VPNFilter недооценивали — обнаружены 7 новых модулей вредоноса

Олег Иванов 27 Сентября 2018 - 14:46

Домашние пользователи

...

Исследователи Cisco Talos раскрыли больше подробностей относительно печально известного вредоноса VPNFilter. В ходе исследований специалисты обнаружили семь дополнительных вредоносных модулей, которые могли быть использованы для атак на сетевые маршрутизаторы. С их помощью злоумышленники могли красть данные и создавать скрытую сеть для управления и запуска последующих атак.

Судя по всему, VPNFilter изначально был разработан для целевых атак на Украину в годовщину кибернападения другого знаменитого зловреда — NotPetya. Однако киберпреступники планировали использовать VPNFilter в долгосрочной перспективе.

Возможно, обнаружение вредоносной программы экспертами помешало киберпреступникам осуществить свой изначально план. Однако в Сети все еще присутствуют тысячи маршрутизаторов, уязвимых для VPNFilter. Например, роутеры компании Mikrotik.

Последнее исследование Cisco Talos доказывает, что опасность в их случае никуда не делась. Пользователям надо быть начеку и устанавливать все выходящие обновления безопасности.

Из-за той опасности, которая угрожает пользователям Mikrotik, Cisco опубликовала инструмент под названием Winbon Protocol Dissector, который может использоваться для детектирования вредоносной активности в маршрутизаторах этой компании.

Согласно экспертам, вот эти семь новых модулей VPNFilter, ранее не обнаруженных исследователями:

«htpx» — модуль, перенаправляющий и проверяющий содержимое незашифрованного веб-трафика, который проходит через скомпрометированные устройства.
«ndbr» — многофункциональная SSH-утилита, которая предоставляет удаленный доступ к устройству. С ее помощью можно передавать файлы по протоколу SCP. Также этот модуль может запускать утилиту сканирования сетевых портов nmap.
«nm» — модуль, предназначенный для маппинга сети. С его помощью злоумышленники проводят разведывательные операции.
«netfilter» — утилита управления фаерволом, она может использоваться для блокировки ряда сетевых адресов.
«portforwarding» — модуль, который позволяет перенаправлять сетевой трафик с устройства в сеть, указанную злоумышленником.
«socks5proxy» — модуль, превращающий скомпрометированное устройство в прокси-сервер. Он четко настроен на прослушивание порта 5380. В реализации этого модуля было допущено несколько ошибок.
«tcpvpn» — этот модуль позволяет атакующим создать Reverse-TCP VPN на взломанных устройствах. Таким образом киберпреступники подключают их для экспорта данных и удаленного управления.

Напомним, что в мае ФБР рассказало пользователям, что нужно предпринять в случае заражения маршрутизаторов нашумевшим в последнее время вредносом VPNFilter. Оказывается, нужно всего лишь перезагрузить затронутые роутеры. Напомним, что VPNFilter связывают с группировкой Fancy Bear, которая, как многие предполагают, спонсируется Кремлем.

А в июне стало известно, что VPNFilter может также заражать маршрутизаторы от ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Яков Шпунт 18 Декабря 2025 - 12:14

Мошенничество Домашние пользователи

Мошенники в России активно переходят на наличные

По данным банка ВТБ, около половины всех хищений средств сегодня совершается с использованием наличных. При этом деньги жертвы передают злоумышленникам добровольно — лично или через курьеров. Как правило, мошенники действуют с помощью манипуляций: представляясь сотрудниками регуляторов или правоохранительных органов, они вводят людей в состояние паники, заявляя об угрозе их сбережениям.

Под предлогом «спасения» денег, находящихся на счетах, аферисты убеждают жертв обналичить средства и передать их курьеру — якобы для «ответственного хранения» или перевода на «безопасный счёт».

Реже злоумышленники требуют спрятать наличные в тайнике или оставить их, например, в почтовом ящике. О подобных схемах банк предупреждал ещё в июле.

Как показало исследование Следственного департамента МВД, выдержки из которого привела официальный представитель ведомства Ирина Волк, мошенники нередко сопровождают требования по передаче денег откровенно абсурдными условиями. Например, просят завернуть купюры в фольгу — якобы для защиты от электромагнитного излучения. Также часто используются предметы одежды: джинсы, халаты, носки. Встречаются и более экзотические варианты — деньги предлагают положить в банку с домашними консервами или в упаковку с детскими подгузниками.

По мнению авторов исследования, такими требованиями злоумышленники решают сразу две задачи. Во-первых, они убеждают жертву, что та участвует в некой «спецоперации», где каждая деталь важна и требует строгого выполнения. Во-вторых, абсурдные инструкции помогают вывести человека из эмоционального равновесия. Кроме того, это своего рода тест на критическое мышление: если человек сомневается и указывает на нелепость требований, давление усиливается, а если готов беспрекословно выполнять указания — мошенники продолжают сценарий.

Как отметил заместитель руководителя департамента по обеспечению безопасности, вице-президент ВТБ Дмитрий Саранцев, ранее злоумышленники чаще требовали переводить деньги на подконтрольные им счета. Однако развитие систем банковского фрод-мониторинга привело к тому, что такие операции всё чаще выявляются и блокируются. В результате мошенники всё активнее переходят к схемам с наличными.

В банке рекомендуют немедленно прекращать разговор, если собеседник предлагает «для защиты» сбережений передать деньги «курьерам», «инкассаторам» или оставить их в тайнике. Для проверки любой информации следует обращаться только по официальным каналам банка.

Профильное управление МВД также предупреждает о резком росте схем с использованием наличных. В частности, злоумышленники всё чаще используют несуществующее в российском правовом поле понятие «дистанционного обыска», например под предлогом проверки подлинности купюр.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »