Titulo

Нова кібератака на Україну. Що відомо на даний момент

Напередодні фіналу Ліги Чемпіонів з'явилися повідомлення про нову кібератаку, яка готується проти України. СБУ припускає, що метою була дестабілізація під час фіналу чемпіонату. НВ зібрало, що відомо на даний момент.повідомляєhttps://nv.ua

Що говорять?

Про підготовку кібератаки заявили вже кілька джерел, зокрема, повідомлення надходили і від СБУ, і від кіберполіції.
Першоджерелом стала публікація в блозі Cisco Talos. Компанія повідомляє, що протягом кількох останніх місяців займалася дослідженням складного шкідливого ПО, якому дали назву VPNFilter. Однак останні відомості змусили розкрити інформацію до завершення дослідження, щоб у ймовірних жертв була можливість вжити заходів.
Шкідливе ПО схоже на BlackEnergy - вірус, який заподіяв численні широкомасштабні атаки в тому числі на енергосистему і державні органи України в 2015-2016 роках.
«Заражені в Україні пристрої знаходяться на стадії 2 управління зловмисниками. Тобто на них встановлені модулі перехоплення трафіку (мережева розвідка, перехоплення нешифрованих даних авторизації, дані АСУТП по протоколу MOFBUS) і модуль мережевого сканування (TCP-скани по портам 23, 80, 2000 і 8080 - тобто пошук в мережі пристроїв Mikrotik і QNAP NAS в якості нових об'єктів атаки). Особливістю VPNFilter є ймовірна націленість на системи АСУТП, на це вказують фрагменти коду VPNFilter і BlackEnergy, що збігаються. Завантаження додаткових модулів йде по протоколам TOR і SSL», — роз'яснюєВолодимир Кург, R & D-директор« ІТ-Інтегратор» в публікації на сторінці компанії в Facebook.

Хтось уже постраждав?

За даними звіту, станом на момент його публікації зараженню піддалося не менше 500 000 пристроїв в 54 країнах, але здебільшого це Україна.
Кіберполіція повідомляє, що вже співпрацює з Cisco Talos для протидії атаці. Пiд загрозою знаходяться пристрої, що мають реальну IP-адресу та стару прошивку. Крім того, це роутери, на яких використовується логін і пароль за замовчуванням.
На сайті органу йдеться, що атаці піддається наступне обладнання:
  • Linksys: E1200, E2500, WRVS4400N;
  • Mikrotik RouterOS (всі версії нижче 6.42.1);
  • Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
  • QNAP: TS251, TS439 Pro, інші QNAP NAS пристроі з ПЗ QTS;
  • TP-Link: R600VPN.
У публікації Cisco Talos повідомляється, що інші постачальники, включаючи Cisco, не були помічені як заражені шкідливим ПЗ. Однак це не фінальний результат, дослідження тривають. У блозі йдеться, атака може привести до відключення доступу в інтернет для сотень тисяч пристроїв.

Хто стоїть за атакою?

В СБУ припускають, що джерелом атаки є хакери з Російської Федерації, а їх метою - дестабілізація ситуації в країні в період фіналу Ліги Чемпіонів.
«Висновки криміналістичного дослідження показують, що вірусне програмне забезпечення VPNFilter дозволяє зловмисникам перехоплювати весь трафік, що проходить через уражений пристрій (включаючи дані авторизації і персональні дані платіжних систем), збирати і вивантажувати інформацію, дистанційно керувати інфікованим пристроєм і навіть виводити його з ладу. [...]
[...] Фахівці СБУ вважають, що інфікування обладнання саме на території України - підготовка до чергового акту кіберагресіі з боку РФ, спрямованого на дестабілізацію ситуації під час проведення фіналу Ліги Чемпіонів. Про це свідчить і те, що запланований механізм кібератаки збігається з техніками, які використовувалися в 2015-2016 роках в ході кібератаки BlackEnergy», - йдеться в повідомленні на сайті структури.

Як захиститися?

В Cisco кажуть, що обладнання, яке піддалося зараженню, досить складно захистити і вони не впевнені, що поради будуть універсальні і дієві для всіх. Детальна інструкція по захисту обладнання для фахівців є в оригінальній публікації.

Рекомендації щодо захисту від кіберполіції:

  •  користувачам та власникам домашніх роутерів, бездротових маршрутизаторів малих офісів та мережевих файлових сховищ необхідно невідкладно здійснити RESET до заводських налаштувань (потрібно зробити саме скидання налаштувань, а не перезавантаження), з метою видалення потенційно небезпечних шкідливих програмних модулів з оперативної пам’яті пристроїв;
  • у випадку, коли є підстави вважати будь-який пристрій в локальній мережі ураженим зазначеним видом шкідливого програмного забезпечення, невідкладно оновити його програмну прошивку до останньої актуальної версії;
  • якщо в операційній системі мережевого пристрою є функція доступу до його файлової системи, перевірити наявність файлів в директоріях «/var/run/vpnfilterw», «var/run/tor», «var/run/torrc», «var/run/tord» та видалити їх вміст.

Рекомендації щодо захисту від ІТ-Інтегратор:

Відомі станом на вчора URL і адреси серверів управління - заблокуйте їх:
Першій стадії:
photobucket [.] com/user/nikkireed11/library, photobucket [.] com/user/kmila302/library, photobucket [.] com/user/lisabraun87/library, photobucket [.] com/user/eva_green1/library, photobucket [.] com/user/monicabelci4/library, photobucket [.] com/user/katyperry45/library
photobucket [.] com/user/saragray1/library, photobucket [.] com/user/millerfred/library, photobucket [.] com/user/jeniferaniston1/library, photobucket [.] com/user/amandaseyfried1/library, photobucket [.] com/user/suwe8/library, photobucket [.] com/user/bob7301/library, toknowall [.] com
Другий стадії:
91.121.109 [.] 209, 217.12.202 [.] 40, 94.242.222 [.] 68, 82.118.242 [.] 124, 46.151.209 [.] 33, 217.79.179 [.] 14, 91.214. 203 [.] 144, 95.211.198 [.] 231, 195.154.180 [.] 60, 5.149.250 [.] 54, 91.200.13 [.] 76, 94.185.80 [.] 82, 62.210.180 [.] 229, zuh3vcyskd4gipkm [.] onion/bin32/update.php
Інші індикатори компрометації - в запису Talos Blog. Там же - номери правил Snort для цієї загрози.
Інформація для користувачів систем захисту Cisco
Cisco оновили в автоматичному режимі індикаторами компрометації VPNFilter бази загроз наступних продуктів Advanced Malware Protection (AMP), Cloud Web Security (CWS), Network Security, ThreatGrid, Umbrella, and Web Security Appliance (WSA) і StealthWatch
УВАГА: для StealthWatch потрібна дод. конфігурація, інструкція по налаштуванню виявлення VPNFilter C2 трафіку - по тому ж посиланню Talos Blog.
Заходи захисту для SOHO-користувачів і інтернет-провайдерів, які надали користувачам в оренду вразливі пристрої:
  • зафіксувати/записати поточну мережну конфігурацію пристрою;
  • скинути конфігурацію в factory defaults і перезавантажити пристрій;
  • відновити мережеву конфігурацію по п.;
  • встановити останні оновлення від виробника.
На платформі Blogger.