Вирус VPNFilter стал еще опасней, чем неделю назад

Недавно специалистами по инфобезопасности был выявлен вирус VPNFilter, поразивший полмиллиона роутеров по всему миру. А на днях было установлено, что он эволюционировал и стал еще опаснее, сообщает habr. сom

Спектр уязвимых моделей роутеров очень широк. Среди них ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTE, Linksys, MikroTik, Netgear, TP-Link и др

В деле борьбы с вирусом, около недели назад ФБР обнаружило и изъяло главный сервер. Однако, ботнет до сих пор остается активным и требует принятия других мер.

Новая модификация вируса атакует входящий трафик по типу man-in-the-middle. Таким образом, трафик, проходящий через роутер, может быть модифицирован и/или перенаправлен на серверы злоумышленников. Также могут быть перехвачены любые данные, например, пароли. Новый модуль вируса получил название ssler.

Ssler может обойти шифрование TLS, которое часто используется. Для этого он преобразует HTTPS-соединения в беззащитный HTTP трафик, а затем заменяет заголовки запросов.

Ssler может модифицировать трафик различных ресурсов, даже таких, как Google, Facebook, Twitter и Youtube, несмотря на наличие дополнительной защиты у этих сервисов.

Изначально специалисты считали, что вирус направлен на заражение сетевых устройств . Но сейчас уже ясно, что его основная цель – это сбор данных пользователей.

«Хитрость вируса, к примеру, в том, что он может изменять трафик таким образом, что пользователь клиент-банка будет видеть прежнюю сумму на своем счету. А на самом деле денег там давно уже нет», — говорится в отчете специалистов по кибербезопасности.

Проблемы с вирусом есть по всему миру, однако львиная доля приходится на Украину.

Кроме всего прочего, специалисты сообщают также об обнаружении снифер-модуля. Этот модуль анализирует трафик для нахождения данных промышленных систем. Такой трафик проходит через TP-Link R600. Также модуль ищет обращения к IP из определенного диапазона, и пакеты данных, размер которых составляет 150 байт или более.

«Анализируя избирательность вируса, мы пытаемся понять, кому все это может быть нужно», — заявляют исследователи.

И “вишенкой на торте” в функционале вируса стал обнаруженный модуль самоуничтожения. При активации модуля вирус бесследно удаляется с устройства.