Фото: iStock/Global Images Ukraine

Накануне финала чемпионата Лиги Европы в Киеве хакеры подготовили пользователям неприятный сюрприз. Они заразили вирусом около 500 000 интернет-роутеров в 54 странах, но преимущественно в Украине. Активация вируса могла иметь для нас очень неприятные последствия.

В среду о подготовке массовой атаки сообщили специалисты по безопасности из двух IT-компаний: Cisco и Symantec. Вирус, известный им под названием VPNfliter, скомпроментировал работу роутеров Linksys, MikroTik, NETGEAR и TP-Link. 8 и 17 мая эксперты зафиксировали две вспышки его массовой активности в Украине.

Как сообщил глава Интернет ассоциции Украины Александр Федиенко, в Украине роутеров указанных моделей "ОЧЕНЬ много". "У частного пользователя больше всего NETGEAR и TP-Link. У юрлиц больше всего Linksys, MikroTik", - подчеркнул Федиенко.

Цель - отключить интернет?

По информации исследователей IT-компаний, установленная вредоносная программа связывается с командным сервером, который может устанавливать целевые плагины. Один подключаемый модуль позволяет хакерам просматривать интернет-трафик жертвы, чтобы украсть учетные данные веб-сайта; другой - протокол, используемый в промышленных сетях управления, например, в электрической сети. Третий позволяет злоумышленнику калечить любое или сразу все зараженные устройства по своему усмотрению. Поэтому эксперты предположили, что одна из возможных целей - отключить интернет в один момент огромному количеству пользователей. В Украине в эту субботу состоится финал Лиги чемпионов, к тому же будут длинные трехдневные выходные. Короче говоря, идеальное время для хакеров, чтобы постараться максимально напакостить.

Откуда взялся вирус?

В ФБР также установили, что за вирусом стоит группировка хакеров, известная под названием Sofacy Group (также выступала под названиями sandworm, x-agent, fancy bear, sednit). "Считается, что группа работает из России", - отмечается в тексте решения суда Пенсильвании. По данным американских агентов, она действует еще с 2007 года и нацелена на государственные, военные объекты, а также объекты безопасности. Украинцам Sofacy Group печально известна благодаря своему вирусу Black Energy, который несколько лет назад оставил без электричества 225 тысяч домохозяйств прямо перед Новым годом. Часть кода VPN filter пересекается с этим зловредом.

ФБР изучала ботнет на зараженных вирусом роутерах, по крайней мере, с августа прошлого года. Такие данные содержатся в определении суда, которое бюро получило в срочном порядке от местного суда в штате Пенсильвания. Агенты с его помощью получили контроль над доменом ToKnowAll.com, который использовался для контроля зобми-устройств. Сейчас они продолжают изучать работу бот-сети, собирают данные о роутерах и делятся ими с другими странами.

Сохраняйте бдительность

Впрочем, это пока не означает, что можно расслабиться. По словам Викрама Тхакура, технического директора Symantec, ход ФБР устраняет способность вредоносного ПО повторно активироваться. Но вирус "умрет" только в том случае, если маршрутизатор будет перезагружен. Украинская Киберполиция уже проинформировала пользователей, какие манипуляции им нужно провести со своими устройствами, чтобы окончательно обезопасить себя от печальных последствий, - необходимо безотлагательно осуществить RESET к заводским настройкам. Кстати, у некоторых провайдеров, по словам Тхакура, есть возможность удаленной перезагрузки маршрутизаторов.

По словам Федиенко, в Украине больше всего установлено роутеров TP-Link, так как они доступные по цене и распространенные.

TP-Link, который в последние годы активно продает роутеры в Украине, уже сообщил, что у него нет никакой подтвержденной информации о заражении какого-либо его устройства. Хотя к сотрудничеству с Киберполицией компания готова.

"У нас нет никаких обращений ни от партнеров, ни от провайдеров, ни от пользователей. То есть, все тихо. Плюс в списке (Киберполиции) только один роутер TP-Link - старый и очень нераспространенный ( R600VPN - Ред.)", - уточнили в пресс-службе.

По словам Федиенко, роутеры MikroTik у нас тоже хорошо распространены. Но Symantec приводит в своем сообщении ответ этой компании, где говорится, что уязвимость, через которую на роутер мог проникнуть вирус, была исправлена с помощью обновления ПО еще в марте 2017.

Однако, как написал Федиенко у себя на Facebook-страничке, получив набор IP адресов (от Киберполиции - Ред.) и проанализировав их, эксперты пришли к выводу, что это 90% адресов, принадлежащих роутерам под ОС MikroTik, стоящие или на сети операторов или у клиентов операторов.