Złośliwe oprogramowanie Vpnfilter zainfekowało milion routerów - oto, co musisz wiedzieć

Niedawne odkrycie, że nowe złośliwe oprogramowanie oparte na routerach, znane jako VPNFilter, zainfekowało ponad 500 000 routerów, stało się jeszcze gorszą wiadomością. W raporcie, który ma zostać wydany 13 czerwca, Cisco stwierdza, że ​​zainfekowano ponad 200 000 dodatkowych routerów i że możliwości VPNFilter są znacznie gorsze, niż początkowo sądzono. Ars Technica poinformował o tym, czego można oczekiwać od środowej firmy Cisco.

VPNFilter to złośliwe oprogramowanie instalowane na routerze Wi-Fi. Zainfekował już prawie milion routerów w 54 krajach, a lista urządzeń, na które wpływa VPNFilter, zawiera wiele popularnych modeli konsumenckich. Ważne jest, aby pamiętać, że VPNFilter nie jest exploitem na router, który atakujący może znaleźć i wykorzystać do uzyskania dostępu - jest to oprogramowanie, które jest nieumyślnie zainstalowane na routerze, które jest w stanie zrobić kilka potencjalnie okropnych rzeczy.

VPNFilter to złośliwe oprogramowanie, które w jakiś sposób instaluje się na routerze, a nie luka, którą atakujący mogą wykorzystać w celu uzyskania dostępu.

Pierwszy atak VPNFilter polega na użyciu człowieka w środku ataku na przychodzący ruch. Następnie próbuje przekierować bezpieczny zaszyfrowany ruch HTTPS do źródła, które nie jest w stanie go zaakceptować, co powoduje, że ruch ten wraca do normalnego, niezaszyfrowanego ruchu HTTP. Oprogramowanie, które to robi, nazwane przez naukowców ssler, wprowadza specjalne postanowienia dla witryn, które mają dodatkowe środki, aby temu zapobiec, takich jak Twitter.com lub dowolna usługa Google.

Po odszyfrowaniu ruchu VPNFilter jest w stanie monitorować cały ruch przychodzący i wychodzący, który przechodzi przez zainfekowany router. Zamiast zbierać cały ruch i przekierowywać na zdalny serwer w celu późniejszego obejrzenia, w szczególności jest ukierunkowany na ruch, który zawiera wrażliwe materiały, takie jak hasła lub dane bankowe. Przechwycone dane można następnie odesłać z powrotem na serwer kontrolowany przez hakerów ze znanymi powiązaniami z rządem rosyjskim.

VPNFilter może również zmieniać ruch przychodzący, aby fałszować odpowiedzi z serwera. Pomaga to zakryć ślady złośliwego oprogramowania i pozwala mu działać dłużej, zanim zauważysz, że coś idzie nie tak. Przykład tego, co VPNFilter jest w stanie zrobić dla ruchu przychodzącego podanego ARS Technica przez Craiga Williamsa, starszego lidera technologii i globalnego menedżera ds. Pomocy w Talos, mówi:

Wygląda jednak na to, że przeszłość całkowicie ewoluowała, a teraz nie tylko pozwala im to robić, ale mogą manipulować wszystkim przechodzącym przez zainfekowane urządzenie. Mogą modyfikować saldo Twojego konta bankowego, aby wyglądało normalnie, jednocześnie wyciągając pieniądze i potencjalnie klucze PGP i tym podobne. Mogą manipulować wszystkim, co wchodzi i wychodzi z urządzenia.

Trudno lub nie jest możliwe (w zależności od zestawu umiejętności i modelu routera) stwierdzenie, czy jesteś zainfekowany. Badacze sugerują, że każdy, kto korzysta z routera, o którym wiadomo, że jest podatny na VPNFilter, zakłada, że jest zainfekowany, i podejmuje niezbędne kroki, aby odzyskać kontrolę nad ruchem sieciowym.

Routery, o których wiadomo, że są podatne na ataki

Ta długa lista zawiera routery konsumenckie, o których wiadomo, że są podatne na VPNFilter. Jeśli Twój model pojawi się na tej liście, sugeruje się postępowanie zgodnie z procedurami opisanymi w następnej sekcji tego artykułu. Urządzenia na liście oznaczone jako „nowe” to routery, które dopiero niedawno zostały uznane za podatne na ataki.

Urządzenia Asus:

• RT-AC66U (nowy)
• RT-N10 (nowy)
• RT-N10E (nowy)
• RT-N10U (nowy)
• RT-N56U (nowy)

Urządzenia D-Link:

• DES-1210-08P (nowy)
• DIR-300 (nowy)
• DIR-300A (nowy)
• DSR-250N (nowy)
• DSR-500N (nowy)
• DSR-1000 (nowy)
• DSR-1000N (nowy)

Urządzenia Huawei:

• HG8245 (nowy)

Urządzenia Linksys:

• E1200
• E2500
• E3000 (nowy)
• E3200 (nowy)
• E4200 (nowy)
• RV082 (nowy)
• WRVS4400N

Urządzenia Mikrotik:

• CCR1009 (nowy)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nowy)
• CRS112 (nowy)
• CRS125 (nowy)
• RB411 (nowy)
• RB450 (nowy)
• RB750 (nowy)
• RB911 (nowy)
• RB921 (nowy)
• RB941 (nowy)
• RB951 (nowy)
• RB952 (nowy)
• RB960 (nowy)
• RB962 (nowy)
• RB1100 (nowy)
• RB1200 (nowy)
• RB2011 (nowy)
• RB3011 (nowy)
• RB Groove (nowy)
• RB Omnitik (nowy)
• STX5 (nowy)

Urządzenia Netgear:

• DG834 (nowy)
• DGN1000 (nowy)
• DGN2200
• DGN3500 (nowy)
• FVS318N (nowy)
• MBRN3000 (nowy)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nowy)
• WNR4000 (nowy)
• WNDR3700 (nowy)
• WNDR4000 (nowy)
• WNDR4300 (nowy)
• WNDR4300-TN (nowy)
• UTM50 (nowy)

Urządzenia QNAP:

• TS251
• TS439 Pro
• Inne urządzenia QNAP NAS z oprogramowaniem QTS

Urządzenia TP-Link:

• R600VPN
• TL-WR741ND (nowy)
• TL-WR841N (nowy)

Urządzenia Ubiquiti:

• NSM2 (nowy)
• PBE M5 (nowy)

Urządzenia ZTE:

• ZXHN H108N (nowy)

Co musisz zrobić

W tej chwili, gdy tylko będzie to możliwe, powinieneś zrestartować router. Aby to zrobić, po prostu odłącz go od zasilania na 30 sekund, a następnie podłącz z powrotem. Wiele modeli routera opróżnia zainstalowane aplikacje po ich wyłączeniu.

Następnym krokiem jest przywrócenie ustawień fabrycznych routera. Informacje o tym, jak to zrobić, znajdziesz w instrukcji dostarczonej w pudełku lub na stronie producenta. Zwykle wymaga to włożenia szpilki do zagłębionego otworu w celu wciśnięcia mikroprzełącznika. Po ponownym uruchomieniu routera upewnij się, że jest on w najnowszej wersji oprogramowania układowego. Ponownie zapoznaj się z dokumentacją dostarczoną z routerem, aby uzyskać szczegółowe informacje na temat aktualizacji.

Następnie wykonaj szybki audyt bezpieczeństwa dotyczący sposobu używania routera.

• Nigdy nie używaj domyślnej nazwy użytkownika i hasła do administrowania nim. Wszystkie routery tego samego modelu będą używać tej domyślnej nazwy i hasła, dzięki czemu można łatwo zmienić ustawienia lub zainstalować złośliwe oprogramowanie.
• Nigdy nie wystawiaj żadnych wewnętrznych urządzeń na działanie Internetu bez zainstalowanej silnej zapory ogniowej. Dotyczy to między innymi serwerów FTP, serwerów NAS, serwerów Plex lub dowolnego urządzenia inteligentnego. Jeśli musisz odsłonić dowolne podłączone urządzenie poza siecią wewnętrzną, prawdopodobnie możesz użyć oprogramowania do filtrowania portów i przekierowywania. Jeśli nie, zainwestuj w silną zaporę sprzętową lub programową.
• Nigdy nie pozostawiaj włączonej administracji zdalnej. Może to być wygodne, jeśli często jesteś z dala od sieci, ale jest to potencjalny punkt ataku, o którym wie każdy haker.
• Zawsze bądź na bieżąco. Oznacza to regularne sprawdzanie , czy nie jest dostępne nowe oprogramowanie wewnętrzne, a co ważniejsze, należy je zainstalować, jeśli jest dostępne.

Wreszcie, jeśli nie możesz zaktualizować oprogramowania układowego, aby zapobiec instalacji VPNFilter (strona producenta będzie zawierała szczegółowe informacje), po prostu kup nowy. Wiem, że wydawanie pieniędzy na zastąpienie doskonale dobrego i działającego routera jest nieco ekstremalne, ale nie będziesz miał pojęcia, czy router jest zainfekowany, chyba że jesteś osobą, która nie musi czytać tego rodzaju wskazówek.

Uwielbiamy nowe systemy routerów typu mesh, które mogą być automatycznie aktualizowane, gdy tylko będzie dostępne nowe oprogramowanie układowe, takie jak Google Wifi, ponieważ takie rzeczy jak VPNFilter mogą się zdarzyć w dowolnym momencie i dla każdego. Warto przyjrzeć się, jeśli szukasz nowego routera.