Po doniesieniach wynika, że pewien rodzaj złośliwego oprogramowania zainfekował ponad 700 000 routery używane w domach i małych firmach w ponad 50 krajach, FBI wzywa wszystkich konsumentów do ponownego uruchomienia routerów. Złośliwe oprogramowanie VPNFilter zostało wykryte przez badaczy bezpieczeństwa Cisco i atakuje routery marek Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel i ZTE. Departament Sprawiedliwości USA stwierdził, że autorzy VPNFilter byli częścią grupy Sofacy, która odpowiadała bezpośrednio przed rosyjskim rządem, Reutera doniesienia oraz że prawdopodobnym celem ataku była Ukraina.
„Szkodliwe oprogramowanie VPNFilter to wieloetapowa, modułowa platforma o wszechstronnych możliwościach, która umożliwia zarówno gromadzenie danych wywiadowczych, jak i destrukcyjne operacje cyberataków” – stwierdziła Cisco w raporcie. Ponieważ złośliwe oprogramowanie może zbierać dane od użytkownika, a nawet przeprowadzać destrukcyjny atak na dużą skalę, Cisco zaleca, aby właściciele SOHO lub urządzeń pamięci masowej podłączonych do sieci (NAS) zachowali szczególną ostrożność w przypadku tego typu urządzeń atak. A ponieważ nie jest jasne, w jaki sposób zainfekowane urządzenia zostały zainfekowane, urzędnicy apelują do użytkowników wszystkich
routery i urządzenia NAS uruchomić ponownie.Polecane filmy
Jest to teraz podwójnie ważne, ponieważ dalsza analiza pokazuje, że lista podatnego sprzętu jest znacznie dłuższa, niż początkowo sądzono. Podczas gdy po pierwotnym ogłoszeniu uznano, że 14 modeli urządzeń jest podatnych na ataki, lista ta powiększyła się i obejmuje dziesiątki urządzeń różnych producentów. To sprawia, że na całym świecie zagrożonych jest aż 700 000 routerów i jeszcze większa liczba podłączonych użytkowników.
Powiązany
- Świetnie, nowe złośliwe oprogramowanie pozwala hakerom przejąć kontrolę nad routerem Wi-Fi
- Jak zmienić hasło Wi-Fi routera
- Jak znaleźć adres IP routera w celu dostosowania i bezpieczeństwa
Jeszcze bardziej problematyczny jest fakt, że osoby dotknięte są podatne na nowo odkryty element złośliwego oprogramowania, który pozwala mu wykonywać m.in człowiek w środku atak na ruch przychodzący przechodzący przez router. To sprawia, że wszyscy użytkownicy zainfekowanych sieci są podatni na ataki i kradzież danych. Moduł złośliwego oprogramowania o nazwie „ssler” aktywnie skanuje również internetowe adresy URL w poszukiwaniu poufnych informacji, takich jak dane logowania, które można następnie odesłać do serwera sterującego zgodnie z Ars Technica. Czyni to poprzez aktywne obniżanie poziomu chronionych połączeń HTTPS do znacznie bardziej czytelnego ruchu HTTP.
To, co najbardziej uderza w tym najnowszym odkryciu, to to, że podkreśla, jak zachowują się właściciele routerów i podłączone urządzenia cele, a nie tylko potencjalne ofiary botnetu, który został aktywnie utworzony w wyniku jego rozprzestrzeniania złośliwe oprogramowanie.
Niezależnie od tego zalecenia dotyczące zabezpieczenia własnej sieci pozostają takie same.
„FBI zaleca każdemu właścicielowi routerów w małych i domowych biurach ponowne uruchomienie urządzeń tymczasowo zakłócić działanie złośliwego oprogramowania i pomóc w potencjalnej identyfikacji zainfekowanych urządzeń” – FBI urzędnicy ostrzegali. „Właścicielom zaleca się rozważenie wyłączenia ustawień zdalnego zarządzania na urządzeniach i zabezpieczenie się za pomocą silnych haseł i szyfrowania, jeśli są włączone. Urządzenia sieciowe należy zaktualizować do najnowszych dostępnych wersji oprogramowania sprzętowego.”
Istnieją trzy etapy VPNFilter — trwały etap 1 oraz nietrwałe etapy 2 i 3. Ze względu na sposób działania złośliwego oprogramowania ponowne uruchomienie usunie etapy 2 i 3 i załagodzi większość problemów. FBI przejęło domenę używaną przez twórcę szkodliwego oprogramowania do przeprowadzenia 2. i 3. etapu ataku. Te późniejsze etapy nie mogą przetrwać ponownego uruchomienia.
Departament Sprawiedliwości również wydał podobne ostrzeżenie, wzywając użytkowników do ponownego uruchomienia routerów. „Właściciele urządzeń SOHO i NAS, które mogą zostać zainfekowane, powinni jak najszybciej ponownie uruchomić swoje urządzenia, tymczasowo eliminując infekcję złośliwego oprogramowania drugiego etapu i spowodowania, że złośliwe oprogramowanie pierwszego etapu na ich urządzeniu będzie żądać instrukcji” – stwierdził departament w oświadczenie. „Chociaż urządzenia pozostaną podatne na ponowną infekcję złośliwym oprogramowaniem drugiego etapu, gdy będą podłączone do Internetu, wysiłki te maksymalizują możliwości zidentyfikować i naprawić infekcję na całym świecie w dostępnym czasie, zanim podmioty Sofacy dowiedzą się o luce w swoich systemach dowodzenia i kontroli infrastruktura."
Cisco zaleca wszystkim użytkownikom przywrócenie ustawień fabrycznych swoich urządzeń, co usunie nawet pierwszy etap szkodliwego oprogramowania. Jeśli nie masz pewności, jak przywrócić ustawienia fabryczne, skontaktuj się z producentem routera w celu uzyskania instrukcji, ale ogólnie rzecz biorąc, włożenie spinacz do papieru w przycisk „reset” znajdujący się z tyłu lub na spodzie routera i przytrzymanie go w miejscu przez kilka sekund spowoduje wytarcie routera. Dodatkowe zalecenia dotyczące łagodzenia przyszłych ataków można również znaleźć w Raport Cisco.
Aktualizacja 6 czerwca: Dodano informacje o nowo dotkniętych routerach i wektorach ataków.
Zalecenia redaktorów
- Umieszczasz router w złym miejscu. Oto, gdzie go umieścić
- Jak zaktualizować oprogramowanie routera
- Daj swojemu routerowi nowe supermoce, instalując DD-WRT
- Haker infekuje 100 tys. routerów w ramach najnowszego ataku botnetu mającego na celu wysyłanie spamu e-mailowego
- Czy Twój router jest podatny na ataki? Z nowego raportu wynika, że szanse nie są na Twoją korzyść
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
