Efter rapporter om, at en type malware har inficeret mere end 700.000 routere brugt i hjem og små virksomheder i mere end 50 lande, opfordrer FBI alle forbrugere til at genstarte deres routere. VPNFilter-malwaren blev opdaget af Ciscos sikkerhedsforskere og påvirker routere lavet af Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel og ZTE. Det amerikanske justitsministerium sagde, at forfatterne af VPNFilter var en del af Sofacy-gruppen, der svarede direkte til den russiske regering, Reuters rapporteret, og at Ukraine var det sandsynlige mål for angrebet.
"VPNFilter malware er en multitrins, modulær platform med alsidige muligheder til at understøtte både efterretningsindsamling og destruktive cyberangrebsoperationer," sagde Cisco i en rapport. Fordi malwaren kunne indsamle data fra brugeren og endda udføre et destruktivt angreb i stor skala, Cisco anbefaler, at ejere af SOHO- eller NAS-enheder er særligt forsigtige med denne type angreb. Og da det er uklart, hvordan kompromitterede enheder blev inficeret i første omgang, opfordrer embedsmænd brugere af alle
routere og NAS-enheder at genstarte.Anbefalede videoer
Dette er dobbelt vigtigt nu, da yderligere analyse viser, at listen over sårbar hardware er meget længere end oprindeligt antaget. Hvor 14 enhedsmodeller blev sagt at være sårbare efter den første meddelelse, er listen vokset til at dække snesevis af enheder fra en række producenter. Dette gør så mange som 700.000 routere sårbare rundt om i verden og et endnu større antal tilsluttede brugere.
Relaterede
- Åh fantastisk, ny malware lader hackere kapre din Wi-Fi-router
- Sådan ændrer du din routers Wi-Fi-adgangskode
- Sådan finder du IP-adressen på din router for tilpasning og sikkerhed
Endnu mere problematisk er det, at de berørte er sårbare over for et nyligt opdaget element af malwaren, som gør det muligt for den at udføre en mand-i-midten angreb på indgående trafik, der passerer gennem routeren. Det gør alle på inficerede netværk modtagelige for angreb og datatyveri. Malware-modulet, kaldet "ssler", scanner også aktivt web-URL'er for følsomme oplysninger som login-oplysninger, som derefter kan sendes tilbage til en kontrolserver, som pr. Ars Technica. Det gør den ved aktivt at nedgradere beskyttede HTTPS-forbindelser til langt mere læsbar HTTP-trafik.
Det mest slående ved denne seneste opdagelse er, at den fremhæver, hvordan routerejere og tilsluttede enheder er også mål, ikke kun de potentielle ofre for det botnet, der aktivt blev skabt gennem spredningen af dette malware.
Uanset hvad forbliver anbefalingerne til at sikre dit eget netværk de samme.
"FBI anbefaler enhver ejer af små kontor- og hjemmekontorroutere genstarte enhederne til midlertidigt forstyrre malwaren og hjælpe med den potentielle identifikation af inficerede enheder," FBI advarede embedsmænd. "Ejere rådes til at overveje at deaktivere fjernstyringsindstillinger på enheder og sikre med stærke adgangskoder og kryptering, når det er aktiveret. Netværksenheder bør opgraderes til de seneste tilgængelige versioner af firmware."
Der er tre trin til VPNFilter - et vedvarende trin 1 og ikke-vedvarende trin 2 og 3. På grund af hvordan malwaren fungerer, vil genstart rydde ud af trin 2 og 3 og afhjælpe de fleste problemer. FBI havde beslaglagt et domæne, der blev brugt af malwarens skaber til at levere trin 2 og 3 af angrebet. Disse senere stadier kan ikke overleve en genstart.
Justitsministeriet udsendte også en lignende advarsel og opfordrede brugerne til at genstarte deres routere. "Ejere af SOHO- og NAS-enheder, der kan være inficeret, bør genstarte deres enheder så hurtigt som muligt, hvilket midlertidigt eliminerer anden fase malware og får første fase malware på deres enhed til at ringe efter instruktioner,” sagde afdelingen i en udmelding. "Selvom enheder vil forblive sårbare over for geninfektion med anden trins malware, mens de er forbundet til internettet, maksimerer disse bestræbelser mulighederne for at identificere og afhjælpe infektionen på verdensplan i den tid, der er til rådighed, før Sofacy-aktører lærer om sårbarheden i deres kommando-og-kontrol infrastruktur.”
Cisco rådede alle brugere til at udføre en fabriksnulstilling af deres enheder, hvilket ville rydde ud af selv fase 1 af malwaren. Hvis du ikke er klar over, hvordan du udfører en fabriksnulstilling, bør du kontakte routerproducenten for instruktioner, men generelt skal du indsætte en papirclips i "nulstil"-knappen på bagsiden eller bunden af din router og holder den på plads i et par sekunder vil tørre din router. Yderligere anbefalinger til at afbøde fremtidige angreb findes også i Ciscos rapport.
Opdateret den 6. juni: Tilføjet nyheder om nyligt berørte routere og angrebsvektorer.
Redaktørens anbefalinger
- Du placerer din router det forkerte sted. Her er hvor du skal sætte det i stedet
- Sådan opdaterer du din router firmware
- Giv din router nye superkræfter ved at installere DD-WRT
- Hacker inficerer 100.000 routere i det seneste botnet-angreb med det formål at sende e-mail-spam
- Er din router sårbar over for angreb? Ny rapport siger, at odds ikke er til din fordel
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
