Российские хакеры могут все: Cisco предсказала кибератаку на 500 000 роутеров по всему миру

Томас Фокс-Брюстер Автор

Исследователи предупредили о существовании единого выключателя, который может лишить доступа к сети сотни тысяч интернет-пользователей

Прошло чуть больше месяца с тех пор, как правительства США и Великобритании официально обвинили Россию в масштабной атаке на домашние и корпоративные роутеры. На прошлой неделе 23 мая исследователи по кибербезопасности из Cisco Talos опубликовали доклад о причастности России к атакам на 500 000 роутеров, большая часть из которых была расположена в Украине.

В докладе утверждается, что хакеры из той же группы, что пробила брешь в безопасности Национального комитета Демократической партии (НКДП) в 2016 году, сейчас могут отключить одновременно множество устройств и в результате лишить интернета огромное количество людей.

Хакеры установили вредоносное программное обеспечение VPNFilter на роутерах многих компаний, в том числе Linksys, MikroTik, Netgear и TP-Link, уязвимые места которых широко известны. Жертвы оказались разбросаны по 54 странам, но большинство из них находились в Украине, где число взломанных устройств росло «угрожающими темпами», сообщила Cisco Talos в своем отчете. Код VPNFilter отчасти схож с еще одним инструментом шпионажа российского происхождения — BlackEnergy, который ранее использовали для нападения на украинских производителей электроэнергии.

Атаки начались не позднее 2016 года, но, как говорилось в апрельском предупреждении НКДП и Национального центра кибербезопасности Великобритании (НЦК), вероятно, злоумышленники планируют еще что-то значительное. (НЦК сообщил Forbes, что не может подтвердить наличие совпадений между его исследованиями деятельности России и отчетом Cisco.)

Возможно, хакеры хотят отключить от сети множество пользователей посредством единого «выключателя». «У вируса есть функция, позволяющая сделать зараженное устройство непригодным к использованию, и активировать ее можно на оборудовании отдельной жертвы или массово, в результате чего сотни тысяч пользователей по всему миру могут лишиться доступа к сети», — пишут исследователи Cisco.

Помимо того, что программа может быть использована для широкомасштабной разрушительной атаки, она может перехватывать трафик, проходящий через зараженный роутер, и похищать сведения, например, данные для авторизации на сайтах. Более того, VPNFilter отслеживает деятельность программ, используемых в ключевых объектах инфраструктуры, а злоумышленники создали собственную зашифрованную сеть коммуникаций с помощью Tor Network.

Мартин Ли, технический руководитель исследований безопасности в Cisco Talos, не готов приписывать эти атаки конкретной стране, однако связывает их с группой хакеров, известной как APT28. В свою очередь, власти США считают, что эта команда действует в интересах России, и обвиняют ее в атаке на НКДП в 2016 году, в преддверии президентских выборов.

Ли также обеспокоен возможностью атак на ключевые объекты инфраструктуры. «Что особенно тревожно, так это то, что у вируса есть модуль, нацеленный на MODBUS, протокол, используемый для управления системами промышленного контроля, которые встречаются на электростанциях или в железнодорожном транспорте, — сказал он Forbes. — Сходство есть также между этой вредоносной программой и атаками BlackEnergy, которые ранее затронули поставки электроэнергии в Украине... Чрезвычайно важно, чтобы организации, управляющие промышленными системами вроде поставок воды и электроэнергии, предприняли необходимые меры для защиты от подобных кибернападений».

Нападение неизбежно

Cisco сообщила, что планирует опубликовать предупреждение, поскольку обеспокоена высокой вероятностью нападения на Украину. Исследователи компании увидели внезапный рост численности атак с помощью VPNFilter в этой стране начиная с 8 мая. По данным Reuters, Служба безопасности Украины (СБУ) полагает, что Россия планировала провести атаку в преддверии финала Лиги чемпионов в Киеве.

Специалисты производителя сетевых устройств полагают, что аппараты конкурентов не будут обезврежены в обозримом будущем. «От этой угрозы чрезвычайно трудно защититься из-за характера пораженных устройств, — говорится в отчете. — Большинство из них подключены к интернету напрямую, без каких-либо защитных устройств или платформ между ними и потенциальными агрессорами. Ситуация усугубляется тем обстоятельством, что у большей части пораженных устройств есть общеизвестные уязвимые места, которые среднестатистическому пользователю непросто устранить».

Эта новость стала известна в период всеобщего страха перед возможностями России в сфере онлайн-шпионажа. В апреле этого года в ходе своего первого выступления в качестве директора Британского центра правительственной связи Джереми Флеминг назвал действия Кремля в сети «неприемлемыми».

Россия тем временем открыто раскритиковала заявления, касающиеся ее онлайн-деятельности, и продолжает отрицать обвинения, выдвинутые властями США и Великобритании в апреле.

Представитель НКЦ так прокомментировал отчет Cisco: «Это исследование — своевременное напоминание организациям и частным пользователям о базовых мерах по защите от киберугроз. Мы призываем всех последовать рекомендациям производителей и убедиться, что вы устанавливаете обновления и новейшее антивирусное программное обеспечение».

Перевод Натальи Балабанцевой