Після кількох місяців таємного спостереження за новою шпигунською мережею зі взламаних роутерурів, дослідники з Talos виявили, що мережа активно атакує цілі з адресами українських операторів зв'язку. Основною загрозою дослідники бачать можливість шпигунського ПЗ вивести з ладу роутери шляхом переписування завантажувача у пам'яті (записування нулів у перші 5000 байт mtdblock0, де як правило знаходиться завантажувач), після чого роутер можна відновити тільки через апаратну заміну флеш-пам'яті або через JTAG, якщо він припаяний.
Як встановили дослідники, шпигунське ПЗ використовує той самий варіант алгоритму шифрування RC4, який використовувала мережа BlackEnergy, яку пов'язують з державними органами Російської Федерації.
Дослідження:
https://blog.talosintelligence.com/2018/05/VPNFilter.html?m=1Нарешті, 8 травня ми спостерігали різкий сплеск у діяльності VPNFilter інфекції. Майже всі новопризначені жертви знаходились в Україні. Також слід зазначити, що більшість українських інфекцій мають відмінну індивідуальну стадію 2 інфраструктури C2 від решти світу, на IP 46.151.209 [.] 33. До цього моменту ми усвідомлювали корекцію коду між BlackEnergy та VPNFilter і те, що терміни попередніх атак в Україні показали, що напад може бути неминучим. З огляду на кожен із цих факторів та в консультації з нашими партнерами, ми негайно розпочали процес публікування перед тим, як завершити дослідження.
Оскільки ми продовжували рухатися вперед у процесі публічного оприлюднення, ми спостерігали ще одне значне збільшення числа новопризначених жертв VPNFilter, орієнтованих на Україну 17 травня. Це продовжувало рухати наше рішення якнайшвидше публікувати наше дослідження.
Зображення: сплеск заражених роутерів з України 8-го травня: