Efter rapporter om att en typ av skadlig programvara har infekterat mer än 700 000 routrar används i hem och småföretag i mer än 50 länder, FBI uppmanar alla konsumenter att starta om sina routrar. Skadlig programvara VPNFilter upptäcktes av Ciscos säkerhetsforskare och påverkar routrar tillverkade av Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel och ZTE. Det amerikanska justitiedepartementet sa att författarna till VPNFilter var en del av Sofacy-gruppen som svarade direkt till den ryska regeringen, Reuters rapporterade och att Ukraina var det troliga målet för attacken.
"VPNFilter skadlig kod är en flerstegs, modulär plattform med mångsidiga möjligheter för att stödja både underrättelseinsamling och destruktiva cyberattacksoperationer," sa Cisco i en rapport. Eftersom skadlig programvara kan samla in data från användaren och till och med utföra en storskalig destruktiv attack, Cisco rekommenderar att ägare av SOHO eller nätverksanslutna lagringsenheter (NAS) är särskilt försiktiga med denna typ av ge sig på. Och eftersom det är oklart hur komprometterade enheter infekterades i första hand, uppmanar tjänstemän användare av alla
routrar och NAS-enheter för att starta om.Rekommenderade videor
Detta är dubbelt viktigt nu, eftersom ytterligare analys visar att listan över sårbar hårdvara är mycket längre än man först trodde. Där 14 enhetsmodeller sades vara sårbara efter det första tillkännagivandet, har den listan vuxit till att omfatta tiotals enheter från ett antal tillverkare. Detta gör så många som 700 000 routrar sårbara runt om i världen och ett ännu större antal anslutna användare.
Relaterad
- Åh bra, ny skadlig programvara låter hackare kapa din Wi-Fi-router
- Så här ändrar du routerns Wi-Fi-lösenord
- Hur man hittar IP-adressen till din router för anpassning och säkerhet
Ännu mer problematiskt är att de som drabbas är sårbara för en nyupptäckt del av skadlig programvara som gör att den kan utföra en mannen i mitten attack mot inkommande trafik som passerar genom routern. Det gör alla på infekterade nätverk mottagliga för attacker och datastöld. Skadlig programvara, kallad "ssler" skannar också aktivt webbadresser efter känslig information som inloggningsuppgifter, som sedan kan skickas tillbaka till en kontrollserver, enligt Ars Technica. Den gör detta genom att aktivt nedgradera skyddade HTTPS-anslutningar till mycket mer läsbar HTTP-trafik.
Det som är mest slående med den här senaste upptäckten är att den belyser hur routerägare och anslutna enheter är mål också, inte bara de potentiella offren för botnätet som aktivt skapades genom spridningen av detta skadlig programvara.
Oavsett så förblir rekommendationerna för att säkra ditt eget nätverk desamma.
"FBI rekommenderar alla ägare av små kontors- och hemmakontorsroutrar att starta om enheterna till tillfälligt avbryta skadlig programvara och hjälpa den potentiella identifieringen av infekterade enheter”, FBI tjänstemän varnade. "Ägare rekommenderas att överväga att inaktivera fjärrhanteringsinställningar på enheter och säkra med starka lösenord och kryptering när det är aktiverat. Nätverksenheter bör uppgraderas till de senaste tillgängliga versionerna av firmware.”
Det finns tre steg i VPNFilter - ett beständigt steg 1 och icke-beständigt steg 2 och 3. På grund av hur skadlig programvara fungerar kommer omstart att rensa ut steg 2 och 3 och lindra de flesta problem. FBI hade beslagtagit en domän som användes av skaparen av skadlig programvara för att leverera steg 2 och 3 av attacken. Dessa senare stadier kan inte överleva en omstart.
Justitiedepartementet utfärdade också en liknande varning och uppmanade användare att starta om sina routrar. "Ägare av SOHO- och NAS-enheter som kan vara infekterade bör starta om sina enheter så snart som möjligt, vilket tillfälligt eliminerar skadlig programvara i andra steget och får den skadliga programvaran i första steget på sin enhet att ringa efter instruktioner, säger avdelningen i en påstående. "Även om enheter kommer att förbli sårbara för återinfektion med skadlig programvara i andra stadiet när de är anslutna till Internet, maximerar dessa ansträngningar möjligheterna att identifiera och åtgärda infektionen över hela världen inom den tid som finns tillgänglig innan Sofacy-aktörer får veta om sårbarheten i deras kommando-och-kontroll infrastruktur."
Cisco rådde alla användare att utföra en fabriksåterställning av sina enheter, vilket skulle rensa ut även steg 1 av skadlig programvara. Om du är osäker på hur du utför en fabriksåterställning bör du kontakta routertillverkaren för instruktioner, men i allmänhet sätter du in en gem i "återställ"-knappen på baksidan eller undersidan av din router och håller den på plats i några sekunder kommer att torka din router. Ytterligare rekommendationer för att mildra framtida attacker finns också i Ciscos rapport.
Uppdaterad den 6 juni: Lade till nyheter om nyligen påverkade routrar och attackvektorer.
Redaktörens rekommendationer
- Du sätter din router på fel ställe. Här kan du lägga det istället
- Hur du uppdaterar din routers firmware
- Ge din router nya superkrafter genom att installera DD-WRT
- Hacker infekterar 100 000 routrar i den senaste botnätsattacken som syftar till att skicka skräppost
- Är din router sårbar för attacker? Ny rapport säger att oddsen inte är till din fördel
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
