A Talos két hete újabb részleteket közölt a VPNFilter moduláris malware-re vonatkozó kutatásai során megismert részletekről. Ahogy korábban már én is írtam róla, a VPNFilter egy több szintű, moduláris malware, amit jellemzően SOHO hálózati eszközök ellen fejlesztettek és használtak fel eddig ismeretlen támadók, főként Ukrajnában, de világszerte több, mint fél millió routert és NAS-t sikerült kompromittálniuk. A jelenleg rendelkezésre álló információk szerint a VPNFilter felhasználásával sikerült üzemzavart előidézni egy ukrán víztisztító alállomáson, ahol klór adagolásával tisztították a vízvezetékrendszerbe kerülő vizet.
A kutatásokból most nyilvánosságra hozott részletek szerint a VPNFilter megalkotói kiemelt figyelmet fordítottak a MikroTik eszközökre a malware fejlesztése során, kiváltképp az Ukrajnában használt MikroTik eszközök esetében. Erre tekintettel a most publikált információk között kiemelt jelentőségű a MikroTik eszközök üzemeltetéséhez használt Winbox protokoll alapos elemzése és az ehhez létrehozott, LUA-alapú Winbox dissector.
A blogposztban a Talos kutatói kitérnek a VPNFilter most feltárt képességeire és hét újabb, a támadások harmadik fázisában használt modulról is részletes leírást adnak.
A Talos blogposztja a VPNFilter-kutatás legújabb eredményeiről itt olvasható: https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html