Hlavní navigace

VPNFilter je ještě mocnější, malware má nové moduly a cílí na MikroTiky

Petr Krčmář

Bezpečnostní odborníci ze společnosti Cisco Talos sledují dál vývoj velmi mocného malware VPNFilter. Ten se od svého květnového odhalení dále vyvinul, získal nové moduly a také nové schopnosti.

Doba čtení: 4 minuty

Malware VPNFilter byl objeven v květnu letošního roku a původně se mělo za to, že napadá pouze routery značky Linksys, MikroTik, Netgear, TP-Link a disková pole QNAP. Později se ale ukázalo, že mu nejsou cizí ani jiné platformy jako ASUS, D-Link, Huawei, Ubiquiti, UPVEL a ZTE. Seznam napadených zařízení se tak výrazně rozrostl.

VPNFilter je vícefázový modulární malware, který má mnoho různých druhů využití: od špionáže až po sabotáž. Odborníci tvrdí, že za malware stojí stejný autor, který vytvořil útočný kód BlackEnergy, zodpovědný za několik velkých útoků cílících na zařízení na Ukrajině.

Napadení má tři sofistikované fáze: V první fázi se nainstaluje persistentní část, která zajistí přežití malware při rebootu. Ta se pak některým z mnoha způsobů dozví IP adresu řídicího serveru a odtud stáhne hlavní část kódu schopnou provádět různé akce od úpravy routeru až po jeho zničení přepsáním zavaděče.

Třetí fáze pak využívá zmíněné modularity, kdy je možné stáhnout doplňkový kód určený ke konkrétnějším akcím. V květnu byly známy jen dva moduly: jeden uměl sledovat datový provoz, druhý sloužil jako klient sítě Tor. Už tehdy odborníci předpokládali, že existují další moduly, které jsme zatím ale ještě neměli možnost vidět.

Dalších sedm modulů

Organizace Talos nyní zveřejnila další informace získané o malware v průběhu posledních pěti měsíců. Tím nejzásadnějším je objev dalších sedmi rozšiřujících modulů, které výrazně rozšiřují schopnosti malware VPNFilter. Samotný malware se také dále vyvíjí, vylepšil své možnosti skrývání a umí vícenásobně tunelovat spojení s řídicím serverem, který je tak obtížnější odhalit.

Moduly dávají malware nově schopnost podrobně mapovat sítě a automatizovaně infikovat další zařízení, šifrovat a lépe schovávat vlastní komunikaci, pomocí několika nástrojů vyhledávat další oběti uvnitř a vně sítě a možnost vytvářet decentralizovanou síť proxy serverů, které mohou v budoucnu sloužit k zakrytí skutečných zdrojů útoků.

Sedm nově popsaných modulů

Zajímavé je, že řada modulů obsahuje kód ze známých open-source projektů: SSH server Dropbear, skener sítí Nmap, SOCK5 proxy Shadowsocks a další. Moduly dovolují odposlouchávat, odklánět provoz do útočníkovy infrastruktury, blokovat odchozí provoz do konkrétních sítí, vytvářet vlastní šifrované tunely a podobně.

Zaměření na MikroTik

Nové moduly také ukazují, že se tvůrce malware intenzivně zaměřuje na routery značky MikroTik. Modul network mapper (nm) mimo jiné ovládá protokol MikroTik Network Discovery Protocol (MNDP) a s jeho pomocí vyhledává na místní sítí další zařízení. Jakmile některý z routerů odpoví, na MNDP ping, je o něm zjištěna řada podrobností: MAC adresa, identita systému, verze systému, platforma, uptime, RouterOS software ID, model RouterBoardu a název rozhraní.

Moduly tyto informace přidává do své sbírky dat, do které patří také ARP tabulka napadeného zařízení či konfigurace bezdrátových sítí. MikroTik je v tomto směru ale prominentní značkou a VPNFilter se na něj velmi úzce specializuje. Napadá rozsáhlé sítě těchto zařízení, zejména na Ukrajině. Odborníkům z Talos se díky tomu podařilo objevit jeden z mechanismů, kterým malware napadá své oběti.

Využívá přitom proprietární protokol, kterým se zařízením komunikuje ovládací utilita Winbox. Pro tyto účely mají routery otevřený TCP port 8291. Jeden z útočných mechanismů přitom využívá chyby CVE-2018–14847, která dovoluje neautorizovaným uživatelům procházet obsah zařízení. Přestože chyba už má poměrně dlouho záplatu, je pravděpodobné, že na řadě zařízení ji stále bude možné zneužít.

Aby bylo možné komunikaci zmíněným protokolem dále zkoumat, uvolnili vývojáři Talosu kód filtru pro Wireshark. Je napsaný v Lua, nevyžaduje kompilaci a pracuje správně pouze v případě, že je komunikace provozována nešifrovaným kanálem. Nejnovější Winbox však u routeru vyžaduje povinně šifrování, ovšem volba je na klientovi. Pokud je tedy použit starší klient, šifrování zapnuté není a komunikaci je možné zkoumat Wiresharkem.

Akutní nebezpečí nehrozí, ale hrozba existuje

V tuto chvíli je akutní hrozba potlačena a tvůrce zřejmě síť vytvořenou z VPNFilteru nevyužívá. Díky koordinovanému zásahu policejních orgánů a Cyber Threat Alliance se podařilo odstavit všechny známé ovládací servery. Protože výkonná část kódů (druhá fáze) není perzistentní, pravděpodobně už z mnoha zařízení po restartu zmizela.

Nebylo zaznamenáno, že by se tvůrce pokoušel navázat spojení s napadenými routery a oživit jejich funkci. Tu možnost ale teoreticky má, protože systém komunikace s malware je velmi sofistikovaný a zprávu o nové instanci řídicího serveru je možné zanechat mnoha způsoby na mnoha místech.

Opustil tvůrce svou síť? Změnil nástroje a malware a začne budovat znovu odjinud? Přestal zneužívat segment levných routerů a zaměřil se na jiná rozšířená zařízení? Jak přesně do nich přesně vnikal? Tohle jsou otázky, které si na konci nejnovější zprávy kladou výzkumníci z projektu Talos. Odpovědi na ně (zatím) neznáme. Jisté je, že VPNFilter je velmi schopným a univerzálním nástrojem, který se ještě jeho autor může pokusit vzkřísit.

Našli jste v článku chybu?