ФБР проти ботнетів: Чим загрожував Україні знешкоджений у США "VPN-фільтр"

Новина про те, що ФБР США заблокувало сервер, який керував мережею з 500 тис. заражених комп'ютерів, за звичайних умов, мала би пройти повз увагу українських користувачів. Насправді, вдалі операції проти ботнетів інколи трапляються декілька разів на місяць – і особливого ажіотажу в поважної публіки не викликають.

Цього разу все трапилося інакше – з декількох причин. По-перше, заражені комп'ютери були інфіковані, на думку американських експертів, програмним кодом, створеним хакерським угрупуванням Fancy Bear (воно ж Sofacy Group, воно ж APT28, воно ж Pawn Storm). Яке давно – і небезпричинно – пов'язують з російськими спецслужбами. Саме це угрупування атакувало інформаційну систему Бундестагу в 2015 році, заразивши особистий комп'ютер Ангели Меркель. За рік була атака на поштові сервери німецького Християнсько-демократичного союзу.

В 2015 році хакери з Fancy Bear розсилали листи з погрозами дружинам американських військових від імені "Кіберхаліфату" – але в ході кіберрозслідування з'ясувалось, що "халіфат" був російським. В червні 2016 стало відомо про те, що Fancy Bear зламали сервери Національного комітету Демократичної партії США.

Не оминули Fancy Bear своєю увагою і Україну, "підламавши" свого часу сервери ЦВК. Тож і відповідальність взяло на себе угрупування "Кіберберкут", але на думку експертів той "Кіберберкут" був рідним братом "Кіберхаліфату", а простіше кажучи – криво зліпленою ширмою.

А другим моментом, який привернув увагу до операції ФБР, став той факт, що найбільше мереж, заражених шкідливим кодом під назвою "VPN-фільтр", яке й використовувалось для керування бот-нетом, розташовані саме в Україні.

В СБУ, після появи інформації про "VPN-фільтр", негайно заявили, що за допомогою цього шкідливого коду Росія готує широкомасштабну кібератаку перед фіналом Ліги чемпіонів. Втім, не навівши жодних доказів такого припущення. Зважаючи на структуру і механізм дії шкідливого коду, якісь докази можна зібрати тільки в двох випадках – або за наявності агентури в середовищі "ГРУшних хакерів", або в разі початку безпосередньої атаки. Тому заява українських спецслужб викликає обґрунтовані сумніви в компетентності або у щирості.

А щодо механізму дії "VPN-фільтра", то він наступний. За даними експертів двох виробників мереживного обладнання з Cisco та експертів з комп'ютерної безпеки компанії Symantec, шкідлива програма використовує відомі вразливості для зараження домашніх та офісних роутерів, що виробляються Linksys, MikroTik, NETGEAR і TP-Link. Себто всіх недорогих і популярних моделей, які разом займають відсотків, напевно, 80 від усього ринку.

До речі, під час російської атаки у грудні 2015 року на українську енергосистему частина шкідливого коду також, як і у випадку з "VPN-фільтром", атакувала саме мереживне обладнання.

За словами дослідників, після зараження клієнтського обладнання, шкідлива програма повідомляє про це інфраструктуру командного центру, яка може віддати вказівку на встановлення цільових плагінів. Наразі вдалося встановити три типи плагінів.

Перший тип дозволяє хакеру перехоплювати інтернет-трафік потерпілого, щоб вкрасти облікові дані веб-сайту. Другий призначений для атак на протокол, який використовується в промислових мережах управління, наприклад, у мережах електрозв'язку. Третій тип дозволяє зловмисникам припиняти роботу будь-яких заражених пристроїв.

Чи дозволяє подібний функціонал вчинити Україні капость перед суботнім матчем? Дозволяє, звичайно. Тим паче, що із "командного сервера" – на щастя вже контрольованого ФБР, а не російськими хакерами, цілком можливим було інсталювати на заражене обладнання й інші компоненти. Але безапеляційна заява, що вся ця гігантська мереживна структура (яка, до речі, створювалась не один рік – навіть розслідування її розвитку проводиться ФБР з минулого серпня) мала на меті виключно зіпсувати футбольне свято у Києві виглядає, м'яко кажучи, якось неадекватно.

А загалом, "VPN-фільтр" – не перший і, на жаль, не останній шмат шкідливого програмного забезпечення, що псує життя користувачам комп'ютерів. Здолати цю загрозу якоюсь одноразовою акцією неможливо. Виробникам обладнання слід вчасно закривати "дірки" в своїх прошивках та драйверах. Інтернет-провайдерам – пильніше стежити за своїм господарством, яке цілком може стати розсадником зарази. А користувачам – триматися подалі від російських файлопомийок та соцмереж. Бо, можливо, значна степінь зараження української інфраструктури "VPN-фільтром" – це не наслідок хитрого задуму творців шкідливої програми, а результат надто частих відвідин українцями Рунету, на просторах якого можна підчепити найрізноманітнішу гидоту і окрім "останнього хіта" від Fancy Bear.