Комп’ютерна компанія Cisco Systems попередила в середу, що хакери заразили щонайменше п’ятсот тисяч раутерів і приладів зберігання даних у десятках країн усього світу у підготовці до можливої кібератаки проти України наступного місяця.
Про це повідомляє "Голос Америки".
Відділ з питань кіберрозвідки Talos заявив, що, на його думку, за кампанією стоїть російський уряд, тому що дуже модерна програма VPNFilter має код, спільний з програмним забезпеченням, яке використовувалося під час попередніх кібератак, до яких, на думку американського уряду, причетна Росія.
Компанія Cisco Systems ознайомила про це групу неприбуткових фірм, відому як Cyber Treat Alliance ("Альянс кіберзагрози"), до якої входять Сisco, Symantec, McAfee, Palo Alto та інші фірми з кібезбезпеки. Ці компанії планують оприлюднити поперердження в середу після того, як Сisco надіслало сигнал тривоги.
Попередження надаватимуть технічні дані, які користувачі можуть використити для опізнання й послаблення атаки, заявив високопоставлений представник Альянсу кіберзагрози Майкел Деніел.
Річ, яка робить вірус особливо згубним, – те, що він включає самознищуючий механізм, який дозволяє гакерам дистанційно усунути вірус і водночас змінити заражену установку, усуваючи програмне забезпечення компаній.
коментар Олександра Снідалова, українського фахівця з інформаційних систем, що працює в Німеччині:
– У чому, власне, загроза – і чому саме для України?
По-перше, в масштабі ураження. Інфіковано щонайменше 500 000 пристроїв в 54 країнах. Крім того, в окремі дні (8 та 17 травня) було зафіксовано масове (на порядок більше, ніж зазвичай) інфікування пристроїв саме в українському сегменті. Це дозволило зробити висновок, що планується атака саме на українську ІТ-інфраструктуру.
Якої шкоди чекати від вірусу?
Можливості вірусу до кінця не з'ясовані, оскільки він здатен оновлювати свої компоненти та отримувати нові можливості. На сьогодні з'ясовано наступне:
1. Вірус може працювати як вбивця і перетворювати уражений пристрій на тупу "цеглину", яку звичайний користувач не зможе відновити без кваліфікованої допомоги;
2. Вірус може працювати як шпигун і красти окремі шматки мережевого трафіку користувача.
Будучи націленим на державні установи, вірус може дати зловмисникам доступ до web-ресурсів або спровокувати масове відключення користувачів від інтернету на певній території, на вибір зловмисників.
Але які свідчення, що за цим стоїть Росія?
Шматки коду вірусу ідентичні коду іншого вірусу під назвою BlackEnergy, який, на думку ряду держав та експертів з кібербезпеки, пов'язаний з урядом Росії.
Як захиститися від цього вірусу?
Вірус складається щонайменше з трьох частин. Друга і третя частина вірусу зносяться простим поверненням обладнання до заводських налаштувань. Також критично важливо переконатися, що на обкладання встановлена остання версія firmware. Річ у тім, що вірус використовує вже відомі проблеми безпеки, користуючись тим, що прошивка пристроїв застаріла і не має останніх оновлень, які захищають від дір. Зі слів авторів дослідження, вірус скоріш за все, не використовує жодних zero-day вразливостей.
Цікаві факти:
- Вірус зафіксовано на наступному обладнанні: LINKSYS E1200, E2500, WRVS4400N; MIKROTIK 1016,1036,1072; NETGEAR DGN2200, R6400, R7000, R8000, WNR1000, WNR2000; QNAP TS251, TS439 Pro (та інші, що використовують QST); TP-LINK R600VPN;
- Вірус може використовувати мережу Tor для комунікації;
- Щоб завантажити додаткові модулі, вірус використовує сервери photobucket.com і toknowall.com. У разі невдачі вірус може пасивно чекати, поки командний центр вийде з ним на зв'язок.
Як російські спецслужби можуть використати цей вірус проти України?
Вони можуть, наприклад, отримати доступ до урядових сайтів, поширити через них провокаційні повідомлення, які можуть спровокувати заворушення, і насамкінець можуть позбавити частину користувачів доступу до інтернету, відрізавши їх від правдивої інформації в критичний момент.
На думку експертів, що досліджували вірус, атака може відбутися найближчим часом, що і стало причиною термінового оприлюднення інформації про вірус. А тепер варто пригадати дату завершення Чемпіонату світу з футболу в Росії – 15 липня. Дуже малоймовірно, що Росія захоче ризикувати чемпіонатом і проводити атаки до його завершення. Через місяць після завершення ЧС-2018 Україна святкуватиме День незалежності – і [для Росії] є всі причини ретельно підготуватись до цього святкування.
24.05.2018