În urma rapoartelor că un tip de malware a infectat peste 700.000 routere Folosit în case și întreprinderi mici din peste 50 de țări, FBI îndeamnă toți consumatorii să-și repornească routerele. Programul malware VPNFilter a fost descoperit de cercetătorii de securitate Cisco și afectează routerele fabricate de Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel și ZTE. Departamentul de Justiție al SUA a declarat că autorii VPNFilter fac parte din grupul Sofacy care a răspuns direct guvernului rus. Reuters raportate și că Ucraina a fost ținta probabilă a atacului.
„Malware-ul VPNFilter este o platformă modulară în mai multe etape, cu capabilități versatile pentru a sprijini atât colectarea informațiilor, cât și operațiunile distructive de atac cibernetic”, a spus Cisco într-un raport. Deoarece malware-ul ar putea colecta date de la utilizator și chiar poate realiza un atac distructiv la scară largă, Cisco recomandă proprietarilor de dispozitive SOHO sau de stocare atașată la rețea (NAS) să fie deosebit de precauți cu acest tip de atac. Și din moment ce nu este clar cum au fost infectate dispozitivele compromise în primul rând, oficialii îndeamnă utilizatorii tuturor
routere și dispozitive NAS pentru a reporni.Videoclipuri recomandate
Acest lucru este de două ori important acum, deoarece analizele suplimentare arată că lista hardware-ului vulnerabil este mult mai lungă decât se credea inițial. Acolo unde se spunea că 14 modele de dispozitive sunt vulnerabile în urma anunțului inițial, lista a crescut pentru a acoperi zeci de dispozitive de la un număr de producători. Acest lucru face ca până la 700.000 de routere să fie vulnerabile în întreaga lume și un număr și mai mare de utilizatori conectați.
Legate de
- O, grozav, noul program malware le permite hackerilor să vă deturneze routerul Wi-Fi
- Cum să schimbați parola Wi-Fi a routerului
- Cum să găsiți adresa IP a routerului dvs. pentru personalizare și securitate
Și mai problematic este faptul că cei afectați sunt vulnerabili la un element nou descoperit al malware-ului care îi permite să efectueze o bărbatul din mijloc atac asupra traficului de intrare care trece prin router. Acest lucru îi face pe toți cei aflați în rețelele infectate susceptibili la atacuri și furt de date. Modulul malware, numit „ssler” scanează, de asemenea, în mod activ URL-urile web pentru informații sensibile, cum ar fi acreditările de conectare, care pot fi apoi trimise înapoi la un server de control, conform Ars Technica. Face acest lucru prin retrogradarea activă a conexiunilor HTTPS protejate în trafic HTTP mult mai lizibil.
Ceea ce este cel mai izbitor la această ultimă descoperire este că evidențiază modul în care proprietarii de routere și dispozitivele conectate sunt vizează și ele, nu doar potențialele victime ale rețelei bot care a fost creată în mod activ prin proliferarea acesteia malware.
Indiferent, recomandările pentru securizarea propriei rețele rămân aceleași.
„FBI recomandă oricărui proprietar de routere de birou și birou de acasă mici să repornească dispozitivele perturbă temporar malware-ul și ajută la identificarea potențială a dispozitivelor infectate”, a spus FBI au avertizat oficialii. „Proprietarii sunt sfătuiți să ia în considerare dezactivarea setărilor de gestionare la distanță pe dispozitive și să se asigure cu parole puternice și criptare atunci când sunt activate. Dispozitivele de rețea ar trebui să fie actualizate la cele mai recente versiuni disponibile de firmware.”
Există trei etape pentru VPNFilter - o etapă persistentă 1 și etapele nepersistente 2 și 3. Din cauza modului în care funcționează malware-ul, repornirea va elimina etapele 2 și 3 și va atenua majoritatea problemelor. FBI a confiscat un domeniu folosit de creatorul malware-ului pentru a livra etapele 2 și 3 ale atacului. Aceste etape ulterioare nu pot supraviețui unei reporniri.
De asemenea, Departamentul de Justiție a emis un avertisment similar, îndemnând utilizatorii să-și repornească routerele. „Proprietarii de dispozitive SOHO și NAS care ar putea fi infectate ar trebui să-și repornească dispozitivele cât mai curând posibil, eliminând temporar malware-ul din a doua etapă și determinând malware-ul din prima etapă de pe dispozitivul lor să solicite instrucțiuni”, a spus departamentul într-o afirmație. „Deși dispozitivele vor rămâne vulnerabile la reinfectarea cu a doua etapă malware în timp ce sunt conectate la Internet, aceste eforturi maximizează oportunitățile de a identificați și remediați infecția la nivel mondial în timpul disponibil înainte ca actorii Sofacy să afle despre vulnerabilitatea în comandă și control infrastructură."
Cisco a sfătuit toți utilizatorii să efectueze o resetare din fabrică a dispozitivelor lor, care ar elimina chiar și etapa 1 a malware-ului. Dacă nu sunteți clar cum să efectuați o resetare din fabrică, ar trebui să contactați producătorul routerului pentru instrucțiuni, dar, în general, introduceți un agrafă în butonul „resetare” situat în spatele sau în partea de jos a routerului și menținând-o în loc pentru câteva secunde, vă va șterge router. Recomandări suplimentare pentru a atenua atacurile viitoare se găsesc, de asemenea, în Raportul Cisco.
Actualizat pe 6 iunie: s-au adăugat știri despre routerele nou afectate și vectorii de atac.
Recomandările editorilor
- Îți pui routerul în locul greșit. Iată unde să-l pui în schimb
- Cum să vă actualizați firmware-ul routerului
- Oferă routerului tău noi superputeri instalând DD-WRT
- Hacker infectează 100.000 de routere în cel mai recent atac botnet care vizează trimiterea de spam prin e-mail
- Este routerul dumneavoastră vulnerabil la atacuri? Noul raport spune că șansele nu sunt în favoarea ta
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
