [.] 33, 217.79.179 [.] 14, 91.214. 203 [.] 144, 95.211.198 [.] 231, 195.154.180 [.] 60, 5.149.250 [.] 54, 91.200.13 [.] 76, 94.185.80 [.] 82, 62.210.180 [.] 229, zuh3vcyskd4gipkm [.] onion/bin32/update.php

Інші індикатори компрометації — в запису Talos Blog. Там же — номери правил Snort для цієї загрози.

Інформація для користувачів систем захисту Cisco

Cisco оновили в автоматичному режимі індикаторами компрометації VPNFilter бази загроз наступних продуктів Advanced Malware Protection (AMP), Cloud Web Security (CWS), Network Security, ThreatGrid, Umbrella, and Web Security Appliance (WSA) і StealthWatch

УВАГА: для StealthWatch потрібна дод. конфігурація, інструкція по налаштуванню виявлення VPNFilter C2 трафіку — за тим же посиланням Talos Blog.

Заходи захисту для SOHO-користувачів («малий офіс/домашній офіс») і інтернет-провайдерів, які надали користувачам в оренду вразливі пристрої:

  • зафіксувати/записати поточну мережеву конфігурацію пристрою;
  • скинути конфігурацію в factory defaults і перезавантажити пристрій;
  • відновити мережеву конфігурацію за п. 1;
  • встановити останні оновлення від виробника.

Показати ще новини
Радіо НВ
X