Vpnfilter malware zarazio je milijun usmjerivača - evo što trebate znati

Nedavno otkriće da je novi zlonamjerni softver temeljen na usmjerivačima, poznat kao VPNFilter, zarazio više od 500.000 usmjerivača, samo je postao još gora vijest. U izvješću koje će biti objavljeno 13. lipnja, Cisco navodi da je preko 200.000 dodatnih rutera zaraženo i da su mogućnosti VPNFiltera daleko lošije nego što se u početku mislilo. Ars Technica izvijestio je što očekujemo od Cisca u srijedu.

VPNFilter je zlonamjerni softver koji se instalira na Wi-Fi usmjerivač. Već je zarazilo gotovo milijun usmjerivača u 54 zemlje, a popis uređaja na koje zna da utječe VPNFilter sadrži mnoge popularne potrošačke modele. Važno je napomenuti da VPNFilter nije iskorištavanje usmjerivača koje napadač može pronaći i koristiti za pristup - to je softver koji se na usmjerivač instalira nenamjerno i može učiniti neke potencijalno strašne stvari.

VPNFilter je zlonamjerni softver koji se nekako instalira na vaš usmjerivač, a ne ranjivost koju napadači mogu koristiti da bi dobili pristup.

Prvi napad VPNFiltera sastoji se od korištenja čovjeka u srednjem napadu na dolazni promet. Zatim pokušava preusmjeriti sigurni HTTPS kriptirani promet na izvor koji ga ne može prihvatiti, zbog čega se promet vraća u normalan, nešifrirani HTTP promet. Softver koji ovo radi, a koji su istraživači nazvali ssler, donosi posebne odredbe za web lokacije koje imaju dodatne mjere kako se to ne bi događalo, poput Twitter.com ili bilo kojeg Googleovog servisa.

Nakon što promet nije enkriptiran, VPNFilter će tada moći nadzirati sav ulazni i odlazni promet koji prolazi kroz zaraženi usmjerivač. Umjesto da skuplja sav promet i preusmjerava na udaljeni poslužitelj koji bi se kasnije trebao pogledati, on posebno cilja promet za koji se zna da sadrži osjetljiv materijal, poput lozinki ili bankovnih podataka. Presretnuti podaci tada se mogu vratiti na poslužitelj koji kontroliraju hakeri s poznatim vezama s ruskom vladom.

VPNFilter također može promijeniti dolazni promet kako bi lažirao odgovore s poslužitelja. To pomaže prikrivanju tragova zlonamjernog softvera i omogućuje mu dulje djelovanje prije nego što utvrdite da nešto pođe po zlu. Primjer što VPNFilter može učiniti s dolaznim prometom koji je za ARS Technica dao Craig Williams, viši voditelj tehnologije i globalni menadžer za informiranje u tvrtki Talos, kaže:

No čini se da su se potpuno razvili prošlost toga i sada im ne samo da to čine, već mogu manipulirati svime što prolazi kroz ugroženi uređaj. Oni mogu izmijeniti stanje na vašem bankovnom računu tako da izgleda normalno, a istovremeno otimaju novac i potencijalno PGP ključeve i takve stvari. Oni mogu manipulirati svime što ulazi i ulazi izvan uređaja.

Teško je ili nemoguće (ovisno o vašem skupu vještina i modelu usmjerivača) reći jeste li zaraženi. Istraživači savjetuju da svi koji koriste usmjerivač za koji se zna da je podložan VPNFilteru pretpostavljaju da su zaraženi i poduzimaju potrebne korake kako bi povratili kontrolu nad svojim mrežnim prometom.

Usmjerivači za koje se zna da su ranjivi

Ovaj dugačak popis sadrži usmjerivače za potrošače za koje se zna da su osjetljivi na VPNFilter. Ako se vaš model pojavljuje na ovom popisu, predlažemo vam da slijedite postupke u sljedećem odjeljku ovog članka. Uređaji na popisu označeni kao "novi" su usmjerivači za koje je tek nedavno otkriveno da su ranjivi.

Asus uređaji:

• RT-AC66U (novo)
• RT-N10 (novo)
• RT-N10E (novo)
• RT-N10U (novo)
• RT-N56U (novo)

D-Link uređaji:

• DES-1210-08P (novo)
• DIR-300 (novo)
• DIR-300A (novo)
• DSR-250N (novo)
• DSR-500N (novo)
• DSR-1000 (novo)
• DSR-1000N (novo)

Huawei uređaji:

• HG8245 (novo)

Uređaji Linksys:

• E1200
• E2500
• E3000 (novo)
• E3200 (novo)
• E4200 (novo)
• RV082 (novo)
• WRVS4400N

Mikrotik uređaji:

• CCR1009 (novo)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (novo)
• CRS112 (novo)
• CRS125 (novo)
• RB411 (novo)
• RB450 (novo)
• RB750 (novo)
• RB911 (novo)
• RB921 (novo)
• RB941 (novo)
• RB951 (novo)
• RB952 (novo)
• RB960 (novo)
• RB962 (novo)
• RB1100 (novo)
• RB1200 (novo)
• RB2011 (novo)
• RB3011 (novo)
• RB Groove (novo)
• RB Omnitik (novo)
• STX5 (novo)

Mrežni uređaji:

• DG834 (novo)
• DGN1000 (novo)
• DGN2200
• DGN3500 (novo)
• FVS318N (novo)
• MBRN3000 (novo)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (novo)
• WNR4000 (novo)
• WNDR3700 (novo)
• WNDR4000 (novo)
• WNDR4300 (novo)
• WNDR4300-TN (novo)
• UTM50 (novo)

QNAP uređaji:

• TS251
• TS439 Pro
• Ostali QNAP NAS uređaji koji pokreću QTS softver

TP-Link uređaji:

• R600VPN
• TL-WR741ND (novo)
• TL-WR841N (novo)

Ubiquiti uređaji:

• NSM2 (novo)
• PBE M5 (novo)

ZTE uređaji:

• ZXHN H108N (novo)

Što trebate učiniti

Čim to budete mogli, trebali biste ponovno pokrenuti usmjerivač. Da biste to učinili, jednostavno isključite ga iz napajanja 30 sekundi, a zatim ga ponovo uključite. Mnogi modeli usmjerivača ispiraju instalirane aplikacije kada se pokreću.

Sljedeći je korak tvorničko resetiranje usmjerivača. Informacije o tome kako to učiniti možete pronaći u priručniku koji ste dobili u kutiji ili s web mjesta proizvođača. To obično uključuje umetanje igle u udubljenu rupu da biste pritisnuli mikroprekidač. Kad vratite ruter natrag i pokrećete ga, morate osigurati da se nalazi na najnovijoj verziji softvera. Ponovo potražite dokumentaciju koju ste dobili s usmjerivačem radi detalja o ažuriranju.

Zatim izvedite brzu sigurnosnu reviziju načina na koji koristite usmjerivač.

• Nikada ne koristite zadana korisnička imena i lozinke za administraciju. Svi usmjerivači istog modela upotrijebit će to zadano ime i lozinku, što olakšava način mijenjanja postavki ili instaliranja zlonamjernog softvera.
• Nikada ne izlažite interne uređaje bez jakog vatrozida. To uključuje stvari poput FTP poslužitelja, NAS poslužitelja, Plex poslužitelja ili bilo kojeg pametnog uređaja. Ako morate izložiti bilo koji povezani uređaj izvan vaše interne mreže, vjerojatno možete koristiti softver za filtriranje i prosljeđivanje porta. Ako ne, uložite u snažan hardverski ili softverski vatrozid.
• Nikada ne ostavljajte omogućenu udaljenu administraciju. To može biti prikladno ako ste često izvan mreže, ali to je potencijalna točka napada koju svaki haker zna tražiti.
• Uvijek budite u toku. To znači redovito provjeravati nove upravljačke programe, a što je još važnije, budite sigurni da ga instalirate ako je dostupan.

Konačno, ako ne možete ažurirati firmver kako biste spriječili da se VPNFilter ne instalira (web stranica proizvođača mora imati detalje), samo kupite novi. Znam da je trošenje novca za zamjenu savršeno dobrog i ispravnog usmjerivača pomalo ekstremno, ali nećete imati pojma je li vaš usmjerivač zaražen osim ako niste osoba koja ne mora čitati ove savjete.

Obožavamo nove mrežne usmjerivačke sustave koji se mogu automatski ažurirati kad god je dostupan novi firmver, poput Google Wifi-ja, jer se stvari poput VPNFiltera mogu dogoditi bilo kada i bilo kome. Vrijedno je pogledati želite li novi usmjerivač.