Рост усилий по реагированию на вредоносное ПО VPNFilter привел к выпуску нового бесплатного инструмента для проверки на заражение.
Несмотря на то, что утилита от Symantec только отслеживает трафик, а не подтверждает заражение, сторонние эксперты тем не менее приветствовали его выпуск.
VPNFilter, обнаруженный исследователями безопасности в Cisco Talos в мае , по оценкам, захватил полмиллиона устройств IoT, таких как маршрутизаторы и устройства хранения данных на сети (NAS).
Вредоносная программа способна заражать корпоративные и домашние маршрутизаторы, отслеживать зашифрованный веб-трафик и устанавливать бэкдор на скомпрометированных устройствах, что позволяет дистанционно управлять ими. Как точно заражаются устройства, зависит от прошивки и модели: предполагается, что они используют известные уязвимости в прошивке гаджетов, а также слабые настройки безопасности, такие как функции удаленного администрирования, оставленные открытыми для Интернета. Полный список заражаемых маршрутизаторов доступен здесь .
VPNFilter устанавливает плагин, который контролирует и изменяет веб-трафик, отправленный через зараженный маршрутизатор, позволяя злоумышленникам вводить вредоносный контент, украсть пароли и другую конфиденциальную информацию пользователя. Ботнет также можно легко превратить в мощный инструмент DDoS.
Symantec разработала VPNFilter Check, бесплатный онлайн-инструмент, помогающий отдельным лицам и организациям быстро определить, мог ли быть взломан вирусом VPNFilter их маршрутизатор.
Точнее, проверка VPNFilter проверяет , изменяется ли трафик в домашней или корпоративной сети зараженным маршрутизатором.
«Это вредоносное ПО отличается от большинства других угроз IoT, поскольку оно способно поддерживать постоянное присутствие на зараженном устройстве даже после перезагрузки», — сказал Стивен Триллинг, старший вице-президент и генеральный менеджер аналитики и исследования безопасности Symantec.
«Инструмент проверки VPNFilter Checker Symantec предоставляет отдельным лицам и организациям простой способ определить, были ли их маршрутизаторы подвергнуты этой угрозе, и предлагает шаги, которые они могут предпринять, если они заражены».
Ветеран антивирусной индустрии Веснелин Бончев рассказал El Reg, что инструмент обнаруживает, что VPNFilter изменяет соединение без подтверждения того, заражено ли IoT-устройство.