После сообщений о том, что тот или иной тип вредоносного ПО заразил более 700 000 маршрутизаторы используется в домах и на малых предприятиях более чем в 50 странах, ФБР призывает всех потребителей перезагрузить свои маршрутизаторы. Вредоносное ПО VPNFilter было обнаружено исследователями безопасности Cisco и поражает маршрутизаторы Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel и ZTE. Министерство юстиции США заявило, что авторы VPNFilter были частью группы Sofacy, которая подчинялась непосредственно российскому правительству. Рейтер сообщалось, и что вероятной целью нападения была Украина.
«Вредоносное ПО VPNFilter представляет собой многоэтапную модульную платформу с универсальными возможностями для поддержки как сбора разведывательной информации, так и разрушительных операций кибератак», — говорится в отчете Cisco. Поскольку вредоносное ПО может собирать данные пользователя и даже совершать крупномасштабную разрушительную атаку, Cisco рекомендует владельцам устройств SOHO или сетевых устройств хранения данных (NAS) быть особенно осторожными с этим типом устройств. атака. А поскольку неясно, как вообще были заражены взломанные устройства, чиновники призывают пользователей всех
маршрутизаторы и устройства NAS перезагрузиться.Рекомендуемые видео
Сейчас это вдвойне важно, поскольку дальнейший анализ показывает, что список уязвимого оборудования гораздо длиннее, чем предполагалось изначально. Если после первоначального объявления было заявлено, что уязвимыми являются 14 моделей устройств, то этот список расширился и теперь охватывает десятки устройств от ряда производителей. Это делает уязвимыми до 700 000 маршрутизаторов по всему миру и еще большее количество подключенных пользователей.
Связанный
- О, отлично, новое вредоносное ПО позволяет хакерам взломать ваш Wi-Fi-маршрутизатор
- Как изменить пароль Wi-Fi вашего роутера
- Как узнать IP-адрес вашего маршрутизатора для настройки и безопасности
Еще более проблематично то, что пострадавшие уязвимы для недавно обнаруженного элемента вредоносного ПО, который позволяет ему выполнять человек посередине атака на входящий трафик, проходящий через маршрутизатор. Это делает всех пользователей зараженных сетей уязвимыми для атак и кражи данных. Модуль вредоносного ПО, называемый «ssler», также активно сканирует веб-URL-адреса на наличие конфиденциальной информации, такой как учетные данные для входа, которые затем могут быть отправлены обратно на сервер управления, как указано в документе. Арс Техника. Это достигается за счет активного понижения уровня защищенных HTTPS-соединений до гораздо более читаемого HTTP-трафика.
Что наиболее поразительно в этом последнем открытии, так это то, что оно показывает, как владельцы маршрутизаторов и подключенных устройств цели тоже, а не только потенциальные жертвы ботнета, который активно создавался посредством распространения этого вредоносное ПО.
Несмотря на это, рекомендации по обеспечению безопасности вашей сети остаются прежними.
«ФБР рекомендует любому владельцу маршрутизаторов в небольших и домашних офисах перезагрузить устройства, чтобы временно нарушить работу вредоносного ПО и помочь в потенциальной идентификации зараженных устройств», — ФБР чиновники предупредили. «Владельцам рекомендуется рассмотреть возможность отключения настроек удаленного управления на устройствах и защитить их надежными паролями и шифрованием, если они включены. Сетевые устройства должны быть обновлены до последних доступных версий прошивки».
VPNFilter состоит из трех этапов: постоянный этап 1 и непостоянные этапы 2 и 3. Учитывая особенности работы вредоносной программы, перезагрузка очистит этапы 2 и 3 и устранит большинство проблем. ФБР конфисковало домен, который использовал создатель вредоносного ПО для реализации второго и третьего этапов атаки. Эти более поздние этапы не могут пережить перезагрузку.
Министерство юстиции также выпустило аналогичное предупреждение, призывая пользователей перезагрузить свои маршрутизаторы. «Владельцам устройств SOHO и NAS, которые могут быть заражены, следует как можно скорее перезагрузить свои устройства, временно исключив вредоносное ПО второй стадии и заставляют вредоносное ПО первой стадии на их устройстве запрашивать инструкции», — заявили в ведомстве. в заявление. «Хотя устройства будут оставаться уязвимыми для повторного заражения вредоносным ПО второй стадии при подключении к Интернету, эти усилия максимизируют возможности для выявлять и устранять инфекцию во всем мире за отведенное время до того, как участники Sofacy узнают об уязвимости в своих системах командования и контроля. инфраструктура».
Cisco посоветовала всем пользователям выполнить сброс настроек своих устройств до заводских настроек, что позволит удалить даже первую стадию вредоносного ПО. Если вам неясно, как выполнить сброс настроек, вам следует обратиться за инструкциями к производителю маршрутизатора, но в целом вставка скрепку для бумаг в кнопку «сброс», расположенную на задней или нижней части маршрутизатора, и удерживая ее на месте в течение нескольких секунд, вы сотрете маршрутизатор. Дополнительные рекомендации по смягчению последствий будущих атак также можно найти в Отчет Cisco.
Обновлено 6 июня: добавлены новости о новых затронутых маршрутизаторах и векторах атак.
Рекомендации редакции
- Вы устанавливаете маршрутизатор не в том месте. Вот где его можно поставить вместо этого
- Как обновить прошивку роутера
- Дайте своему роутеру новые суперспособности, установив DD-WRT
- Хакер заразил 100 тысяч маршрутизаторов в результате последней атаки ботнета, направленной на рассылку спама по электронной почте
- Ваш маршрутизатор уязвим для атак? В новом отчете говорится, что шансы не в вашу пользу
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
