Το botnet VPNFilter που κατασκευάστηκε από Ρώσους κυβερνοκατασκόπους και μόλυνε πάνω από 500.000 δρομολογητές, αντιμετωπίστηκε την περασμένη εβδομάδα από το FBI. Όμως, σχεδιάζει να επιστρέψει, σύμφωνα με στοιχεία τηλεμετρίας που συγκεντρώθηκαν αυτή την εβδομάδα.
Οι ερευνητές ασφάλειας της JASK και της GreyNoise Intelligence αποκάλυψαν την Παρασκευή ότι έχουν στοιχεία για ένα τέτοιο σχέδιο επανέναρξης της καμπάνια του VPNFilter.
Όλες οι σαρώσεις αφορούσαν τους δρομολογητές της Mikrotik με εκτεθειμένη την port 2000 στο διαδίκτυο και μόνο αυτούς που βρίσκονταν στα δίκτυα της Ουκρανίας.
Η εστίαση σε αυτήν την χώρα δεν αποτελεί έκπληξη για τους ερευνητές. Η πρώτη έκδοση του botnet VPNFilter, αφορούσε πάνω από 500.000 δρομολογητές και συσκευές NAS που βρίσκονται σε όλο τον κόσμο, αλλά από τις 8 Μαΐου είχε αρχίσει να ψάχνει ειδικότερα για ουκρανικούς.
Το κακόβουλο λογισμικό VPNFilter θεωρείται ένα από τα πιο προηγμένα malware που κυκλοφορούν και αποτελείται από τρία διαφορετικά payloads.
Το payload πρώτου σταδίου μπορεί να καταφέρει boot persistence στις συσκευές και να παραμείνει ακόμα και μετά από την επανεκκίνηση της. Tο δεύτερο στάδιο αφορά έναν Remote Access Trojan ενώ το τρίτο προσθέτει plugins για το RAT(Remote Access Trojan) δίνοντας του extra δυνατότητες.
Τα περισσότερα από αυτά τα χαρακτηριστικά είναι συχνότερα σε κακόβουλα λογισμικά που θέλουν να κάνουν ζημιά στο ευρύτερο δίκτυο μιας χώρας και όχι σε μεμονωμένη εγκατάσταση. Αυτό επιβεβαιώνει μια αρχική εκτίμηση από το FBI και το Υπουργείο Εσωτερικής Ασφάλειας, ότι η ομάδα hacking APT28 της Ρωσίας ήταν πίσω από τη δημιουργία αυτής της απειλής και όχι κάποιος από τους συνηθισμένους κυβερνοεγκληματίες που ενδιαφέρονται να ξεκινήσουν επιθέσεις DDoS με αντάλλαγμα κάποια λεφτά.
Μια έκθεση που συντάχθηκε από την Υπηρεσία Εξωτερικών Πληροφοριών της Εσθονίας υποστηρίζει ότι το APT28 είναι μια μονάδα της Διεύθυνσης Πληροφοριών της Ρωσικής Στρατιωτικής Υπηρεσίας (συντομογραφία GRU). Με το νέο VPNFilter να βρίσκεται “προ των πυλών” οι Ουκρανικές αρχές θα πρέπει να παραμείνουν σε ετοιμότητα για να αποτρέψουν οποιεσδήποτε επιθέσεις στον κυβερνοχώρο.
