VPNFilter - rosyjski szkodnik zainfekował ponad 500 000 urządzeń sieciowych

Zespół badaczy bezpieczeństwa Cisco Talos alarmuje, że co najmniej pół miliona urządzeń sieciowych na całym świecie padło ofiarą rosyjskiego szkodnika malware o nazwie VPNFilter. Są między innymi sprzęty takich popularnych producentów, jak DLink, Huawei czy Asus.

VPNFilter potrafi zagnieździć się w urządzeniach sieciowych i przechwytywać przechodzące przez nie informacje. Szczególnie narażone na atak są rutery, gdyż rzadko mają własne oprogramowanie antywirusowe oraz najczęściej nie są chronione przez aplikacje bezpieczeństwa zainstalowane na komputerach. Oprócz tego większość użytkowników nie dba o to, aby aktualizować ich firmware, przez co pozostawiają je z wykrytymi lukami. VPNFilter potrafi sprytnie ukryć swoją obecność w ruchu sieciowym, przez co trudno go wykryć, zaciera skuteczne ślady swojego działania oraz potrafi korzystać z metody ataku man-in-middle, aby infekować ruch i przenosić się na kolejne urządzenia. Metoda ta może pozwolić cyberprzestępcy na manipulację tym, co widzimy na ekranach, czyli modyfikację stron. Jak tłumaczy to portalowi Ars Technica Craig Williams z Talos:

Mogą tak zmodyfikować ilość pieniędzy widoczną na Twoim koncie bankowym, że wygląda na pozór normalnie, jednak naprawdę pieniądze zostały skradzione, podobnie jak klucze PGP i inne istotne dla bezpieczeństwa elementy. Po przejęciu intruzi mogą manipulować swobodnie każdą informacją przychodzącą oraz wychodzącą.

VPNFilter jest także w stanie odciąć urządzenie od połączenia internetem. W momencie, gdy czytacie te słowa, infekcja wciąż się rozprzestrzenia. A skąd wiadomo, że pochodzi z Rosji? Do tego wniosku doszli eksperci amerykańskiego Departamentu Sprawiedlwośc, którzy znaleźli powiązania pomiędzy VPNFilter a rosyjską grupą szpiegowską Sofacy APT Group. Jak dotąd najwięcej dokonanych przez szkodnika ataków wykryto na Ukrainie, jednak wystąpiły one również w innych rejonach świata. Cisco wciąż trzyma rękę na pulsie i jak podaje, obecnie zagrożone są m.in. następujące urządzenia:

Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U

D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N

Huawei: HG8245

Linksys: E1200, E2500, E4200, WRVS4400N

Pełna lista znajduje się na dole tej strony. Jest ona na bieżąco aktualizowana.

Jak na razie jedyną radą jest reset rutera. Wirus VPNFilter działa w trzech etapach - reset powinien zniszczyć krok drugi i trzeci, które są najbardziej destrukcyjne. Jak to zrobić? Po prostu odłączyć urządzenie od zasilania na 30 minut. Uprzedzamy jednak, że może to nie być stuprocentowo skuteczne. Specjaliści z FBI doradzają także wyłączenie opcji zdalnego zarządzania ruterem (są one najczęściej domyślnie włączone), a także zmianę hasła do niego. Jeśli chodzi o oprogramowanie antywirusowe, to jak na razie tylko antywirusy Symantec mają zdolność do wykrycia intruza i podjęcia z nim walki. Najpewniejszym sposobem na pozbycie się ewentualnej infekcji jest reset rutera do ustawień fabrycznych.


Zobacz również