Недавнее открытие того, что новое вредоносное ПО для маршрутизаторов, известное как VPNFilter, заразило более 500 000 маршрутизаторов, стало еще худшей новостью. В отчете, который должен быть выпущен 13 июня, Cisco заявляет, что более 200 000 дополнительных маршрутизаторов были заражены и что возможности VPNFilter намного хуже, чем предполагалось изначально. Ars Technica сообщил, чего ожидать от Cisco в среду.
VPNFilter - это вредоносное ПО, которое устанавливается на маршрутизатор Wi-Fi. Он уже заразил почти миллион маршрутизаторов в 54 странах, а список устройств, на которые влияет VPNFilter, содержит множество популярных потребительских моделей. Важно отметить, что VPNFilter - это не эксплойт маршрутизатора, который злоумышленник может найти и использовать для получения доступа - это программное обеспечение, непреднамеренно установленное на маршрутизаторе, которое может делать некоторые потенциально ужасные вещи.
VPNFilter - это вредоносное ПО, которое каким-то образом устанавливается на ваш маршрутизатор, а не уязвимость, которую злоумышленники могут использовать для получения доступа.
Первая атака VPNFilter заключается в атаке человека посередине на входящий трафик. Затем он пытается перенаправить безопасный зашифрованный HTTPS-трафик к источнику, который не может его принять, что приводит к тому, что этот трафик возвращается к обычному незашифрованному HTTP-трафику. Программное обеспечение, которое делает это, названное исследователями ssler, предусматривает специальные меры для сайтов, на которых есть дополнительные меры по предотвращению этого, например Twitter.com или любой другой сервис Google.
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
Когда трафик не зашифрован, VPNFilter может отслеживать весь входящий и исходящий трафик, проходящий через зараженный маршрутизатор. Вместо того, чтобы собирать весь трафик и перенаправлять на удаленный сервер для последующего просмотра, он специально нацелен на трафик, который, как известно, содержит конфиденциальные материалы, такие как пароли или банковские данные. Затем перехваченные данные могут быть отправлены обратно на сервер, контролируемый хакерами, имеющими известные связи с правительством России.
VPNFilter также может изменять входящий трафик для фальсификации ответов с сервера. Это помогает скрыть следы вредоносного ПО и позволяет ему работать дольше, прежде чем вы заметите, что что-то идет не так. Пример того, что VPNFilter может делать с входящим трафиком, переданный ARS Technica Крейгом Уильямсом, старшим технологическим лидером и глобальным менеджером по работе с клиентами Talos, говорит:
Но похоже, что [злоумышленники] полностью прошли это, и теперь это не только позволяет им это делать, но и управлять всем, что проходит через взломанное устройство. Они могут изменить баланс вашего банковского счета, чтобы он выглядел нормально, в то же время они выкачивают деньги и, возможно, ключи PGP и тому подобное. Они могут управлять всем, что входит и выходит из устройства.
Сложно или невозможно (в зависимости от вашего набора навыков и модели маршрутизатора) определить, инфицированы ли вы. Исследователи предполагают, что любой, кто использует маршрутизатор, который, как известно, подвержен воздействию VPNFilter, предполагает, что он находятся заражены и предпринять необходимые шаги для восстановления контроля над своим сетевым трафиком.
Маршрутизаторы заведомо уязвимы
Этот длинный список содержит маршрутизаторы потребителей, которые, как известно, восприимчивы к VPNFilter. Если ваша модель присутствует в этом списке, рекомендуется выполнить процедуры, описанные в следующем разделе этой статьи. Устройства в списке, отмеченные как «новые», представляют собой маршрутизаторы, уязвимые только недавно.
Устройства Asus:
- RT-AC66U (новый)
- RT-N10 (новый)
- RT-N10E (новый)
- RT-N10U (новый)
- RT-N56U (новый)
Устройства D-Link:
- ДЕС-1210-08П (новый)
- DIR-300 (новый)
- ДИР-300А (новый)
- ДСР-250Н (новый)
- ДСР-500Н (новый)
- DSR-1000 (новый)
- ДСР-1000Н (новый)
Устройства Huawei:
- HG8245 (новый)
Устройства Linksys:
- E1200
- E2500
- E3000 (новый)
- E3200 (новый)
- E4200 (новый)
- RV082 (новый)
- WRVS4400N
Устройства Mikrotik:
- CCR1009 (новый)
- CCR1016
- CCR1036
- CCR1072
- CRS109 (новый)
- CRS112 (новый)
- CRS125 (новый)
- RB411 (новый)
- RB450 (новый)
- RB750 (новый)
- RB911 (новый)
- RB921 (новый)
- RB941 (новый)
- RB951 (новый)
- RB952 (новый)
- RB960 (новый)
- RB962 (новый)
- RB1100 (новый)
- RB1200 (новый)
- RB2011 (новый)
- RB3011 (новый)
- RB Groove (новый)
- РБ Омнитик (новый)
- STX5 (новый)
Устройства Netgear:
- DG834 (новый)
- DGN1000 (новый)
- DGN2200
- DGN3500 (новый)
- FVS318N (новый)
- MBRN3000 (новый)
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200 (новый)
- WNR4000 (новый)
- WNDR3700 (новый)
- WNDR4000 (новый)
- WNDR4300 (новый)
- WNDR4300-TN (новый)
- UTM50 (новый)
Устройства QNAP:
- TS251
- TS439 Pro
- Другие устройства QNAP NAS с программным обеспечением QTS
Устройства TP-Link:
- R600VPN
- TL-WR741ND (новый)
- TL-WR841N (новый)
Устройства Ubiquiti:
- NSM2 (новый)
- PBE M5 (новый)
Устройства ZTE:
- ZXHN H108N (новый)
Что тебе необходимо сделать
Прямо сейчас, как только вы сможете, вам следует перезагрузить маршрутизатор. Для этого просто отключите его от источника питания на 30 секунд, а затем снова подключите. Многие модели маршрутизаторов сбрасывают установленные приложения при выключении и выключении питания.
Следующим шагом является сброс настроек маршрутизатора до заводских. Вы найдете информацию о том, как это сделать, в руководстве, которое идет в коробке, или на сайте производителя. Обычно для этого вставляют штифт в углубленное отверстие, чтобы нажать на микровыключатель. Когда вы вернете свой маршрутизатор в рабочее состояние, убедитесь, что на нем установлена самая последняя версия прошивки. Опять же, обратитесь к документации, прилагаемой к вашему маршрутизатору, чтобы узнать, как выполнить обновление.
Затем выполните быстрый аудит безопасности того, как вы используете свой маршрутизатор.
- Никогда используйте имя пользователя и пароль по умолчанию для его администрирования. Все маршрутизаторы одной модели будут использовать это имя и пароль по умолчанию, что облегчает изменение настроек или установку вредоносного ПО.
- Никогда доступ к Интернету любых внутренних устройств без установленного надежного брандмауэра. Это включает в себя такие вещи, как FTP-серверы, NAS-серверы, Plex-серверы или любое интеллектуальное устройство. Если вам необходимо открыть какое-либо подключенное устройство за пределами вашей внутренней сети, вы, вероятно, можете использовать программное обеспечение для фильтрации и пересылки портов. В противном случае приобретите надежный аппаратный или программный брандмауэр.
- Никогда оставьте удаленное администрирование включенным. Это может быть удобно, если вы часто находитесь вдали от своей сети, но это потенциальная точка атаки, которую должен искать каждый хакер.
- Всегда Будьте в курсе. Это означает, что регулярно проверяйте наличие новой прошивки и, что более важно, обязательно установите его, если он доступен.
Наконец, если вы не можете обновить прошивку, чтобы предотвратить установку VPNFilter (подробности можно найти на веб-сайте вашего производителя), просто купите новый. Я знаю, что тратить деньги на замену совершенно хорошего и работающего роутера немного чрезмерно, но вы понятия не имею, заражен ли ваш маршрутизатор, если только вы не человек, которому не нужно читать такого рода чаевые.
Нам нравятся новые системы ячеистых маршрутизаторов, которые могут автоматически обновляться при появлении новой прошивки, например Google Wi-Fi, потому что такие вещи, как VPNFilter, могут случиться в любое время и с кем угодно. Стоит посмотреть, если вы ищете новый маршрутизатор.
- Посмотреть на Amazon
- 369 долларов США в Best Buy
Джерри Хильденбранд
Джерри является постоянным ботаником Mobile Nation и гордится этим. Нет ничего, что он не мог бы разобрать, но многие вещи он не мог бы собрать заново. Вы найдете его в сети Mobile Nations и сможете напиши ему в Твиттере если хочешь поздороваться.