Кибератака нацеленная на Украину с помощью BlackEnergy и VPNFilter

С мая месяца специалистами IT безопасности нескольких ведущих компаний мира была обнаружена подготовка к новой возможной атаке.

 

С помощью инъекции в прошивку некоторых сетевых устройств и роутеров (их известный список мы приведем ниже), киберпреступники получали возможность загружать модули управления или слежения, а так же уничтожать прошивку взломанных устройств. Перезагрузка устройств позволяет лишь убрать исполняемые модули, но не избавиться от инъекции. То есть нужные киберпреступникам модули опять могут быть свободно загружены во взломанное перезагруженное устройство.

Чем чревато? - Десятки тысяч устройств под управлением киберпреступниками могут одновременно атаковать указанные цели (DDoS), могут "слушать" сеть в которой работают и передавать конфиденциальные данные преступникам, могут вывести из строя инфицированные устройства.

Максимальное и подавляющее число зараженных устройств находится в Украине, что предполагает направленность атаки именно на нашу страну и наши ресурсы.

Известный на данный момент список устройств, подверженных заражению:


Linksys Devices: E1200, E2500, WRVS4400N;
Mikrotik RouterOS Versions for Cloud Core Routers: 1016, 1036, 1072;
Netgear Devices: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
QNAP Devices: TS251, TS439 Pro, Other QNAP NAS devices running QTS software;
TP-Link Devices R600VPN.


В своей работе инъекция использует следующие ресурсы (то что известно на сейчас):


photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

 

 

После загрузки первого изображения по ссылкам выше, программа продолжает искать ip серверов для дальнейшей загрузки на те, которые доступны для инфицирования, среди зараженных уже известны эти:

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.php

Рекомендовано проверить входящие соединения вашего оборудования на предмет указанных выше маркеров заражения!

Что нужно сделать? - Обновить прошивки сетевых устройств, находящихся у вас в эксплуатации. Не только указанных брендов, но и других подобных. Атаке подвержены устройства без встроенных средств защиты и антивируса. Если свежих обновлений прошивок нет - нужно изолировать данные устройства за аппаратными или программными фаерволами и антивирусами вашей сети. Если эти устройства стоят на входе в вашу сеть, остаётся только заменить его на новое.

Недорогие аналоги вы можете приобрести у нас со склада, в том числе.
Если вы не понимаете что вам делать, вы можете обратиться к нам за консультацией по адресу электронной почты Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

 

IT-услуги для бизнеса, работающего без остановки