На данный момент известно, что для инфицирования устройств ботнет использует несколько различных уязвимостей прошивок роутеров и их неверную настройку. Например, для D-Link DIR-620 это уязвимости CVE-2018-6213 (бекдор - наличие не удаляемого инженерного пароля), CVE-2018-6210 (позволяет сбросить учетные данные и получить удаленный доступ к маршрутизатору по протоколу telnet).
Список моделей зараженных сетевых устройств (возможно не полный, т.к. часто одинаковые прошивки используются несколькими моделями роутеров):
- Mikrotik RouterOS для роутеров Cloud Core: версии 1016, 1036 и 1072;
- D-Link DIR-620;
- Linksys E1200, E2500;
- Linksys WRVS4400N;
- Netgear DGN2200;
- Netgear R6400, R7000, R8000;
- Netgear WNR1000, WNR2000;
- QNAP TS251, TS439 Pro;
- другие устройства QNAP NAS, работающие под управлением QTS;
- TP-Link R600VPN.
Ботнет способен пережить перезагрузку устройств и обладает следующими вредоносными функциями:
- Перехват и анализ сетевого трафика (в т.ч. на встречающиеся в нем пароли);
- Мониторинг протокола SCADA, использующегося в автоматизированных системах управления технологическими процессами (что позволяет предположить направленность ботнета на атаку критической инфраструктуры);
- Система самоуничтожения, способная превратить роутер в "кирпич", повреждая прошивку устройства в случае активации данной функции.
РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ СЕТИ
- Обновите прошивку уязвимых устройств, если производитель продолжает их поддержку. Для Mikrotik, например, версия RouterOS должна быть не ниже 6.38.5.
- Если устройство позволяет получить доступ к файловой системе, проверьте наличие каталогов var/run/vpnfilterm, /var/run/vpnfilterw, var/run/torr и var/run/tord. Если они есть - отключите устройство от сети Интернет и произведите перепрошивку ПО.
- Запланируйте замену роутеров на более современные средства защиты сетевого периметра - UTM и NGFW-системы.
БЕСПЛАТНАЯ ВЕРСИЯ IDECO ICS
Даже в своем бесплатном варианте шлюз безопасности Ideco ICS предоставляет возможности, не доступные для межсетевых экранов прошлого поколения и способные серьезно повысить защищенность вашей сети от ботнетов, шифровальщиков и других современных угроз информационной безопасности.Прежде всего это модули глубокого анализа трафика:
- система предотвращения вторжений (предоставляется бесплатно на 3 месяца, с возможностью бесплатного продления);
- контроль приложений (модуль позволяет блокировать несколько сотен программ, включая торренты, современные мессенджеры, TOR и другие);
- контент-фильтр (144 категории, включающие в себя домены командных центров ботнетов, фишинговые и зараженные сайты);
- антивирус для проверки веб- и почтового трафика.
ВЫПОЛНИТЬ РЕГИСТРАЦИЮ И СКАЧАТЬ
Также вы можете приобрести компактную аппаратную версию нашего решения, использующую пассивное охлаждение, SSD-диск и современный процессор, достаточный для работы всех модулей - Ideco SX+.
