FIB mudina visus nekavējoties pārstartēt visus maršrutētājus

Jaunā VPNFilter ļaunprogrammatūra ir vērsta uz vismaz 500 000 tīkla ierīču visā pasaulē
Cisco

Pēc ziņojumiem, ka kāda veida ļaunprātīga programmatūra ir inficējusi vairāk nekā 700 000 maršrutētāji izmanto mājās un mazos uzņēmumos vairāk nekā 50 valstīs, FIB mudina visus patērētājus pārstartēt savus maršrutētājus. VPNFilter ļaunprogrammatūru atklāja Cisco drošības pētnieki, un tā ietekmē Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel un ZTE ražotos maršrutētājus. ASV Tieslietu departaments paziņoja, ka VPNFilter autori ir daļa no Sofacy grupas, kas tieši atbildēja Krievijas valdībai, Reuters ziņoja, ka Ukraina bija iespējamais uzbrukuma mērķis.

"Ļaunprātīga programmatūra VPNFilter ir daudzpakāpju, modulāra platforma ar daudzpusīgām iespējām, lai atbalstītu gan izlūkdatu vākšanu, gan destruktīvas kiberuzbrukuma darbības," teikts Cisco ziņojumā. Tā kā ļaunprogrammatūra var savākt datus no lietotāja un pat veikt liela mēroga destruktīvu uzbrukumu, Cisco iesaka SOHO vai tīklam pievienoto atmiņas ierīču (NAS) īpašniekiem būt īpaši piesardzīgiem ar šāda veida ierīcēm uzbrukums. Un tā kā nav skaidrs, kā apdraudētās ierīces tika inficētas, amatpersonas mudina lietotājus

maršrutētāji un NAS ierīces lai atsāknētu.

Ieteiktie videoklipi

Tagad tas ir divtik svarīgi, jo turpmākā analīze liecina, ka neaizsargātās aparatūras saraksts ir daudz garāks, nekā sākotnēji domāts. Ja pēc sākotnējā paziņojuma tika uzskatīts, ka 14 ierīču modeļi ir neaizsargāti, šis saraksts ir paplašinājies, aptverot desmitiem ierīču no vairākiem ražotājiem. Tas padara 700 000 maršrutētāju neaizsargātus visā pasaulē un vēl lielāku skaitu savienoto lietotāju.

Saistīts

  • Lieliski, jauna ļaunprātīga programmatūra ļauj hakeriem nolaupīt jūsu Wi-Fi maršrutētāju
  • Kā nomainīt maršrutētāja Wi-Fi paroli
  • Kā atrast maršrutētāja IP adresi pielāgošanai un drošībai

Vēl problemātiskāk ir tas, ka skartās personas ir neaizsargātas pret jaunatklātu ļaunprātīgas programmatūras elementu, kas ļauj tai veikt cilvēks-vidū uzbrukums ienākošajai satiksmei, kas iet caur maršrutētāju. Tas padara ikvienu inficēto tīklu uzņēmīgu pret uzbrukumiem un datu zādzībām. Ļaunprātīgas programmatūras modulis, ko sauc par “ssler”, arī aktīvi skenē tīmekļa vietrāžus URL, lai atrastu sensitīvu informāciju, piemēram, pieteikšanās akreditācijas datus, ko pēc tam var nosūtīt atpakaļ uz vadības serveri saskaņā ar Ars Technica. Tas tiek darīts, aktīvi pazeminot aizsargātos HTTPS savienojumus uz daudz lasāmāku HTTP trafiku.

Visspilgtākais šajā jaunākajā atklājumā ir tas, ka tas izceļ maršrutētāju īpašnieku un pievienoto ierīču stāvokli ne tikai potenciālie botu tīkla upuri, kas tika aktīvi izveidoti, izplatot šo robottīklu ļaunprogrammatūra.

Neatkarīgi no tā, ieteikumi sava tīkla nodrošināšanai paliek nemainīgi.

"FIB iesaka ikvienam mazu biroja un mājas biroja maršrutētāju īpašniekam pārstartēt ierīces īslaicīgi traucēt ļaunprogrammatūru un palīdzēt potenciāli identificēt inficētās ierīces," FIB brīdināja amatpersonas. "Īpašniekiem ieteicams apsvērt iespēju atspējot attālās pārvaldības iestatījumus ierīcēs un nodrošināt drošību ar spēcīgām parolēm un šifrēšanu, kad tas ir iespējots. Tīkla ierīces ir jājaunina uz jaunākajām pieejamajām programmaparatūras versijām.

Ir trīs VPNFilter posmi — pastāvīgs 1. posms un nepastāvīgs 2. un 3. posms. Ļaunprātīgās programmatūras darbības dēļ atsāknēšana izdzēsīs 2. un 3. posmu un mazinās lielāko daļu problēmu. FIB bija konfiscējis domēnu, ko ļaunprogrammatūras veidotājs izmantoja, lai nodrošinātu uzbrukuma 2. un 3. posmu. Šie vēlākie posmi nevar izturēt atsāknēšanu.

Arī Tieslietu departaments izdeva līdzīgu brīdinājumu, aicinot lietotājus pārstartēt savus maršrutētājus. “Iespējams, inficēto SOHO un NAS ierīču īpašniekiem vajadzētu pēc iespējas ātrāk pārstartēt ierīces, uz laiku likvidējot otrās pakāpes ļaunprogrammatūru un liek pirmās pakāpes ļaunprogrammatūrai savā ierīcē izsaukt norādījumus," sacīja departaments. iekšā paziņojums, apgalvojums. "Lai gan ierīces joprojām būs neaizsargātas pret atkārtotu inficēšanos ar otrās pakāpes ļaunprātīgu programmatūru, kamēr tās būs savienotas ar internetu, šie centieni palielina iespējas identificēt un novērst infekciju visā pasaulē pieejamajā laikā, pirms Sofacy dalībnieki uzzina par viņu komandēšanas un kontroles ievainojamību infrastruktūra.”

Cisco ieteica visiem lietotājiem veikt savu ierīču rūpnīcas iestatījumu atiestatīšanu, kas notīrītu pat ļaunprogrammatūras pirmo posmu. Ja nezināt, kā veikt rūpnīcas datu atiestatīšanu, sazinieties ar maršrutētāja ražotāju, lai saņemtu norādījumus, taču parasti, ievietojot saspraudes atiestatīšanas pogā, kas atrodas maršrutētāja aizmugurē vai apakšā, un dažas sekundes turot to vietā, tiks notīrīts maršrutētājs. Ir atrodami arī papildu ieteikumi turpmāko uzbrukumu mazināšanai Cisco ziņojums.

Atjaunināts 6. jūnijā: pievienotas ziņas par tikko ietekmētajiem maršrutētājiem un uzbrukuma vektoriem.

Redaktoru ieteikumi

  • Jūs ievietojat maršrutētāju nepareizā vietā. Lūk, kur to ievietot
  • Kā atjaunināt maršrutētāja programmaparatūru
  • Piešķiriet savam maršrutētājam jaunas lielspējas, instalējot DD-WRT
  • Hakeris inficē 100 000 maršrutētāju jaunākajā robottīklu uzbrukumā, kura mērķis ir sūtīt e-pasta surogātpastu
  • Vai jūsu maršrutētājs ir neaizsargāts pret uzbrukumiem? Jaunajā ziņojumā teikts, ka izredzes nav jūsu labā

Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.