Анализ показал, что VPNFilter также способно инфицировать устройства производства ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL и ZTE.

Исследователи безопасности из команды Cisco Talos опубликовали подробную информацию о вредоносном ПО VPNFilter, заразившем более 500 тыс. маршрутизаторов в по меньшей мере 54 странах, позволив злоумышленникам шпионить за пользователями, а также осуществлять кибератаки.

Как считалось изначально, вредоносное ПО нацелено на маршрутизаторы и сетевое оборудование от производителей Linksys, MikroTik, NETGEAR и TP-Link, однако более глубокий анализ показал, что VPNFilter также способно инфицировать устройства производства ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL и ZTE.

Для компрометации устройств вредоносное ПО эксплуатирует известные уязвимости, а также использует учетные данные по умолчанию.

Помимо этого, исследователи раскрыли технические подробности о модуле под названием ssler, который является усовершенствованным сетевым сниффером, позволяющим хакерам перехватывать сетевой трафик и доставлять вредоносную полезную нагрузку путем осуществления атаки «человек посередине» (Man in the Middle, MitM).

«Модуль Ssler предоставляет возможности по расширению данных и возможности встраивания JavaScript, перехватывая весь входящий через порт 80 трафик», - пояснили специалисты.

Данный модуль также позволяет вредоносному ПО поддерживать постоянное присутствие даже после перезагрузки устройства.

Кроме того, VPNFilter также обладает деструктивным функционалом (модуль dstr), позволяя вывести зараженное устройство из строя путем удаления файлов, необходимых для его нормальной работы.

Как сообщили эксперты, несмотря на отключение сотрудниками ФБР главного C&C-сервера VPNFilter , ботнет по-прежнему остается активным благодаря его универсальному многоступенчатому дизайну. Согласно полученным данным, простой перезагрузки устройства недостаточно, так как программа способна заново установить вредоносные модули на маршрутизаторе. В ряде случаев может помочь обновление прошивки устройства.