След доклади, че даден вид зловреден софтуер е заразил повече от 700 000 рутери използвани в домове и малки предприятия в повече от 50 страни, ФБР призовава всички потребители да рестартират своите рутери. Зловреден софтуер VPNFilter е открит от изследователи по сигурността на Cisco и засяга рутери, произведени от Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel и ZTE. Министерството на правосъдието на САЩ каза, че авторите на VPNFilter са част от групата Sofacy, която отговаря директно на руското правителство, Ройтерс и че Украйна е вероятната цел на атаката.
„Злонамереният софтуер VPNFilter е многоетапна, модулна платформа с многостранни възможности за поддръжка както на събиране на разузнавателна информация, така и на разрушителни операции за кибератаки“, каза Cisco в доклад. Тъй като зловредният софтуер може да събира данни от потребителя и дори да извърши широкомащабна разрушителна атака, Cisco препоръчва собствениците на SOHO или мрежови устройства за съхранение (NAS) да бъдат особено внимателни с този тип атака. И тъй като не е ясно как компрометираните устройства са били заразени на първо място, служителите призовават потребителите на всички
рутери и NAS устройства за рестартиране.Препоръчани видеоклипове
Това е двойно важно сега, тъй като по-нататъшният анализ показва, че списъкът с уязвим хардуер е много по-дълъг, отколкото се смяташе първоначално. Когато 14 модела устройства се смятаха за уязвими след първоначалното съобщение, този списък нарасна, за да обхване десетки устройства от редица производители. Това прави около 700 000 рутера уязвими по света и още по-голям брой свързани потребители.
Свързани
- О, страхотно, нов зловреден софтуер позволява на хакери да отвлекат вашия Wi-Fi рутер
- Как да промените Wi-Fi паролата на вашия рутер
- Как да намерите IP адреса на вашия рутер за персонализиране и сигурност
Още по-проблематично е, че засегнатите са уязвими към новооткрит елемент от зловреден софтуер, който му позволява да извърши човек по средата атака върху входящия трафик, който преминава през рутера. Това прави всички в заразените мрежи податливи на атаки и кражба на данни. Модулът за злонамерен софтуер, наречен „ssler“, също така активно сканира уеб URL адреси за чувствителна информация като идентификационни данни за вход, които след това могат да бъдат изпратени обратно на контролен сървър, съгласно Ars Technica. Той прави това чрез активно понижаване на защитени HTTPS връзки в много по-четлив HTTP трафик.
Това, което е най-впечатляващото в това последно откритие, е, че то подчертава какви са собствениците на рутери и свързаните устройства цели, а не само потенциалните жертви на ботнет, който беше активно създаден чрез разпространението на това зловреден софтуер.
Независимо от това препоръките за защита на вашата собствена мрежа остават същите.
„ФБР препоръчва на всеки собственик на рутери за малък офис и домашен офис да рестартира устройствата, за да временно прекъснете злонамерения софтуер и подпомогнете потенциалната идентификация на заразените устройства“, ФБР предупредиха служители. „Собствениците се съветват да обмислят деактивиране на настройките за дистанционно управление на устройствата и защита със силни пароли и криптиране, когато са активирани. Мрежовите устройства трябва да бъдат надстроени до най-новите налични версии на фърмуера.“
Има три етапа на VPNFilter — постоянен етап 1 и непостоянни етапи 2 и 3. Поради начина, по който работи зловредният софтуер, рестартирането ще изчисти етапи 2 и 3 и ще смекчи повечето проблеми. ФБР конфискува домейн, използван от създателя на зловреден софтуер за извършване на етапи 2 и 3 от атаката. Тези по-късни етапи не могат да преживеят рестартиране.
Министерството на правосъдието също издаде подобно предупреждение, призовавайки потребителите да рестартират своите рутери. „Собствениците на SOHO и NAS устройства, които може да са заразени, трябва да рестартират устройствата си възможно най-скоро, като временно елиминират зловреден софтуер от втория етап и карайки зловреден софтуер от първи етап на тяхното устройство да извика за инструкции“, каза отделът в изявление. „Въпреки че устройствата ще останат уязвими за повторно заразяване със зловреден софтуер от втория етап, докато са свързани с интернет, тези усилия увеличават максимално възможностите за идентифициране и отстраняване на инфекцията в световен мащаб в наличното време, преди участниците в Sofacy да научат за уязвимостта в тяхното командване и контрол инфраструктура.”
Cisco посъветва всички потребители да извършат фабрично нулиране на устройствата си, което ще изчисти дори етап 1 от зловредния софтуер. Ако не сте наясно как да извършите фабрично нулиране, трябва да се свържете с производителя на рутера за инструкции, но като цяло вмъкването на кламер в бутона „нулиране“, разположен на гърба или отдолу на вашия рутер, и задържането му на място за няколко секунди ще изтрие вашия рутер. Допълнителни препоръки за смекчаване на бъдещи атаки също се намират в Докладът на Cisco.
Актуализирано на 6 юни: Добавени новини за новозасегнати рутери и вектори на атака.
Препоръки на редакторите
- Поставяте вашия рутер на грешното място. Ето къде да го поставите вместо това
- Как да актуализирате фърмуера на вашия рутер
- Дайте на своя рутер нови суперсили, като инсталирате DD-WRT
- Хакер зарази 100K рутера в последната ботнет атака, насочена към изпращане на спам по имейл
- Вашият рутер уязвим ли е на атаки? Новият доклад казва, че шансовете не са във ваша полза
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
