Malvér Vpnfilter infikoval milión smerovačov - tu je to, čo potrebujete vedieť

Nedávny objav, že nový malware založený na routeroch, známy ako VPNFilter, infikoval viac ako 500 000 smerovačov, sa stal ešte horšou správou. V správe, ktorá sa má zverejniť 13. júna, spoločnosť Cisco uvádza, že bolo infikovaných viac ako 200 000 ďalších smerovačov a že možnosti VPNFilter sú oveľa horšie, ako sa pôvodne predpokladalo. Ars Technica informovala o tom, čo od strediska Cisco očakáva.

VPNFilter je malware, ktorý je nainštalovaný na smerovači Wi-Fi. Infikovala už takmer milión smerovačov v 54 krajinách a zoznam zariadení, o ktorých je známe, že sú ovplyvnené sieťou VPNFilter, obsahuje mnoho populárnych spotrebiteľských modelov. Je dôležité si uvedomiť, že VPNFilter nie je zneužívanie smerovača, ktoré môže útočník nájsť a použiť na získanie prístupu - je to softvér, ktorý je nainštalovaný na smerovači neúmyselne a je schopný robiť niektoré potenciálne hrozivé veci.

VPNFilter je malware, ktorý sa nejako nainštaluje do vášho smerovača, nie je to zraniteľnosť, ktorú môžu útočníci použiť na získanie prístupu.

Prvý útok VPNFilteru spočíva v použití muža v strede útoku na prichádzajúcu komunikáciu. Potom sa pokúsi presmerovať zabezpečený prenos šifrovaný HTTPS na zdroj, ktorý ho nedokáže prijať, čo spôsobí, že sa prevádzka vráti späť na bežný nešifrovaný prenos HTTP. Softvér, ktorý to robí, ktorý vedci pomenovali ssler, obsahuje špeciálne ustanovenia pre weby, ktoré majú ďalšie opatrenia na zabránenie tomu, ako je napríklad Twitter.com alebo akákoľvek služba Google.

Keď je prenos nezašifrovaný, VPNFilter je potom schopný monitorovať všetku prichádzajúcu a odchádzajúcu komunikáciu, ktorá prechádza infikovaným smerovačom. Namiesto zberu všetkej prevádzky a presmerovania na vzdialený server, na ktorý sa treba pozrieť neskôr, sa špecificky zameriava na prenos, o ktorom je známe, že obsahuje citlivé materiály, ako sú heslá alebo bankové údaje. Zachytené údaje sa potom môžu poslať späť na server riadený hackermi so známymi väzbami na ruskú vládu.

VPNFilter je tiež schopný zmeniť prichádzajúci prenos tak, aby falšoval odpovede zo servera. Pomáha to zakrývať stopy škodlivého softvéru a umožňuje mu pracovať dlhšie, než budete vedieť, že sa niečo pokazí. Príklad toho, čo VPNFilter dokáže urobiť pre prichádzajúcu komunikáciu poskytnutú spoločnosti ARS Technica Craigom Williamsom, vedúcim technologickým lídrom a globálnym kontaktným manažérom v spoločnosti Talos, hovorí:

Zdá sa však, že sa to v minulosti úplne vyvinulo, a teraz im to nielenže umožňuje, ale môžu manipulovať so všetkým, čo prechádza kompromitovaným zariadením. Môžu upravovať zostatok na vašom bankovom účte tak, aby vyzeral normálne, zatiaľ čo súčasne oddeľujú peniaze a prípadne PGP kľúče a podobné veci. Môžu manipulovať so všetkým, čo ide do zariadenia a z neho.

Je ťažké alebo nemožné (v závislosti od vašej sady zručností a modelu smerovača) zistiť, či ste infikovaní. Vedci naznačujú, že každý, kto používa smerovač, o ktorom je známe, že je náchylný na VPNFilter, predpokladá, že je infikovaný, a podnikne potrebné kroky na opätovné získanie kontroly nad sieťovým prenosom.

Smerovače, o ktorých je známe, že sú zraniteľné

Tento dlhý zoznam obsahuje spotrebiteľské smerovače, o ktorých je známe, že sú citlivé na VPNFilter. Ak sa váš model nachádza na tomto zozname, odporúčame vám postupovať podľa pokynov v ďalšej časti tohto článku. Zariadenia v zozname označené ako „nové“ sú smerovače, ktoré boli zraniteľné iba nedávno.

Zariadenia Asus:

• RT-AC66U (nový)
• RT-N10 (nový)
• RT-N10E (nový)
• RT-N10U (nový)
• RT-N56U (nový)

Zariadenia D-Link:

• DES-1210-08P (nový)
• DIR-300 (nový)
• DIR-300A (nový)
• DSR-250N (nový)
• DSR-500N (nové)
• DSR-1000 (nový)
• DSR-1000N (nové)

Zariadenia Huawei:

• HG8245 (nové)

Linksys Devices:

• E1200
• E2500
• E3000 (nové)
• E3200 (nové)
• E4200 (nový)
• RV082 (nové)
• WRVS4400N

Mikrotik Devices:

• CCR1009 (nové)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nové)
• CRS112 (nové)
• CRS125 (nové)
• RB411 (nové)
• RB450 (nové)
• RB750 (nové)
• RB911 (nové)
• RB921 (nové)
• RB941 (nové)
• RB951 (nové)
• RB952 (nové)
• RB960 (nové)
• RB962 (nové)
• RB1100 (nové)
• RB1200 (nové)
• RB2011 (nové)
• RB3011 (nové)
• RB Groove (nový)
• RB Omnitik (nový)
• STX5 (nové)

Zariadenia Netgear:

• DG834 (nový)
• DGN1000 (nové)
• DGN2200
• DGN3500 (nové)
• FVS318N (nové)
• MBRN3000 (nové)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nové)
• WNR4000 (nové)
• WNDR3700 (nové)
• WNDR4000 (nové)
• WNDR4300 (nové)
• WNDR4300-TN (nový)
• UTM50 (nový)

Zariadenia QNAP:

• TS251
• TS439 Pro
• Ostatné zariadenia QNAP NAS so softvérom QTS

Zariadenia TP-Link:

• R600VPN
• TL-WR741ND (nový)
• TL-WR841N (nové)

Zariadenia Ubiquiti:

• NSM2 (nový)
• PBE M5 (nové)

ZTE Zariadenia:

• ZXHN H108N (nový)

Čo musíte urobiť

Hneď ako to bude možné, mali by ste reštartovať router. Ak to chcete urobiť, jednoducho ho na 30 sekúnd odpojte od zdroja napájania a potom ho znova zapojte. Mnoho modelov routerov preplachuje nainštalované aplikácie, keď sú napájané z cyklu.

Ďalším krokom je obnovenie továrenských nastavení smerovača. Informácie o tom, ako to urobiť, nájdete v príručke, ktorá je súčasťou balenia alebo na webovej stránke výrobcu. Zvyčajne to znamená vloženie kolíka do zapusteného otvoru na stlačenie mikrospínača. Keď obnovíte prevádzku a smerovač, musíte sa uistiť, že je v najnovšej verzii firmvéru. Podrobnosti o aktualizácii nájdete aj v dokumentácii dodanej so smerovačom.

Ďalej vykonajte rýchly bezpečnostný audit spôsobu používania smerovača.

• Na jeho správu nikdy nepoužívajte predvolené meno používateľa a heslo. Všetky smerovače toho istého modelu budú používať toto predvolené meno a heslo, čo uľahčí zmenu nastavení alebo inštaláciu škodlivého softvéru.
• Nikdy nevystavujte interné zariadenia na Internete bez pevného firewall. Patria sem napríklad FTP servery, NAS servery, Plex servery alebo akékoľvek inteligentné zariadenia. Ak musíte vystaviť akékoľvek pripojené zariadenie mimo svojej vnútornej siete, pravdepodobne budete používať softvér na filtrovanie a zasielanie portov. Ak nie, investujte do silného hardvéru alebo softvéru firewall.
• Nikdy nenechávajte povolenú vzdialenú správu. Môže to byť užitočné, ak ste často mimo svojej siete, ale je to potenciálny bod útoku, ktorý každý hacker vie hľadať.
• Vždy zostaňte v obraze. To znamená, že pravidelne kontrolujte nový firmvér, a čo je dôležitejšie, nezabudnite ho nainštalovať, ak je k dispozícii.

Nakoniec, ak nemôžete aktualizovať firmvér, aby ste zabránili inštalácii VPNFilteru (webové stránky výrobcu budú obsahovať podrobnosti), jednoducho si kúpte nový. Viem, že míňanie peňazí za nahradenie dokonale dobrého a funkčného smerovača je trochu extrémne, ale nebudete mať potuchy, či je váš smerovač infikovaný, pokiaľ nie ste človek, ktorý si tieto tipy nemusí prečítať.

Páčia sa nám nové smerovacie systémy, ktoré sa dajú automaticky aktualizovať vždy, keď je k dispozícii nový firmvér, napríklad Google Wifi, pretože veci ako VPNFilter sa môžu vyskytnúť kedykoľvek a komukoľvek. Stojí za to sa pozrieť, ak hľadáte nový smerovač.