Tagant paistavad Venemaa kõrvad

USA justiitsministeerium teatas kindlas kõneviisis, et tegu on APT28 ehk Sofacy grupeeringu kätetööga. Seda seostatakse omakorda Venemaa sõjaväeluure GRU-ga, mis seostab ka pahavara kasutamise Ukraina sihtmärkide vastu.

Peale Cisco raportit õnnestus Ameerika valitsusasutustel ründajate tööd häirida ja FBI sai kontrolli ühe juhtserveri üle, millega nakatanud ruuterid ja võrguseadmed suhtlesid.

Taaskäivitus aitab ainult osaliselt

FBI teatel tasuks kõigi selliste ruuterite käitajatel teha sellele taaskäivitus, lülitada välja kaughalgus ning muuta ära tootja poolt määratud vaikimisi paroolid.

VPNFilteri puhul aitab taaskäivitus aga ainult osaliselt. Nimelt tegutseb pahavara mitmes etapis. Esimese etapi rünnakus otsib pahavara üles oma juhtserveri aadressi – selle saab Photobucket.com saidilt ühte pilti peidetud GPS-koordinaatidest. Kui see ebaõnnestub, püüab see ühendust saada serveriga toknowall[.]com, mille üle FBI kontrolli saigi. Kolmanda võimalusena “kuulab” pahavara konkreetseid käsklusi ründajatelt.

Kui pahavara esimeses etapis edukalt ühenduse saab, käivitub teine etapp, kus VPNFilter toimib tõelise Šveitsi noana. See võib salvestada faile, kävitada käske, edastada andmeid ja seadmete juhtimise üle võtta. Moodulitena saab see tööle panna privaatsuhtluse üle Tori võrgu, samuti suudab see jälgida salvestada mingi osa peremeesorganismiks oleva ruuteri andmeliiklusest. Pahavaral on isegi võimekus teatud tingimustel üle kirjutada seadme firmware ja teha taaskäivitus ehk teha “enesetapp” ning seade kasutuks muuta.

Kuigi taaskäivitus nullib ära teise etapi funktsionaalsused, siis esimese etapi võimekuse ehk käske otsida ja kuulata säilitab nakatanud seade siiski.