VPNFilter недооценивали — обнаружены 7 новых модулей вредоноса

Олег Иванов 27 Сентября 2018 - 14:46

Домашние пользователи

...

Исследователи Cisco Talos раскрыли больше подробностей относительно печально известного вредоноса VPNFilter. В ходе исследований специалисты обнаружили семь дополнительных вредоносных модулей, которые могли быть использованы для атак на сетевые маршрутизаторы. С их помощью злоумышленники могли красть данные и создавать скрытую сеть для управления и запуска последующих атак.

Судя по всему, VPNFilter изначально был разработан для целевых атак на Украину в годовщину кибернападения другого знаменитого зловреда — NotPetya. Однако киберпреступники планировали использовать VPNFilter в долгосрочной перспективе.

Возможно, обнаружение вредоносной программы экспертами помешало киберпреступникам осуществить свой изначально план. Однако в Сети все еще присутствуют тысячи маршрутизаторов, уязвимых для VPNFilter. Например, роутеры компании Mikrotik.

Последнее исследование Cisco Talos доказывает, что опасность в их случае никуда не делась. Пользователям надо быть начеку и устанавливать все выходящие обновления безопасности.

Из-за той опасности, которая угрожает пользователям Mikrotik, Cisco опубликовала инструмент под названием Winbon Protocol Dissector, который может использоваться для детектирования вредоносной активности в маршрутизаторах этой компании.

Согласно экспертам, вот эти семь новых модулей VPNFilter, ранее не обнаруженных исследователями:

«htpx» — модуль, перенаправляющий и проверяющий содержимое незашифрованного веб-трафика, который проходит через скомпрометированные устройства.
«ndbr» — многофункциональная SSH-утилита, которая предоставляет удаленный доступ к устройству. С ее помощью можно передавать файлы по протоколу SCP. Также этот модуль может запускать утилиту сканирования сетевых портов nmap.
«nm» — модуль, предназначенный для маппинга сети. С его помощью злоумышленники проводят разведывательные операции.
«netfilter» — утилита управления фаерволом, она может использоваться для блокировки ряда сетевых адресов.
«portforwarding» — модуль, который позволяет перенаправлять сетевой трафик с устройства в сеть, указанную злоумышленником.
«socks5proxy» — модуль, превращающий скомпрометированное устройство в прокси-сервер. Он четко настроен на прослушивание порта 5380. В реализации этого модуля было допущено несколько ошибок.
«tcpvpn» — этот модуль позволяет атакующим создать Reverse-TCP VPN на взломанных устройствах. Таким образом киберпреступники подключают их для экспорта данных и удаленного управления.

Напомним, что в мае ФБР рассказало пользователям, что нужно предпринять в случае заражения маршрутизаторов нашумевшим в последнее время вредносом VPNFilter. Оказывается, нужно всего лишь перезагрузить затронутые роутеры. Напомним, что VPNFilter связывают с группировкой Fancy Bear, которая, как многие предполагают, спонсируется Кремлем.

А в июне стало известно, что VPNFilter может также заражать маршрутизаторы от ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Апреля 2026 - 16:09

Windows Домашние пользователи Google

В Google Chrome усложнили кражу cookie — новая защита от угона сессий

Google перевела функцию Device Bound Session Credentials (DBSC) в общую доступность для пользователей Chrome на Windows. Теперь эта защита работает в Chrome 146 и должна заметно осложнить жизнь тем, кто крадёт сессионные cookies, чтобы потом входить в чужие аккаунты без пароля.

Принцип работы DBSC кроется в том, что браузер не просто хранит cookie, а криптографически привязывает сессию к конкретному устройству.

Даже если зловред украдёт cookie из браузера, использовать их на другой машине будет уже гораздо труднее — по сути, они быстро потеряют ценность для атакующего.

Особенно актуально это на фоне популярности так называемых инфостилеров. Такие вредоносные программы собирают с заражённых устройств всё подряд: пароли, данные автозаполнения, токены и, конечно, cookie. Этого бывает достаточно, чтобы злоумышленник зашёл в учётную запись жертвы, даже не зная её пароль. Потом такие данные нередко перепродают другим участникам киберпреступного рынка.

DBSC должна ломать именно такой сценарий. На Windows технология опирается на Trusted Platform Module, а на macOS — на Secure Enclave. С их помощью создаётся уникальная пара ключей, причём закрытый ключ не покидает устройство. Когда сайту нужно выдать новую короткоживущую cookie, Chrome должен доказать, что у него есть нужный закрытый ключ. Если ключ не на том устройстве, схема просто не срабатывает.

При этом Google подчёркивает, что технология задумана с упором на конфиденциальность. По данным компании, DBSC не должна превращаться в новый механизм слежки: сайт получает только тот минимум данных, который нужен для подтверждения владения ключом, без передачи постоянных идентификаторов устройства или дополнительных данных аттестации.

Есть и важная оговорка: если устройство не поддерживает безопасное хранение ключей, Chrome не ломает аутентификацию и просто откатывается к обычной схеме работы. То есть пользователи не должны столкнуться с внезапными сбоями входа только потому, что их железо не подходит под новую модель защиты.

Пока публичный запуск ограничен Windows-пользователями Chrome 146, но Google уже подтвердила, что поддержку macOS добавят в одном из следующих релизов. Компания также заявила, что после начала внедрения DBSC уже заметила заметное снижение случаев кражи сессий.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!