В мае была замечена вспышка распространения вредоносного ПО VPNFilter по всему миру. Вирус атакует маршрутизаторы частных лиц и малого бизнеса и производит ряд действий по отслеживанию и модификации информации в сети. В частности, он может стереть часть фирменной прошивки роутера, делая дальнейшее его использование затруднительным. ФБР подозревает в атаке российских хакеров.
Порядка 500000 роутеров в 54-х странах поразил вирус VPNFilter, по материалам CISCO. Главных причин для особого беспокойства — две. Во-первых, широкое распространение интернета вещей (IoT, Internet of Things, через интернет можно регулировать работу домашней техники — например, холодильника или кондиционера) потенциально позволяет хакерам вторгаться в личную жизнь людей. Во-вторых, вирус позволяет выводить из строя как отдельные роутеры, так и целую сеть поражённых роутеров по одной команде. То есть, злоумышленники могут оставить без интернета большую сеть пользователей «по одному щелчку».
В отличие от других вирусов, распространяемых по принципам botnet, у VPNFilter есть три стадии работы. На первой стадии он «закрепляется» в маршрутизаторе и развёртывает инфраструктуру, чтобы установить вторую стадию вируса — более сложное ПО, которое может собирать файлы из сети, выполнять команды, красть информацию и управлять устройствами. Вторая стадия, в частности, содержит функциональность по удалению частей фирменной прошивки роутера. При таком сценарии роутер выводится из строя, и быстро наладить интернет-соединение невозможно. На третьей стадии вирус может красть пароли от сайтов, мониторить SCADA-протоколы (часто используемые в работе предприятий), отслеживать передачу пакетов и отправлять анонимные запросы через сеть Tor.
Дополнительная «каверзность» вируса заключается в том, что первая стадия может пережить простую перезагрузку (вторая и третья стадия «откатываются» при перезагрузке до первой, которая впоследствии может опять развернуть вторую и третью стадию). То есть, чтобы полностью избавиться от вируса, нужно «откатить» роутер к изначальным фирменным настройкам, что большинству пользователей, которые даже не знают пароля от своего роутера, — не по зубам.
В мае, прямо перед проведением финала Лиги чемпионов в Киеве, была зарегистрирована вспышка атак в Украине. Другой вирус, BlackEnergy, который содержит куски программного кода, найденные и в VPNFilter, атаковал Украину зимой 2015—2016 гг. Такие таргетированные атаки наводят ФБР США на мысль о том, что авторство вируса принадлежит хакерам, работающим под руководством российских властей. ФБР отслеживало подозреваемую в атаках группу хакеров с августа 2017, но только сейчас, в связи с расширением диапазона атак, решило раскрыть данные.
В среду ФБР перехватило контроль над доменом toknowall.com, который был частью командной инфраструктуры VPNFilter. Это позволило узнать IP-адреса инфицированных роутеров и начать процесс удаления с них вируса. Кроме этого, будут предприняты шаги по поимке хакеров.