Вредоносная программа VPNFilter не так давно всколыхнула ИБ-сообщество, заразив 500 000 маршрутизаторов и NAS-устройств в 54 странах. Оказалось, что этого вредоноса недооценили — согласно опубликованному Cisco Talos отчету, VPNFilter может также заражать маршрутизаторы от ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.

Напомним, первоначально считалось, что данный зловред предназначен для атак роутеров Linksys, MikroTik, Netgear, TP-Link и QNAP.

Таким образом, количество заражаемых VPNFilter моделей маршрутизаторов выросло с 16 до 71 (16 моделей упоминались в первом отчете Cisco).

Более того, исследователи также сообщили об обнаружении новых возможностей этой вредоносной программы, за которые отвечают специальные плагины.

Специалисты отметили два новых плагина:

• ssler — перехватывает и модифицирует трафик на 80 порту, реализуя атаку «Человек посередине». Также этот плагин поддерживает даунгрейд с HTTPS на HTTP.
• dstr — плагин, перезаписывающий файлы прошивки устройства.

Это только дополнительные плагины к тем, которые уже были известны компании:

• ps — плагин, сканирующий сетевые пакеты, способен обнаруживать определенные типы сетевого трафика.
• tor — плагин, используемый ботами VPNFilter для связи с командным сервером (C&C) через сеть Tor.

Технический разбор плагинов ssler, dstr и ps доступен в опубликованном Cisco отчете.

Приводим список устройств, атакуемых VPNFilter:

Asus:

• RT-AC66U (new)
• RT-N10 (new)
• RT-N10E (new)
• RT-N10U (new)
• RT-N56U (new)
• RT-N66U (new)

D-Link:

• DES-1210-08P (new)
• DIR-300 (new)
• DIR-300A (new)
• DSR-250N (new)
• DSR-500N (new)
• DSR-1000 (new)
• DSR-1000N (new)

Huawei:

• HG8245 (new)

Linksys:

• E1200
• E2500
• E3000 (new)
• E3200 (new)
• E4200 (new)
• RV082 (new)
• WRVS4400N

Mikrotik: (устранено в RouterOS версии 6.38.5)

• CCR1009 (new)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (new)
• CRS112 (new)
• CRS125 (new)
• RB411 (new)
• RB450 (new)
• RB750 (new)
• RB911 (new)
• RB921 (new)
• RB941 (new)
• RB951 (new)
• RB952 (new)
• RB960 (new)
• RB962 (new)
• RB1100 (new)
• RB1200 (new)
• RB2011 (new)
• RB3011 (new)
• RB Groove (new)
• RB Omnitik (new)
• STX5 (new)

Netgear:

• DG834 (new)
• DGN1000 (new)
• DGN2200
• DGN3500 (new)
• FVS318N (new)
• MBRN3000 (new)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (new)
• WNR4000 (new)
• WNDR3700 (new)
• WNDR4000 (new)
• WNDR4300 (new)
• WNDR4300-TN (new)
• UTM50 (new)

QNAP:

• TS251
• TS439 Pro
• Другие NAS-устройства QNAP с QTS

TP-Link:

• R600VPN
• TL-WR741ND (new)
• TL-WR841N (new)

Ubiquiti:

• NSM2 (new)
• PBE M5 (new)

UPVEL:

• Список моделей неизвестен (new)

ZTE:

• ZXHN H108N (new)

Напомним, ФБР рассказало пользователям, что нужно предпринять в случае заражения маршрутизаторов вредносом VPNFilter. Оказывается, нужно всего лишь перезагрузить затронутые роутеры. VPNFilter связывают с группировкой Fancy Bear, которая, как многие предполагают, спонсируется Кремлем.