Programele malware Vpnfilter au infectat un milion de routere - iată ce trebuie să știți

O descoperire recentă că noul malware bazat pe router, cunoscut sub numele de VPNFilter, a infectat peste 500.000 de routere a devenit o veste și mai proastă. Într-un raport preconizat să fie lansat pe 13 iunie, Cisco afirmă că peste 200.000 de routere suplimentare au fost infectate și că capabilitățile VPNFilter sunt mult mai rele decât se credea inițial. Ars Technica a raportat la ce să vă așteptați de la Cisco miercuri.

VPNFilter este un malware care este instalat pe un router Wi-Fi. A infectat deja aproape un milion de routere în 54 de țări, iar lista de dispozitive cunoscute ca fiind afectate de VPNFilter conține multe modele populare de consum. Este important să rețineți că VPNFilter nu este un exploatator de router pe care un atacator îl poate găsi și utiliza pentru a obține acces - este un software care este instalat pe un router în mod neintenționat, care este capabil să facă unele lucruri potențial teribile.

VPNFilter este un malware care este instalat cumva pe routerul dvs., nu o vulnerabilitate pe care atacatorii o pot utiliza pentru a avea acces.

Primul atac al VPNFilter constă în utilizarea unui bărbat aflat în mijlocul atacului asupra traficului de intrare. Apoi încearcă să redirecționeze traficul criptat securizat HTTPS către o sursă care nu este în măsură să o accepte, ceea ce face ca traficul să revină la traficul HTTP normal, necriptat. Software-ul care face acest lucru, numit ssler de către cercetători, prevede prevederi speciale pentru site-urile care au măsuri suplimentare pentru a preveni acest lucru, cum ar fi Twitter.com sau orice serviciu Google.

Odată ce traficul este necriptat, VPNFilter este apoi capabil să monitorizeze tot traficul de intrare și de ieșire care trece printr-un router infectat. În loc să recoltați tot traficul și să redirecționați către un server de la distanță pentru a fi analizate mai târziu, acesta țintește în special traficul despre care se știe că conține materiale sensibile, cum ar fi parole sau date bancare. Datele interceptate pot fi apoi trimise înapoi la un server controlat de hackeri cu legături cunoscute cu guvernul rus.

VPNFilter este de asemenea capabil să schimbe traficul de intrare pentru a falsifica răspunsurile de la un server. Acest lucru ajută la acoperirea urmelor de malware și îi permite să funcționeze mai mult înainte de a putea spune că ceva nu merge bine. Un exemplu de ceea ce VPNFilter este capabil să facă în traficul primit ARS Technica de Craig Williams, un lider tehnologic principal și un manager global la Talos, spune:

Dar se pare că au evoluat complet în trecut, și acum nu numai că le permite să facă asta, dar pot manipula tot ceea ce trece prin dispozitivul compromis. Vă pot modifica soldul contului dvs. bancar astfel încât să pară normal, în același timp în care sifonează bani și chei PGP potențial și lucruri de genul acesta. Ei pot manipula tot ceea ce intră și iese din dispozitiv.

Este dificil sau imposibil (în funcție de setul de abilități și modelul de router) să îți dai seama dacă ești infectat. Cercetătorii sugerează oricui care folosește un router cunoscut ca fiind susceptibil la VPNFilter presupun că sunt infectați și iau măsurile necesare pentru a redobândi controlul traficului de rețea.

Routere cunoscute a fi vulnerabile

Această listă lungă conține routerele consumatorilor cunoscute ca fiind susceptibile la VPNFilter. Dacă modelul dvs. apare pe această listă, se recomandă să urmați procedurile din secțiunea următoare a acestui articol. Dispozitivele din listă marcate drept "noi" sunt routere care au fost descoperite recent ca fiind vulnerabile.

Dispozitive Asus:

• RT-AC66U (nou)
• RT-N10 (nou)
• RT-N10E (nou)
• RT-N10U (nou)
• RT-N56U (nou)

Dispozitive D-Link:

• DES-1210-08P (nou)
• DIR-300 (nou)
• DIR-300A (nou)
• DSR-250N (nou)
• DSR-500N (nou)
• DSR-1000 (nou)
• DSR-1000N (nou)

Dispozitive Huawei:

• HG8245 (nou)

Dispozitive Linksys:

• E1200
• E2500
• E3000 (nou)
• E3200 (nou)
• E4200 (nou)
• RV082 (nou)
• WRVS4400N

Dispozitive Mikrotik:

• CCR1009 (nou)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nou)
• CRS112 (nou)
• CRS125 (nou)
• RB411 (nou)
• RB450 (nou)
• RB750 (nou)
• RB911 (nou)
• RB921 (nou)
• RB941 (nou)
• RB951 (nou)
• RB952 (nou)
• RB960 (nou)
• RB962 (nou)
• RB1100 (nou)
• RB1200 (nou)
• RB2011 (nou)
• RB3011 (nou)
• RB Groove (nou)
• RB Omnitik (nou)
• STX5 (nou)

Dispozitive Netgear:

• DG834 (nou)
• DGN1000 (nou)
• DGN2200
• DGN3500 (nou)
• FVS318N (nou)
• MBRN3000 (nou)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nou)
• WNR4000 (nou)
• WNDR3700 (nou)
• WNDR4000 (nou)
• WNDR4300 (nou)
• WNDR4300-TN (nou)
• UTM50 (nou)

Dispozitive QNAP:

• TS251
• TS439 Pro
• Alte dispozitive QNAP NAS care rulează software QTS

Dispozitive TP-Link:

• R600VPN
• TL-WR741ND (nou)
• TL-WR841N (nou)

Dispozitive Ubiquiti:

• NSM2 (nou)
• PBE M5 (nou)

Dispozitive ZTE:

• ZXHN H108N (nou)

Ce trebuie să faci

În momentul de față, imediat ce ai posibilitatea, ar trebui să reporniți routerul. Pentru a face acest lucru, pur și simplu deconectați-l de la sursa de alimentare timp de 30 de secunde, apoi conectați-l din nou. Multe modele de router au instalat aplicații atunci când sunt pornite.

Următorul pas este să resetați din nou routerul. Veți găsi informații despre cum să faceți acest lucru în manualul inclus în cutie sau de pe site-ul web al producătorului. Acest lucru implică de obicei introducerea unui ac într-un orificiu încastrat pentru a apăsa un microfut. Când reveniți la funcționarea routerului, trebuie să vă asigurați că este pe cea mai recentă versiune a firmware-ului său. Din nou, consultați documentația furnizată cu routerul dvs. pentru detalii despre actualizare.

În continuare, efectuați un audit rapid de securitate a modului în care folosiți routerul.

• Nu folosiți niciodată numele de utilizator și parola implicite pentru administrare. Toate ruterele aceluiași model vor folosi acel nume și parolă implicite și asta face o modalitate ușoară de a modifica setările sau de a instala malware.
• Nu expuneți niciodată dispozitive interne pe internet fără un firewall puternic în loc. Aceasta include lucruri precum servere FTP, servere NAS, servere Plex sau orice dispozitiv inteligent. Dacă trebuie să expuneți orice dispozitiv conectat în afara rețelei dvs. interne, puteți utiliza software de filtrare și redirecționare a porturilor. Dacă nu, investiți într-un firewall puternic hardware sau software.
• Nu lăsați niciodată activarea administrării la distanță. Poate fi convenabil dacă ești adesea departe de rețeaua ta, dar este un potențial punct de atac pe care fiecare hacker știe să-l caute.
• Rămâneți mereu la curent. Aceasta înseamnă că verificați periodic noul firmware și, mai important, asigurați-vă că îl instalați dacă este disponibil.

În cele din urmă, dacă nu puteți actualiza firmware-ul pentru a împiedica instalarea VPNFilter (site-ul producătorului dvs. va avea detalii), cumpărați unul nou. Știu că cheltuirea banilor pentru a înlocui un router perfect bun și funcțional este puțin extremă, dar nu veți avea idee dacă routerul dvs. este infectat, decât dacă sunteți o persoană care nu trebuie să citească aceste sfaturi.

Ne place noile sisteme de router cu plasă care pot fi actualizate automat ori de câte ori este disponibil un nou firmware, cum ar fi Google Wifi, deoarece lucruri precum VPNFilter se pot întâmpla oricând și oricui. Merită să aruncați o privire dacă sunteți pe piață pentru un router nou.