Совсем недавно, в прошлом месяце, был обнаружен VPNFilter, который заразил как минимум полмиллиона роутеров таких производителей, как Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Тогда эксперты Cisco Talos первыми рассказали о вирусе и при этом подчеркнули, что VPNFilter способен «пережить» перезагрузку зараженного устройства. И вот исследователи Cisco Talos опубликовали новый отчет о ботнете VPNFilter. Выяснилось, что вирус несет угрозу для гораздо большего числа устройств, нежели предполагалась раньше.

Писалось, что VPNFilter – одна из самых комплексных IoT-угроз, с какими им приходилось сталкиваться. Заражение в этом случае делится на три стадии, каждая стадия представляет собой своего рода бот. Бот первой стадии простой и легковесный, но при этом он умеет «переживать» перезагрузку устройства. Бот второй стадии несет в себе опасную функцию самоуничтожения, после активации которой зараженное устройство превращается в «кирпич», намеренно повреждаясь вирусом. И, наконец, третья фаза атаки подразумевает загрузку на зараженное устройство вредоносных плагинов.
К изначальному списку устройств, для которых данный вирус представляет опасность, добавились роутеры производства ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. Таким образом количество уязвимых перед VPNFilter устройств расширился с 16 моделей до 71, и не факт, что список окончательный. Эксперты уточнили, что операторы VPNFilter не используют для заражения устройств какие-либо уязвимости устройства, а эксплуатируют различные известные баги.

Еще в мае 2018 года, во время первичного анализа было обнаружено сходство VPNFilter с вредоносом BlackEnergy. Считается, что тот был создан группой предположительно российских правительственных хакеров APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit, Tsar Team, X-agent, Sednit и так далее.

Тогда было опубликованы подробные инструкции для владельцев уязвимых устройств для защиты от VPNFilter. Напомним, что простой перезагрузки устройства недостаточно, скорее всего (в зависимости от модели) может понадобиться сброс к заводским настройкам и перепрошивка гаджета.