Разрастваща се вирусна епидемия сред рутери по цял свят засякоха специалисти от групата за сигурност Talos, част от Cisco. Става въпрос за опасен троянец VPNFilter, който за кратко време е проникнал в най-малко 500 хиляди рутера и други мрежови устройства в 54 страни по света.
Най-застрашени са устройствата на Linksys, MikroTik, Netgear, QNAP и TP-Link, предназначени за дома и офиса, предупреждава Talos. Що се отнася до географския обхват на заразата, най-много са инфектираните рутери в Украйна.
Вирусът е опасен преди всичко с това, че позволява на атакуващите да откраднат данни от акаунти за сайтове и да следят протоколите Modbus SCADA. С други думи, вирусът се цели най-вече в критичните инфраструктури.
Talos все още не е изследвала напълно вируса и към момента не предлага начин за неговото неутрализиране. Теоретично, VPNFilter може да блокира достъпа до интернет на стотици хиляди потребители.
Вирусът съдържа известно количество код, който се припокрива с кода на злонамерените програми, използвани в кампаниите BlackEnergy. Най-общо, VPNFilter има модулна структура с множество компоненти и е способен да присъства устойчиво в заразения рутер.
Нещо повече, вирусът „оживява“ дори след рестартиране на рутера, за разлика от много други подобни програми. Все пак VPNFilter може да бъде изтрит, като устройството се „нулира“ до заводските настройки, след което потребителят трябва да обнови фърмуера, да смени паролата и да ограничи протоколите за отдалечено управление.
Кампанията по разпространение на VPNFilter е започнала още през 2016 г. Начините за заразяване не са известни, но се предполага, че на първо място жертви на вируса стават устройства, които отдавна не са обновявани и съдържат редица незатворени уязвимости. На сайта на Talos е публикуван и списък със засегнатите устройства от различни производители.
Междувременно BBC съобщи, позовавайки се на разследване на ФБР, че зад мащабната атака стои руска хакерска група. С това се обяснява и широкото проникване на заразата в компютърните мрежи в Украйна.