Після повідомлень про те, що тип шкідливого програмного забезпечення заразив понад 700 000 маршрутизатори використовується в будинках і на малих підприємствах у більш ніж 50 країнах, ФБР закликає всіх споживачів перезавантажити свої маршрутизатори. Шкідливе програмне забезпечення VPNFilter було виявлено дослідниками безпеки Cisco та впливає на маршрутизатори Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, QNAP, TP-Link, Ubiquiti, Upvel і ZTE. Міністерство юстиції США заявило, що автори VPNFilter належать до групи Sofacy, яка підпорядковується безпосередньо російському уряду. Reuters повідомили, що ймовірною метою атаки була Україна.
«Зловмисне програмне забезпечення VPNFilter — це багатоступенева модульна платформа з універсальними можливостями для підтримки як збору розвідувальних даних, так і руйнівних кібератак», — йдеться у звіті Cisco. Оскільки зловмисне програмне забезпечення могло збирати дані від користувача і навіть здійснювати масштабну руйнівну атаку, Cisco рекомендує власникам SOHO або мережевих накопичувачів (NAS) бути особливо обережними з цим типом напад. І оскільки незрозуміло, як скомпрометовані пристрої взагалі були заражені, офіційні особи закликають користувачів
маршрутизатори та пристрої NAS для перезавантаження.Рекомендовані відео
Зараз це подвійно важливо, оскільки подальший аналіз показує, що список уразливого обладнання набагато довший, ніж вважалося спочатку. Тоді як після початкового оголошення було сказано, що вразливими були 14 моделей пристроїв, цей список розширився й охопив десятки пристроїв від кількох виробників. Це робить уразливими 700 000 маршрутизаторів у всьому світі та ще більшу кількість підключених користувачів.
Пов'язані
- Чудово, нове зловмисне програмне забезпечення дозволяє хакерам викрасти ваш маршрутизатор Wi-Fi
- Як змінити пароль Wi-Fi маршрутизатора
- Як знайти IP-адресу вашого маршрутизатора для налаштування та безпеки
Ще більшою проблемою є те, що постраждалі вразливі до нещодавно виявленого елемента зловмисного програмного забезпечення, яке дозволяє йому виконувати людина посередині атака на вхідний трафік, який проходить через маршрутизатор. Це робить усіх у заражених мережах чутливими до атак і крадіжки даних. Модуль зловмисного програмного забезпечення під назвою «ssler» також активно сканує веб-URL-адреси на предмет конфіденційної інформації, як-от облікових даних для входу, які потім можна надіслати назад на контрольний сервер, як Ars Technica. Це робиться шляхом активного зниження рівня захищених HTTPS-з’єднань до набагато більш читабельного HTTP-трафіку.
Що найбільш вражаюче в цьому останньому відкритті, це те, що воно підкреслює, як власники маршрутизаторів і підключені пристрої цілі, а не лише потенційні жертви ботнету, який активно створювався через поширення цього шкідливе програмне забезпечення.
Незважаючи на це, рекомендації щодо захисту вашої власної мережі залишаються незмінними.
«ФБР рекомендує будь-якому власнику маршрутизаторів для невеликих і домашніх офісів перезавантажити пристрої тимчасово припиняють роботу зловмисного програмного забезпечення та сприяють потенційній ідентифікації заражених пристроїв», – ФБР попередили чиновники. «Власникам рекомендується вимкнути налаштування віддаленого керування на пристроях і захистити їх за допомогою надійних паролів і шифрування, якщо вони ввімкнені. Мережеві пристрої слід оновити до останньої доступної версії мікропрограми».
Існує три етапи VPNFilter — постійний етап 1 і непостійний етапи 2 і 3. Через те, як працює зловмисне програмне забезпечення, перезавантаження очистить етапи 2 і 3 і пом’якшить більшість проблем. ФБР конфіскувало домен, який використовувався творцем шкідливого програмного забезпечення для здійснення 2 і 3 етапів атаки. Ці пізніші етапи не можуть пережити перезавантаження.
Міністерство юстиції також випустило подібне попередження, закликаючи користувачів перезавантажити маршрутизатори. «Власники пристроїв SOHO та NAS, які можуть бути заражені, повинні якнайшвидше перезавантажити свої пристрої, тимчасово виключивши зловмисне програмне забезпечення другого етапу та викликання зловмисного програмного забезпечення першого етапу на їхніх пристроях для отримання інструкцій», — повідомили у департаменті. в заява. «Хоча пристрої, підключені до Інтернету, залишатимуться вразливими до повторного зараження шкідливим програмним забезпеченням другого етапу, ці зусилля максимізують можливості для виявити та усунути інфекцію в усьому світі за доступний час до того, як учасники Sofacy дізнаються про вразливість у своїх системах управління інфраструктура».
Cisco порадила всім користувачам скинути свої пристрої до заводських налаштувань, щоб усунути навіть першу стадію зловмисного програмного забезпечення. Якщо вам незрозуміло, як виконати скидання до заводських налаштувань, вам слід звернутися до виробника маршрутизатора за інструкціями, але, як правило, вставляючи скріпку в кнопку «скидання», розташовану на задній або нижній панелі маршрутизатора, і утримуючи її на місці протягом кількох секунд, ви зітрете маршрутизатор. Додаткові рекомендації щодо пом’якшення майбутніх атак також можна знайти в Звіт Cisco.
Оновлено 6 червня: додано новини про нові постраждалі маршрутизатори та вектори атак.
Рекомендації редакції
- Ви розміщуєте маршрутизатор не в тому місці. Ось де його можна розмістити
- Як оновити мікропрограму маршрутизатора
- Установіть DD-WRT і надайте своєму маршрутизатору нові надздібності
- Хакер заразив 100 тисяч маршрутизаторів під час останньої атаки ботнету, спрямованої на розсилку спаму
- Чи вразливий ваш маршрутизатор до атак? У новому звіті йдеться, що шанси не на вашу користь
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
