VPNFilter недооценивали — обнаружены 7 новых модулей вредоноса

VPNFilter недооценивали — обнаружены 7 новых модулей вредоноса

VPNFilter недооценивали — обнаружены 7 новых модулей вредоноса

Исследователи Cisco Talos раскрыли больше подробностей относительно печально известного вредоноса VPNFilter. В ходе исследований специалисты обнаружили семь дополнительных вредоносных модулей, которые могли быть использованы для атак на сетевые маршрутизаторы. С их помощью злоумышленники могли красть данные и создавать скрытую сеть для управления и запуска последующих атак.

Судя по всему, VPNFilter изначально был разработан для целевых атак на Украину в годовщину кибернападения другого знаменитого зловреда — NotPetya. Однако киберпреступники планировали использовать VPNFilter в долгосрочной перспективе.

Возможно, обнаружение вредоносной программы экспертами помешало киберпреступникам осуществить свой изначально план. Однако в Сети все еще присутствуют тысячи маршрутизаторов, уязвимых для VPNFilter. Например, роутеры компании Mikrotik.

Последнее исследование Cisco Talos доказывает, что опасность в их случае никуда не делась. Пользователям надо быть начеку и устанавливать все выходящие обновления безопасности.

Из-за той опасности, которая угрожает пользователям Mikrotik, Cisco опубликовала инструмент под названием Winbon Protocol Dissector, который может использоваться для детектирования вредоносной активности в маршрутизаторах этой компании.

Согласно экспертам, вот эти семь новых модулей VPNFilter, ранее не обнаруженных исследователями:

  • «htpx» — модуль, перенаправляющий и проверяющий содержимое незашифрованного веб-трафика, который проходит через скомпрометированные устройства.
  • «ndbr» — многофункциональная SSH-утилита, которая предоставляет удаленный доступ к устройству. С ее помощью можно передавать файлы по протоколу SCP. Также этот модуль может запускать утилиту сканирования сетевых портов nmap.
  • «nm» — модуль, предназначенный для маппинга сети. С его помощью злоумышленники проводят разведывательные операции.
  • «netfilter» — утилита управления фаерволом, она может использоваться для блокировки ряда сетевых адресов.
  • «portforwarding» — модуль, который позволяет перенаправлять сетевой трафик с устройства в сеть, указанную злоумышленником.
  • «socks5proxy» — модуль, превращающий скомпрометированное устройство в прокси-сервер. Он четко настроен на прослушивание порта 5380. В реализации этого модуля было допущено несколько ошибок.
  • «tcpvpn» — этот модуль позволяет атакующим создать Reverse-TCP VPN на взломанных устройствах. Таким образом киберпреступники подключают их для экспорта данных и удаленного управления.

Напомним, что в мае ФБР рассказало пользователям, что нужно предпринять в случае заражения маршрутизаторов нашумевшим в последнее время вредносом VPNFilter. Оказывается, нужно всего лишь перезагрузить затронутые роутеры. Напомним, что VPNFilter связывают с группировкой Fancy Bear, которая, как многие предполагают, спонсируется Кремлем.

А в июне стало известно, что VPNFilter может также заражать маршрутизаторы от ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

На Госуслугах появится опция подтверждения смены пароля доверенным лицом

Набор средств защиты аккаунтов от мошенников на платформе «Госуслуги» будет дополнен механизмом подтверждения смены пароля доверенным лицом. Об этом заявил журналистам глава Минцифры РФ Максут Шадаев.

Новая функциональность будет доступна как опция. Ожидается, что она заработает в III квартале текущего года.

«При желании любой пользователь портала сможет наделить человека, которому доверяет, полномочиями дополнительно подтверждать смену пароля, — цитирует ТАСС слова министра. — Второй человек тоже должен иметь аккаунт на Госуслугах».

Учетные записи Госуслуг — привлекательная цель для мошенников: в них содержится множество персональных данных, и взлом открывает доступ к различным сервисам, в том числе финансовым, которые можно использовать по своему усмотрению, действуя от имени жертвы.

Одноразовые СМС-коды как дополнительная мера защиты аккаунтов далеко не всегда спасают: злоумышленники научились с успехом их получать, реализуя различные схемы обмана с использованием телефонной связи, а затем блокировать доступ жертве, изменяя пароль. Новая опция закроет эту возможность.

В этом месяце на Госуслугах был запущен сервис «Жизненная ситуация», объединивший все доступные на портале средства противодействия мошенничеству. Здесь также размещены рекомендации для тех, кто столкнулся с мошенниками, и инструкции на случай раскрытия конфиденциальных данных.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru