Sokkal durvább az orosz kártevő, mint gondolták, az ön routere is fertőzött lehet
Két hete mi is megírtuk, hogy biztonsági kutatók felfedeztek egy kártevőt, amellyel vélhetően az orosz kormánynak dolgozó hekkerek 54 országban több mint félmillió routert fertőztek meg. Az eredeti felfedezést tevő Cisco Talos most bejelentette, hogy a veszély még sokkal nagyobb, mint eredetileg gondolták, ráadásul a kártevő jóval több routertípusra juthatott el, mint először hitték, és a világ legtöbb nagy routergyártója érintett – írja az Ars Technica.
AZ ÉRINTETT TÍPUSOK KÖZT TÖBB OLYAN VAN, AMIT MAGYAR NETSZOLGÁLTATÓK IS HASZNÁLNAK.
A ZTE egyik routerét, a ZXHN H108N nevűt például az Invitel használta, míg a Huawei-féle HG8245 a Telekom optikai hálózatán fordul elő.
A VPNFilter nevű kártevő egyik eddig ismeretlen képessége, hogy egy újonnan felfedezett modulja a fertőzött routerekek áthaladó adatforgalomba bármilyen csomagot bele tud ültetni, így az adott hálózaton lévő összes eszközt meg tudja fertőzni; ezt a támadást pedig képest kifejezetten egy-egy eszköztípusra szabni. Ugyanezzel a modullal észrevétlenül módosítani lehet a a weboldalakról érkező tartalmakat is, illetve el tudja csípni a hálózaton küldött jelszavakat és más érzékeny adatokat. Mindezt az oldalak TLS titkosítása (vagyis a HTTPS) lenne hivatott megakadályozni, de a VPNFilter több esetben ezt is meg tudja kerülni, pontosabban rávenni az adott oldalt, hogy titkosítatlan kapcsolatot használjon helyette.
Mindez azt jelenti, hogy a VPNFilter jóval több célpontra lő, mint eddig gondolták. A Talos első jelentése azt gyanította, hogy a felhasználók eszközeinek megfertőzése csak eszköz volt arra, hogy az így kiépített botnettel a valódi célpontokat támadhassák a jelek szerint orosz hekkerek, konkrétan Ukrajnát. Most azonban úgy tűnik, maguk a mezei felhasználók is célpontok. Craig Williams, a Talos egyik vezető elemzője szerint a támadók gyakorlatilag mindent képesek módosítani, ami a fertőzött eszközön áthalad, például el tudják hitetni a felhasználóval, hogy a bankszámlája egyenlege változatlan, miközben valójában megcsapolják a rajta tartott pénzt.
A támadás ellen nem mindenki védtelen, mert vannak például olyan biztonsági beállítások, amelyekkel megakadályozható, hogy a kártevő meg tudja kerülni az oldalak titkosítását, de Ukrajnában, ahol a legtöbb fertőzött eszköz található, nem ez a jellemző. Ugyanakkor nyugat-európai oldalaknál se ritka, hogy még mindig elérhető a HTTPS-változat mellett sima titkosítatlan HTTP is, a VPNFilter pedig többek között éppen ezt használja ki.
BÁR AZ FBI MÁR KÉT HETE LEKAPCSOLTA AZ EGYIK SZERVERT, AMELYRŐL A BOTNETET IRÁNYÍTOTTÁK, AZ TOVÁBBRA IS AKTÍV, VAGYIS A FENYEGETÉS TOVÁBBRA IS FENNÁLL.
A kártevő sokkal több gyártót is modellt is érint, a Talos becslése szerint ezzel nagyjából 200 ezerrel több eszköz lehet fertőzött, vagyis összesen körülbelül 700 ezer. Itt az összes ismert érintett modell gyártónként, ha esetleg ilyen készüléke van, állítsa vissza a gyári alapbeállításokat, majd frissítse az eszközön futó rendszert, és persze mindig változtassa meg a gyári jelszót sajátra:
TP-Link:
R600VPN
TL-WR741ND
TL-WR841N
D-Link:
DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N
Huawei:
HG8245
ZTE:
ZXHN H108N
Asus:
RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U
Linksys:
E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N
Netgear:
DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50
Mikrotik:
CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5
QNAP:
TS251
TS439 Pro
QTS szoftvert futtató további QNAP NAS eszközök
Ubiquiti:
NSM2
PBE M5
Upvel:
egyelőre ismeretlen, melyik modellek érintettek
