В сотнях сетей все еще присутствуют устройства, зараженные VPNFilter

Татьяна Никитина 20 Января 2021 - 18:35

Домашние пользователи

...

Многофункциональный зловред VPNFilter, сумевший заразить 500 тыс. роутеров в 54 странах, потерял управление два года назад, но до сих пор не вычищен из сотен сетей и ждет своего часа. Таковы плачевные результаты очередной проверки, проведенной исследователями из Trend Micro.

Вредоносная программа VPNFilter объявилась в интернете в 2018 году. В список ее мишеней входит широкий спектр сетевых устройств — десятки моделей роутеров и сетевых накопителей от ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, QNAP, TP-Link, Ubiquiti, UPVEL и ZTE.

Вредонос обладает широкими возможностями: он умеет собирать информацию о зараженном устройстве и отсылать ее на свой сервер, открывать удаленный доступ, перенаправлять проходящий через роутер трафик, блокировать заданные адреса, выполнять сканирование портов, составлять карту сети, проводить атаки «человек посередине» (MitM), перезаписывать файлы прошивки зараженного устройства.

Свой С2-сервер VPNFilter ищет, запрашивая образ на Photobucket. В случае неудачи он обращается к домену toknowall[.]com. Если и эта попытка оказалась провальной, зловред начинает просматривать входящие TCP-пакеты в ожидании послания с IP-адресом.

Домен toknowall[.]com давно нейтрализован совместными усилиями ИБ-экспертов, активистов и ФБР — соответствующий сервер был подменен по методу sinkhole, и попытки соединения с ним контролируют специалисты. Просмотрев последние данные о подключениях, в Trend Micro обнаружили, что VPNFilter все еще жив почти на 5,5 тыс. сетевых устройств. На самом деле число заражений, по словам экспертов, может быть значительно выше: многие заблокировали доступ к вредоносному домену на уровне DNS.

Исследователи также решили проверить, сколько зараженных устройств готово к возобновлению вредоносной активности. Они сформировали сетевой пакет с IP-адресом sinkhole-сервера и разослали его инфицированным адресатам. Положительный отклик был получен из 1,8 тыс. сетей, а 363 вновь запросили домен toknowall[.]com, пытаясь установить соединение на порту 443. Остальные, видимо, не смогли это сделать из-за блокировки toknowall[.]com на файрволе.

Решить сохранившуюся проблему, со слов экспертов, можно заменой зараженного устройства или обновлением прошивки — соответствующие патчи, скорее всего, уже вышли. Перезагрузка в данном случае не поможет, хотя прежде считалось, что это верный способ избавиться от VPNFilter.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Татьяна Никитина 15 Января 2026 - 14:48

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

Импортный корпоративный софт все еще используют 72% российских компаний

Согласно результатам опроса, проведенного Naumen, корпоративный софт иностранного производства (документооборот, CRM, управление проектами, ИТ-услугами, HR и проч.) продолжают использовать свыше 70% российских организаций.

Опрос проводился в конце прошлого года; в нем приняли участие более 80 менеджеров – представители властных и бизнес-структур разного профиля — финансы, промышленное производство, ретейл, ИТ, телеком, энергетика, транспорт, логистика.

Почти треть респондентов заявили, что по-прежнему полагаются на импортные продукты, так как не нашли сравнимого по функциональности отечественного аналога; 16% сослались на дороговизну российского прикладного софта.

Около четверти участников опроса, не связанных обязательством по импортозамещению, даже не приступали к этому процессу и все еще надеются на возврат зарубежных вендоров. Опрос также выявил, что в 27% компаний используется не менее пяти программных продуктов иностранного производства.

В регулируемом сегменте картина более утешительная: в 2025 году на отечественный софт, по оценке Ассоциации разработчиков программных продуктов (АРПП), перешли 40-45% субъектов КИИ. Тем не менее, темпы прогресса и в этом сегменте не отвечают чаяниям регуляторов; дедлайн на импортозамещение для таких организаций уже пару раз переносился, а за срыв сроков правительство стало грозить штрафными санкциями.

Опрошенные «Ведомостями» эксперты отметили и другие проблемы замены зарубежного софта российским: недостаток доверия к отечественным разработкам, сложность интеграции в устоявшиеся рабочие процессы, необходимость переобучения конечных пользователей.

Наиболее успешно импортозамещение СЗИ, которое подстегивает также рост числа киберугроз и атак. По оценкам аналитиков, стимулируемый высоким спросом российский ИБ-рынок растет в два раза быстрее глобального, и к 2030 году доля иностранных игроков в этом сегменте упадет до 4%.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »