Følger rapporter om at en type skadelig programvare har infisert mer enn 700 000 rutere brukt i hjem og små bedrifter i mer enn 50 land, oppfordrer FBI alle forbrukere til å starte ruterne på nytt. VPNFilter malware ble oppdaget av Ciscos sikkerhetsforskere og påvirker rutere laget av Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel og ZTE. Det amerikanske justisdepartementet sa at forfatterne av VPNFilter var en del av Sofacy-gruppen som svarte direkte til den russiske regjeringen, Reuters rapportert, og at Ukraina var det sannsynlige målet for angrepet.
"VPNFilter malware er en flertrinns, modulær plattform med allsidige muligheter for å støtte både etterretningsinnsamling og destruktive cyberangrepsoperasjoner," sa Cisco i en rapport. Fordi skadelig programvare kan samle inn data fra brukeren og til og med utføre et destruktivt angrep i stor skala, kan Cisco anbefaler at eiere av SOHO eller nettverkstilkoblede lagringsenheter (NAS) er spesielt forsiktige med denne typen angrep. Og siden det er uklart hvordan kompromitterte enheter ble infisert i utgangspunktet, oppfordrer tjenestemenn brukere av alle
rutere og NAS-enheter for å starte på nytt.Anbefalte videoer
Dette er dobbelt viktig nå, ettersom videre analyse viser at listen over sårbar maskinvare er mye lengre enn først antatt. Der 14 enhetsmodeller ble sagt å være sårbare etter den første kunngjøringen, har listen vokst til å dekke titalls enheter fra en rekke produsenter. Dette gjør så mange som 700 000 rutere sårbare rundt om i verden og et enda større antall tilkoblede brukere.
I slekt
- Å flott, ny skadelig programvare lar hackere kapre Wi-Fi-ruteren din
- Slik endrer du ruterens Wi-Fi-passord
- Hvordan finne IP-adressen til ruteren for tilpasning og sikkerhet
Enda mer problematisk er at de som er berørt er sårbare for et nylig oppdaget element av skadelig programvare som lar den utføre en mannen i midten angrep på innkommende trafikk som passerer gjennom ruteren. Det gjør alle på infiserte nettverk utsatt for angrep og datatyveri. Skadevaremodulen, kalt "ssler" skanner også aktivt nettadresser for sensitiv informasjon som påloggingsinformasjon, som deretter kan sendes tilbake til en kontrollserver, i henhold til Ars Technica. Den gjør dette ved å aktivt nedgradere beskyttede HTTPS-tilkoblinger til langt mer lesbar HTTP-trafikk.
Det som er mest slående med denne siste oppdagelsen, er at den fremhever hvordan rutereiere og tilkoblede enheter er mål også, ikke bare de potensielle ofrene for botnettet som aktivt ble opprettet gjennom spredningen av dette skadevare.
Uansett, anbefalingene for å sikre ditt eget nettverk forblir de samme.
"FBI anbefaler enhver eier av små kontor- og hjemmekontorrutere å starte enhetene på nytt midlertidig forstyrre skadelig programvare og hjelpe til med potensiell identifikasjon av infiserte enheter,» FBI tjenestemenn advarte. "Eiere anbefales å vurdere å deaktivere fjernadministrasjonsinnstillinger på enheter og sikre med sterke passord og kryptering når aktivert. Nettverksenheter bør oppgraderes til de siste tilgjengelige versjonene av fastvare."
Det er tre stadier til VPNFilter - et vedvarende trinn 1 og ikke-vedvarende trinn 2 og 3. På grunn av hvordan skadevare fungerer, vil omstart fjerne trinn 2 og 3 og redusere de fleste problemene. FBI hadde beslaglagt et domene som ble brukt av skadevarenes skaper for å levere trinn 2 og 3 av angrepet. Disse senere stadiene kan ikke overleve en omstart.
Justisdepartementet ga også ut en lignende advarsel, og oppfordret brukere til å starte ruterne på nytt. "Eiere av SOHO- og NAS-enheter som kan være infisert bør starte enhetene sine på nytt så snart som mulig, og midlertidig eliminere skadevare i andre trinn og forårsaker skadelig programvare i første trinn på enheten deres til å ringe etter instruksjoner," sa avdelingen i en uttalelse. "Selv om enheter vil forbli sårbare for reinfeksjon med andre-trinns skadevare mens de er koblet til Internett, maksimerer denne innsatsen mulighetene for å identifisere og utbedre infeksjonen over hele verden i den tiden som er tilgjengelig før Sofacy-aktører får vite om sårbarheten i kommando-og-kontroll infrastruktur."
Cisco rådet alle brukere til å utføre en fabrikktilbakestilling av enhetene sine, noe som ville fjerne selv trinn 1 av skadelig programvare. Hvis du er usikker på hvordan du utfører en tilbakestilling av fabrikken, bør du kontakte ruterprodusenten for instruksjoner, men generelt sett setter du inn en binders inn i "reset"-knappen på baksiden eller bunnen av ruteren og holder den på plass i noen sekunder vil tørke ruter. Ytterligere anbefalinger for å dempe fremtidige angrep finnes også i Ciscos rapport.
Oppdatert 6. juni: Lagt til nyheter om nylig berørte rutere og angrepsvektorer.
Redaktørenes anbefalinger
- Du setter ruteren på feil sted. Her er hvor du skal sette den i stedet
- Slik oppdaterer du ruterens fastvare
- Gi ruteren din nye superkrefter ved å installere DD-WRT
- Hacker infiserer 100 000 rutere i det siste botnett-angrepet rettet mot å sende e-post spam
- Er ruteren din sårbar for angrep? Ny rapport sier at oddsen ikke er i din favør
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
