Na pol milijona ukrajinskih usmerjevalnikov nastaja botnet nejasnega namena
Matej Huš
24. maj 2018 ob 00:20:38
Napadalci so z malwarom VPNFilter uspeli okužiti več kot pol milijona usmerjevalnikov znamk Linksys, MikroTik, Netgear in TP-Link v 54 državah, ugotavljajo raziskovalci iz Ciscove enote Talos Intelligence Group. Po njihovem mnenju gre za pripravo terena za usklajen napad na Ukrajino, ki ga snuje organizirana skupina z državno pomočjo. Sumijo, da gre za Rusijo, saj je del kode enak kot v virusu BlackEnergy, ki je v letih 2015 in 2016 hromil ukrajinsko elektroenergetsko omrežje. Odgovornosti za tedanji napad ni prevzel nihče, ameriški Oddelek za domovinsko varnost pa je obtožil Rusijo. Prav tako je bila Rusija obtožena napada NotPetya, ki se je začel lani v Ukrajini in kmalu pustošil po tudi drugod.
VPNFilter je torej zgradil velik botnet pol milijona stalno v internet povezanih naprav, med katerimi so zlasti internetni usmerjevalniki. Pri tem ni uporabljal nobene nove, nepoznane (zero-day) ranljivosti, temveč že dokumentirane luknje, ki pač še niso povsod zakrpane. Botnet ni nov, saj je začel nastajati že leta 2016, je pa v zadnjih tednih okrepil svojo aktivnost in zrasel, osredotočal pa se je na ukrajinske naprave. Trenutno še ni jasen njegov namen, saj še ni sprožil kakšnega večjega napada, zato lahko o ozadju le špekuliramo. Pojavljajo se ugibanja, da utegne virus udariti v soboto, ko bo v Kijevu potekal finale evropske nogometne lige prvakov ali 27. junija na predvečer dneva ustavnosti; na slednji datum je lani udarila tudi NotPetya.
VPNFilter je eden izmed bolj dodelanih virusov, ki ima tri stopnje. Prva stopnja okuži napravo, odstraniti pa je ni mogoče niti z običajnim ponovim zagonom. Druga stopnja, ki se ne ohrani pri ponovnih zagonih, a jo lahko prva stopnja vnovič prenese z interneta, vsebuje ustrezne nastavke in infrastrukturo za tretjo stopnjo, ki komunicira z nadzornimi strežniki, prestreza internetni promet in proži napade. VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.