Niedawne odkrycie, że nowe szkodliwe oprogramowanie oparte na routerach, znane jako VPNFilter, zainfekowało dobrze ponad 500 000 routerów, stało się jeszcze gorszą wiadomością. W raporcie, który ma zostać opublikowany 13 czerwca, Cisco stwierdza, że ponad 200 000 dodatkowych routerów zostało zainfekowanych, a możliwości VPNFilter są znacznie gorsze niż początkowo sądzono. Ars Technica poinformował, czego można się spodziewać po Cisco w środę.
VPNFilter to złośliwe oprogramowanie instalowane na routerze Wi-Fi. Zainfekował już prawie milion routerów w 54 krajach, a lista urządzeń, na które ma wpływ VPNFilter, zawiera wiele popularnych modeli konsumenckich. Należy pamiętać, że VPNFilter tak nie exploit routera, który atakujący może znaleźć i wykorzystać w celu uzyskania dostępu - jest to oprogramowanie, które zostało przypadkowo zainstalowane na routerze, które jest w stanie zrobić potencjalnie straszne rzeczy.
VPNFilter to złośliwe oprogramowanie, które w jakiś sposób zostaje zainstalowane na routerze, a nie luka, którą atakujący mogą wykorzystać, aby uzyskać dostęp.
Pierwszy atak VPNFilter polega na użyciu ataku typu man in the middle na ruch przychodzący. Następnie próbuje przekierować bezpieczny zaszyfrowany ruch HTTPS do źródła, które nie może go przyjąć, co powoduje, że ruch ten powraca do normalnego, niezaszyfrowanego ruchu HTTP. Oprogramowanie, które to robi, nazwane przez badaczy ssler, zawiera specjalne przepisy dla witryn, które mają dodatkowe środki, aby temu zapobiec, takich jak Twitter.com lub dowolna usługa Google.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Gdy ruch jest niezaszyfrowany, VPNFilter jest w stanie monitorować cały ruch przychodzący i wychodzący, który przechodzi przez zainfekowany router. Zamiast zbierać cały ruch i przekierowywać na zdalny serwer w celu późniejszego przejrzenia, jest ukierunkowany w szczególności na ruch, o którym wiadomo, że zawiera poufne materiały, takie jak hasła lub dane bankowe. Przechwycone dane można następnie przesłać z powrotem na serwer kontrolowany przez hakerów o znanych powiązaniach z rządem Rosji.
VPNFilter może również zmieniać ruch przychodzący, aby fałszować odpowiedzi z serwera. Pomaga to ukryć ślady złośliwego oprogramowania i pozwala mu działać dłużej, zanim będzie można stwierdzić, że coś jest nie tak. Przykład tego, co VPNFilter jest w stanie zrobić z ruchem przychodzącym przekazanym ARS Technica przez Craiga Williamsa, starszego lidera technologii i globalnego menedżera ds. Zasięgu w Talos, mówi:
Wygląda jednak na to, że [napastnicy] przeszli całkowitą ewolucję i teraz nie tylko im na to pozwala, ale mogą manipulować wszystkim, co przechodzi przez zainfekowane urządzenie. Mogą modyfikować saldo konta bankowego, aby wyglądało normalnie, jednocześnie wysysając pieniądze i potencjalnie klucze PGP i tym podobne. Mogą manipulować wszystkim, co wchodzi i wychodzi z urządzenia.
Ustalenie, czy jesteś zarażony, jest trudne lub niemożliwe (w zależności od zestawu umiejętności i modelu routera). Naukowcy sugerują, że każdy, kto używa routera, o którym wiadomo, że jest podatny na VPNFilter, zakłada, że tak są zainfekowanych i podejmij niezbędne kroki, aby odzyskać kontrolę nad ruchem sieciowym.
Routery, o których wiadomo, że są podatne na ataki
Ta długa lista zawiera routery konsumenckie, o których wiadomo, że są podatne na działanie VPNFilter. Jeśli Twój model znajduje się na tej liście, sugerowane jest postępowanie zgodnie z procedurami opisanymi w następnej sekcji tego artykułu. Urządzenia na liście oznaczone jako „nowe” to routery, które dopiero niedawno wykryto jako podatne na ataki.
Urządzenia Asus:
- RT-AC66U (nowy)
- RT-N10 (nowy)
- RT-N10E (nowy)
- RT-N10U (nowy)
- RT-N56U (nowy)
Urządzenia D-Link:
- DES-1210-08P (nowy)
- DIR-300 (nowy)
- DIR-300A (nowy)
- DSR-250N (nowy)
- DSR-500N (nowy)
- DSR-1000 (nowy)
- DSR-1000N (nowy)
Urządzenia Huawei:
- HG8245 (nowy)
Urządzenia Linksys:
- E1200
- E2500
- E3000 (nowy)
- E3200 (nowy)
- E4200 (nowy)
- RV082 (nowy)
- WRVS4400N
Urządzenia Mikrotik:
- CCR1009 (nowy)
- CCR1016
- CCR1036
- CCR1072
- CRS109 (nowy)
- CRS112 (nowy)
- CRS125 (nowy)
- RB411 (nowy)
- RB450 (nowy)
- RB750 (nowy)
- RB911 (nowy)
- RB921 (nowy)
- RB941 (nowy)
- RB951 (nowy)
- RB952 (nowy)
- RB960 (nowy)
- RB962 (nowy)
- RB1100 (nowy)
- RB1200 (nowy)
- RB2011 (nowy)
- RB3011 (nowy)
- RB Groove (nowość)
- RB Omnitik (nowość)
- STX5 (nowy)
Urządzenia Netgear:
- DG834 (nowy)
- DGN1000 (nowy)
- DGN2200
- DGN3500 (nowy)
- FVS318N (nowy)
- MBRN3000 (nowy)
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200 (nowy)
- WNR4000 (nowy)
- WNDR3700 (nowy)
- WNDR4000 (nowy)
- WNDR4300 (nowy)
- WNDR4300-TN (nowy)
- UTM50 (nowy)
Urządzenia QNAP:
- TS251
- TS439 Pro
- Inne urządzenia QNAP NAS z oprogramowaniem QTS
Urządzenia TP-Link:
- R600VPN
- TL-WR741ND (nowość)
- TL-WR841N (nowość)
Urządzenia Ubiquiti:
- NSM2 (nowy)
- PBE M5 (nowość)
Urządzenia ZTE:
- ZXHN H108N (nowy)
Co musisz zrobić
Teraz, gdy tylko będziesz w stanie, zrestartuj router. Aby to zrobić, po prostu odłącz go od zasilania na 30 sekund, a następnie podłącz ponownie. Wiele modeli aplikacji zainstalowanych na routerze podczas cyklicznego zasilania.
Następnym krokiem jest przywrócenie ustawień fabrycznych routera. Informacje o tym, jak to zrobić, znajdziesz w instrukcji dołączonej do opakowania lub na stronie internetowej producenta. Zwykle wiąże się to z włożeniem szpilki do zagłębionego otworu w celu naciśnięcia mikroprzełącznika. Po przywróceniu i uruchomieniu routera należy upewnić się, że ma najnowszą wersję oprogramowania układowego. Ponownie zapoznaj się z dokumentacją dostarczoną z routerem, aby uzyskać szczegółowe informacje na temat aktualizacji.
Następnie przeprowadź szybki audyt bezpieczeństwa dotyczący sposobu korzystania z routera.
- Nigdy do administrowania nim użyj domyślnej nazwy użytkownika i hasła. Wszystkie routery tego samego modelu będą używać tej domyślnej nazwy i hasła, co ułatwia zmianę ustawień lub instalację złośliwego oprogramowania.
- Nigdy narażać wszystkich urządzeń wewnętrznych na dostęp do Internetu bez zainstalowanej silnej zapory. Obejmuje to takie rzeczy, jak serwery FTP, serwery NAS, serwery Plex lub dowolne urządzenie inteligentne. Jeśli musisz ujawnić jakiekolwiek podłączone urządzenie poza siecią wewnętrzną, prawdopodobnie możesz użyć oprogramowania do filtrowania i przekazywania portów. Jeśli nie, zainwestuj w silną zaporę sprzętową lub programową.
- Nigdy pozostaw administrację zdalną włączoną. Może to być wygodne, jeśli często jesteś z dala od swojej sieci, ale jest to potencjalny punkt ataku, którego każdy haker wie, że powinien szukać.
- Zawsze bądź na bieżąco. Oznacza to regularne sprawdzanie dostępności nowego oprogramowania układowego, a co ważniejsze, koniecznie zainstaluj go, jeśli jest dostępny.
Wreszcie, jeśli nie możesz zaktualizować oprogramowania układowego, aby zapobiec zainstalowaniu VPNFilter (strona producenta będzie zawierała szczegółowe informacje), po prostu kup nowy. Wiem, że wydawanie pieniędzy na wymianę doskonale dobrego i działającego routera jest trochę ekstremalne, ale tak się stanie nie masz pojęcia, czy twój router jest zainfekowany, chyba że jesteś osobą, która nie musi czytać tego rodzaju wskazówki.
Uwielbiamy nowe systemy routerów kratowych, które mogą być automatycznie aktualizowane, gdy dostępne jest nowe oprogramowanie układowe, takie jak Google Wifi, ponieważ takie rzeczy jak VPNFilter mogą się zdarzyć w dowolnym momencie i dla każdego. Warto rzucić okiem, jeśli jesteś na rynku nowego routera.
- Zobacz na Amazon
- 369 USD w Best Buy
Jerry Hildenbrand
Jerry jest mieszkańcem Mobile Nation i jest z tego dumny. Nie ma niczego, czego nie mógłby rozebrać, ale wielu rzeczy nie może złożyć na nowo. Znajdziesz go w sieci Mobile Nations i możesz uderzył go na Twitterze jeśli chcesz powiedzieć hej.