Nový malware, známý jako MicroTic VPNFilter, nedávno identifikovaný skupinou Cisco Talos Intelligence Group, již infikoval více než 500 000 směrovačů a síťových úložných zařízení (NAS), z nichž mnohé jsou k dispozici malým podnikům a kancelářím. To, co dělá tento virus obzvláště nebezpečným, je, že má tzv. „Permanentní“ schopnost ublížit, což znamená, že nezmizí jen proto, že router bude restartován.
Jak odstranit virus software - VPNFilter.
Co je VPNFilter
Podle společnosti Symantec „data z nástrah a senzorů společnosti Symantec ukazují, že na rozdíl od jiných hrozeb IoT se nezdá, že by virus VPNFilter skenoval a pokoušel se infikovat všechna zranitelná zařízení po celém světě.“ To znamená, že existuje určitá strategie a cíl infekce. Jako potenciální cíle společnost Symantec identifikovala zařízení od společnosti Linksys, MikroTik, Netgear, TP-Link a QNAP.
Jak jsou tedy infikovaná zařízení? Jedná se o nedostatky v softwaru nebo hardwaru, které vytvářejí určitý druh backdoor, přes který může útočník narušit provoz zařízení. Hackeři používají standardní výchozí názvy a hesla pro infikování zařízení nebo získání přístupu prostřednictvím známých chyb zabezpečení, které by měly být opraveny pomocí pravidelných aktualizací softwaru nebo firmwaru. Jedná se o stejný mechanismus, který v loňském roce vedl k masivnímu porušování pravidel společnosti Equifax, což je pravděpodobně největší zdroj kybernetické chyby!
Je také nejasné, kdo tito hackeři jsou a jaké jsou jejich záměry. Existuje předpoklad, že se plánuje rozsáhlý útok, který způsobí, že infikovaná zařízení budou zbytečná. Hrozba je tak rozsáhlá, že ministerstvo spravedlnosti a FBI nedávno oznámily, že soud rozhodl zabavit zařízení podezřelá z rozbití. Rozhodnutí soudu pomůže identifikovat zařízení oběti, poruší schopnost hackerů krást osobní a jiné důvěrné informace a provádět podvratné kybernetické útoky VPNFilter Trojan.
Jak virus funguje
VPNFIlter používá velmi sofistikovaný dvoukrokový způsob infekce, jehož účelem je váš počítač, aby se stal obětí shromažďování informací a dokonce i popisu operace. První fáze viru zahrnuje restartování směrovače nebo rozbočovače. Protože malware VPNFilter je zaměřen především na směrovače, stejně jako na jiná zařízení připojená k Internetu, stejně jako na malware Mirai, může k tomu dojít v důsledku automatického útoku botnetu, který není realizován v důsledku úspěšného kompromisu centrálních serverů. Infekce se objevuje prostřednictvím zneužití, které způsobí restart inteligentního zařízení. Hlavním cílem této fáze je získat částečnou kontrolu a umožnit nasazení fáze 2 po dokončení procesu restartu. Fáze 1 fáze jsou následující:
- Nahraje fotografii z webu Photobucket.
- Spustí se exploity a metadata se používají k volání adres IP.
- Virus se připojí k serveru a stáhne škodlivý program, po kterém ho automaticky provede.
Jak vědci uvádějí, jako samostatné adresy URL s první fází infekce existují knihovny falešných uživatelů fotografických objektů:
- com / user / nikkireed11 / library
- com / user / kmila302 / library
- com / user / lisabraun87 / knihovna
- com / user / eva_green1 / library
- com / user / monicabelci4 / library
- com / user / katyperry45 / library
- com / user / saragray1 / knihovna
- com / user / millerfred / library
- com / user / jeniferaniston1 / library
- com / user / amandaseyfried1 / library
- com / user / suwe8 / knihovna
- com / user / bob7301 / knihovna
Jakmile začne druhá fáze infekce, skutečné možnosti malwaru VPNFilter se rozšíří. Patří mezi ně použití viru v následujících akcích:
- Připojuje se k serveru C & C.
- Provádí Tor, PS a další pluginy.
- Provádí škodlivé akce, které zahrnují shromažďování dat, provádění příkazů, krádeže souborů, správu zařízení.
- Schopen vykonávat činnosti sebezničení.
Je spojeno s druhou fází infekce IP adresy:
- 121, 109, 209
- 12, 202.40
- 242, 222, 68
- 118, 242, 124
- 151, 209, 33
- 79, 179, 14
- 214, 203, 144
- 211, 198, 231
- 154, 180.60
- 149, 250, 54
- 200, 13, 76
- 185, 80, 82
- 210, 180, 229
Kromě těchto dvou fází, výzkumníci kybernetické bezpečnosti Cisco Talos také reportovali na serveru fáze 3, jehož účel je stále neznámý.
Zranitelné směrovače
Ne každý router může trpět VPNFilterem. Symantec podrobně popisuje, které směrovače jsou zranitelné. Dnes může VPNFilter infikovat routery Linksys, MikroTik, Netgear a TP-Link, stejně jako zařízení připojená přes síť QNAP (NAS). Patří mezi ně:
- Linksys e1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik Router (pro směrovače s jádry cloudu 1016, 1036 a 1072)
- Netgear DGN2200
- Netgear r6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Ostatní zařízení QNAP NAS s QTS softwarem
- TP-Link R600VPN
Pokud máte některá z výše uvedených zařízení, podívejte se na stránku podpory výrobce, kde naleznete aktualizace a tipy pro odebrání produktu VPNFilter. Většina výrobců již má aktualizaci firmwaru, která by vás měla zcela chránit před útočnými vektory VPNFilter.
Jak zjistit, zda je směrovač infikován
Není možné určit míru infekce směrovače ani pomocí aplikace Kaspersky Anti-Virus. IT specialisté všech předních světových firem tento problém dosud nevyřešili. Jedinými doporučeními, která doposud mohou nabídnout, je reset zařízení na tovární nastavení.
Bude restartování routeru pomoci zbavit se VPNFilter infekce
Restartování routeru pomůže zabránit vývoji viru pouze v prvních dvou fázích. Stále má stopy škodlivého softwaru, který bude postupně infikovat router. Vyřešit problém pomůže obnovit zařízení na tovární nastavení.
Jak odstranit VPNFilter a chránit router nebo NAS
V souladu s doporučeními společnosti Symantec je třeba zařízení restartovat a ihned provést jakoukoli akci nezbytnou pro aktualizaci a blikání. Zní to lehce, ale opět je nedostatek neustálých aktualizací softwaru a firmwaru nejčastější příčinou kybernetických útoků. Netgear také doporučuje uživatelům svých zařízení vypnout všechny funkce dálkového ovládání. Linksys doporučuje restartovat zařízení alespoň jednou za několik dní.
Jednoduché čištění a resetování směrovače ne vždy úplně odstraní problém, protože malware může představovat komplexní hrozbu, která může hluboce ovlivnit firmwarové objekty směrovače. Proto je prvním krokem kontrola, zda je síť vystavena tomuto malwaru. Výzkumní pracovníci společnosti Cisco to důrazně doporučují takto:
- Vytvořte novou skupinu hostitelů s názvem „VPNFilter C2“ a vytvořte ji pod externími hostiteli prostřednictvím uživatelského rozhraní Java.
- Poté potvrďte, že skupina si vyměňuje data kontrolou „kontaktů“ samotné skupiny ve vašem zařízení.
- Pokud neexistuje žádný aktivní provoz, vědci doporučují správcům sítě, aby vytvořili typ odpojovacího signálu, který vytvořením události a výběrem hostitele ve webovém uživatelském rozhraní oznámí, jakmile dojde k provozu ve skupině hostitelů.
Právě teď musíte restartovat router. Chcete-li to provést, jednoduše jej odpojte od napájení po dobu 30 sekund a poté jej znovu zapojte.
Dalším krokem je reset routeru. Informace o tom, jak postupovat, naleznete v příručce v krabici nebo na webových stránkách výrobce. Při opětovném načtení směrovače se musíte ujistit, že je nejnovější verze firmwaru. Informace o jeho aktualizaci naleznete v dokumentaci dodané se směrovačem.
Nikdy nepoužívejte Internet bez silné brány firewall. V ohrožení jsou FTP servery, NAS servery, Plex servery. Nikdy nenechávejte vzdálenou správu zapnutou. To může být výhodné, pokud jste často daleko od své sítě, ale to je potenciální zranitelnost, kterou může každý hacker využít. Vždy být aktuální. To znamená, že byste měli pravidelně kontrolovat nový firmware a znovu jej nainstalovat, jakmile budou aktualizace vydány.
Pokud zařízení není v seznamu, musím obnovit nastavení routeru
Databáze směrovačů v rizikové skupině je denně aktualizována, takže resetování routeru musí být prováděno pravidelně. Zkontrolujte také aktualizace firmwaru na webových stránkách výrobce a sledujte jeho blog nebo příspěvky v sociálních sítích.