Po pranešimų, kad tam tikros rūšies kenkėjiška programa užkrėtė daugiau nei 700 tūkst maršrutizatoriai naudojami namuose ir mažose įmonėse daugiau nei 50 šalių, FTB ragina visus vartotojus iš naujo paleisti maršrutizatorius. „VPNFilter“ kenkėjišką programinę įrangą aptiko „Cisco“ saugos tyrėjai ir ji veikia „Asus“, „D-Link“, „Huawei“, „Linksys“, „Mikrotik“, „Netgear“, „QNAP“, „TP-Link“, „Ubiquiti“, „Upvel“ ir ZTE sukurtus maršrutizatorius. JAV teisingumo departamentas teigė, kad VPNFilter autoriai priklausė „Sofacy“ grupei, kuri tiesiogiai atsakė Rusijos vyriausybei, Reuters pranešė, kad Ukraina buvo tikėtinas išpuolio tikslas.
„Kenkėjiška VPNFilter programa yra daugiapakopė, modulinė platforma, turinti įvairias galimybes palaikyti tiek žvalgybos duomenų rinkimą, tiek destruktyvių kibernetinių atakų operacijas“, – teigiama Cisco pranešime. Kadangi kenkėjiška programa gali rinkti duomenis iš vartotojo ir netgi atlikti didelio masto destruktyvią ataką, Cisco rekomenduoja SOHO arba tinklo prijungtų saugyklų (NAS) savininkams būti ypač atsargiems naudojant tokio tipo įrenginius puolimas. Ir kadangi neaišku, kaip iš pradžių buvo užkrėsti pažeisti įrenginiai, pareigūnai ragina vartotojus
maršrutizatoriai ir NAS įrenginiai perkrauti.Rekomenduojami vaizdo įrašai
Dabar tai dvigubai svarbu, nes tolesnė analizė rodo, kad pažeidžiamos techninės įrangos sąrašas yra daug ilgesnis, nei manyta iš pradžių. Kai po pirminio pranešimo buvo teigiama, kad 14 įrenginių modelių yra pažeidžiami, šis sąrašas išaugo ir apima dešimtis įvairių gamintojų įrenginių. Dėl to net 700 000 maršrutizatorių visame pasaulyje ir dar daugiau prisijungusių vartotojų yra pažeidžiami.
Susijęs
- Puiku, nauja kenkėjiška programa leidžia įsilaužėliams užgrobti jūsų „Wi-Fi“ maršruto parinktuvą
- Kaip pakeisti maršrutizatoriaus „Wi-Fi“ slaptažodį
- Kaip rasti maršrutizatoriaus IP adresą tinkinimui ir saugumui
Dar sudėtingiau yra tai, kad paveikti asmenys yra pažeidžiami naujai aptikto kenkėjiškos programos elemento, leidžiančio jai atlikti žmogus viduryje ataka prieš įeinantį srautą, einantį per maršrutizatorių. Dėl to visi užkrėstų tinklų nariai yra jautrūs atakoms ir duomenų vagystėms. Kenkėjiškų programų modulis, vadinamas „ssler“, taip pat aktyviai nuskaito žiniatinklio URL, ieškodamas slaptos informacijos, pvz., prisijungimo kredencialų, kuriuos vėliau galima išsiųsti atgal į valdymo serverį, kaip nurodyta Ars Technica. Tai daroma aktyviai sumažindama apsaugotų HTTPS jungčių versiją į daug lengviau skaitomą HTTP srautą.
Įspūdingiausia šiame naujausiame atradime yra tai, kad jis pabrėžia maršrutizatorių savininkų ir prijungtų įrenginių būklę taip pat taikiniai, o ne tik potencialios botneto, kuris buvo aktyviai kuriamas plintant šiam tinklui, aukoms kenkėjiška programa.
Nepaisant to, rekomendacijos, kaip apsaugoti savo tinklą, išlieka tos pačios.
„FTB rekomenduoja bet kuriam mažo biuro ir namų biuro maršrutizatorių savininkui perkrauti įrenginius laikinai sutrikdyti kenkėjišką programinę įrangą ir padėti galimai identifikuoti užkrėstus įrenginius“, – FTB pareigūnai perspėjo. „Savininkams patariama apsvarstyti galimybę išjungti nuotolinio valdymo nustatymus įrenginiuose ir apsisaugoti naudojant stiprius slaptažodžius bei šifravimą, kai įjungta. Tinklo įrenginiai turėtų būti atnaujinami į naujausias turimas programinės aparatinės įrangos versijas.
Yra trys VPNFilter etapai – nuolatinis 1 etapas ir nenuolatinis 2 ir 3 etapai. Dėl to, kaip veikia kenkėjiška programa, perkrovimas pašalins 2 ir 3 etapus ir sumažins daugumą problemų. FTB užgrobė domeną, kurį naudojo kenkėjiškos programos kūrėjas, kad įvykdytų 2 ir 3 atakos etapus. Šie vėlesni etapai negali atlaikyti perkrovimo.
Teisingumo departamentas taip pat paskelbė panašų įspėjimą, ragindamas vartotojus iš naujo paleisti maršrutizatorius. „SOHO ir NAS įrenginių, kurie gali būti užkrėsti, savininkai turėtų kuo greičiau iš naujo paleisti įrenginius, laikinai pašalindami antrosios pakopos kenkėjiška programinė įranga ir dėl to, kad pirmosios pakopos kenkėjiška programa jų įrenginyje šaukiasi nurodymų“, – teigė departamentas. a pareiškimas. „Nors įrenginiai ir toliau bus pažeidžiami pakartotinio užkrėtimo antrosios pakopos kenkėjiška programine įranga, kai bus prijungti prie interneto, šios pastangos padidina galimybes nustatyti ir pašalinti infekciją visame pasaulyje per turimą laiką, kol „Sofacy“ veikėjai sužinos apie pažeidžiamumą jų valdymo ir valdymo sistemoje infrastruktūra“.
„Cisco“ patarė visiems vartotojams atkurti gamyklinius savo įrenginių nustatymus, kad būtų pašalintas net 1 kenkėjiškos programos etapas. Jei neaišku, kaip atkurti gamyklinius nustatymus, kreipkitės į maršrutizatoriaus gamintoją, kad gautumėte instrukcijų, tačiau paprastai įterpdami sąvaržėlę į „reset“ mygtuką, esantį maršrutizatoriaus gale arba apačioje, ir laikydami jį kelias sekundes, nuvalysite maršrutizatorius. Taip pat rasite papildomų rekomendacijų, kaip sušvelninti būsimus išpuolius Cisco ataskaita.
Atnaujinta birželio 6 d.: Pridėta naujienų apie naujai paveiktus maršrutizatorius ir atakų vektorius.
Redaktorių rekomendacijos
- Įdedate maršrutizatorių į netinkamą vietą. Štai kur jį įdėti
- Kaip atnaujinti maršrutizatoriaus programinę-aparatinę įrangą
- Suteikite savo maršruto parinktuvui naujų supergalių įdiegę DD-WRT
- Įsilaužėlis užkrečia 100 000 maršrutizatorių naujausia „botnet“ ataka, kuria siekiama siųsti el. pašto šiukšles
- Ar jūsų maršrutizatorius yra pažeidžiamas atakų? Naujoje ataskaitoje teigiama, kad šansai nėra jūsų naudai
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
