FBI: Internetem se šíří nebezpečný malware. Restartujte routery

Nebezpečný malware útočí na domácí routery a NASy. Na dálku je může zničit či jejich prostřednictvím škodit. Možná pochází z Ruska.

11
Matrix kód hacker
Ilustrační foto (zdroj: geralt / Pixabay)

Aktualizováno 29. 5. 2018

Americká FBI už před VPNFilterem také varuje. Ve stručnosti papouškuje zprávu od Cisca, aniž by přitom firmu jmenovala nebo řekla, které produkty jsou nejvíce ohrožené. FBI ale doporučuje domácí/kancelářské routery a NASy restartovat, vypnout vzdálenou správu, nastavit nová silná hesla, zapnout šifrování a čekat na případné záplaty od výrobců síťových zařízení.

Původní článek z 25. 5. 2018

Talos, bezpečnostní tým Cisca, již několik měsíců pozoruje chování nového malwaru nazvaného VPNFilter. Přestože experti ještě plně nepochopili, jak se nová hrozba přesně šíří, kolik zařízení je ohroženo a co všechno může napáchat, zveřejnili už první předběžné výsledky, aby se výrobci a ajťáci mohli připravit a útokům zabránit.

Kompletní zprávu se všemi dosud zjištěnými skutečnostmi Cisco zveřejnilo na svém webu talosintelligence.com.

Co je VPNFilter a koho napadá?

VPNFilter je vícefázový a modulární malware, který dle Cisca napadá domácí a kancelářské routery značek Linksys, MikroTik, Netgear, TP-Link a NAS od QNAPu. Funguje na různých procesorových architekturách, ale dle všeho napadá ta zařízení, která běží na Linuxu a BusyBoxu.

VPNFilter
VPNFilter

Malware má prý společnou část kódu s jiným škůdcem BlackEnergy, který nedávno útočil na síťová zařízení na Ukrajině. VPNFilter postupuje stejně, Talos ale objevil nákazy v 54 zemích a na minimálně 500 000 zařízení. Čísla rozhodně nejsou konečná, také možných napadených značek může být více, experti ještě všechny možnosti neprozkoumali.

VPNFilter zřejmě nemá nějaké konkrétní cíle. Z předběžných výsledků to vypadá, že útočí na vše, co mu přijde pod ruku. Zneužívá dříve objevených zranitelností v síťových zařízeních a také výchozí kombinace přihlašovacích jmen a hesel.

CO VPNFilter dělá?

Malware má celkem tři stupně. První se usadí na flash paměť zařízení, takže přežije i jeho restart. To je rozdíl oproti těm, které operují pouze v RAM. Další stupně už ale perzistentní nejsou a po restartu se jich uživatelé zbaví (než se opět načtou). V prvním kroku si malware vyhledá server, odkud získá data pro druhý stupeň.

Fáze VPNFilteru
Fáze VPNFilteru

Proces je hodně sofistikovaný. Nejdříve stáhne z veřejné fotogalerie Photobucket obrázky s upraveným EXIFem, kde v poli s geosouřadnicemi je zakódovaná IP adresa útočníkova serveru. Pokud Photobucket selže, využije se totéž na záložní adrese toknowall.com (už je mimo provoz). A pokud se útok zastaví i tady, síťové zařízení bude čekat a poslouchat, až jej vzdáleně osloví samotný server.

Pokud se tak stane, spustí se druhá fáze. Do routeru nebo NASu se stáhne hlavní logika malwaru, tj. všechny možné příkazy, které se mohou vykonávat. Talos objevil i destrukční příkaz pro poškození firmwaru, takže by útočníci mohli hravě vyřadit z provozu stovky tisíc zařízení. Další příkazy zase mohou stahovat moduly pro třetí fázi.

TIP: Půlka lidí v Česku si sledováním porna infikovala počítač virem

Zatím byly objeveny dva, prý jich ale bude víc. Jeden zajistí, že komunikace mezi serverem útočníka a napadeným zařízením bude skrytá přes anonymizační síť Tor. Druhý modul zase sleduje síťový provoz a dokáže zachytávat přihlašovací údaje z webů a packety Modbus/SCADA, které se využívají pro řízení průmyslových strojů nebo IoT zařízení.

Jak se před VPNFilterem bránit?

Cisco uvádí, že obrana není snadná, protože útoky jsou vedeny na perimetry sítě, kde nejsou žádné ochrany pro vniknutí ani antiviry. Navíc se zneužívají neopravené zranitelnosti z minulosti.

8. května 2018 došlo k masivními rozšíření VPNFilteru na Ukrajině
8. května 2018 došlo k masivními rozšíření VPNFilteru na Ukrajině

Restart routeru či NASu by ale měl vyřadit druhý a třetí stupeň útoku. Reset do továrního nastavení by zase měl ostranit část z první fáze. Aby se VPNFilter nevrátil, bude třeba také aktualizací od samotných výrobců. Podle Symantecu už na tom pracuje Linksys, MikroTik a Netgear.

TIP: Navštěvování pirátských stránek zvyšuje riziko nakažení malwarem

Kdo VPNFilter vytvořil?

Lidé z Talosu zatím neví, kdo za útokem stojí, ale vzhledem k rozsahu mluví o možném státem sponzorovaném útoku. FBI už zabavila doménu toknowall.com a tvrdí, že ji využila hackerská skupina Fancy Bear. Jde o rusky mluvící útočníky, kteří také vystupují pod jmény Sofacy Group, APT28, Sandworm, X-Agent, Pawn Storm nebo Sednit.

FBI: Internetem se šíří nebezpečný malware. Restartujte routery

Ohodnoťte tento článek!
3.9 (77%) 20 hlas/ů

11 KOMENTÁŘE

  1. „Aby se VPNFilter nevrátil, bude třeba také aktualizací od samotných výrobců. Podle Symantecu už na tom pracuje Linksys, MikroTik a Netgear.“

    Na muj router WNDR3600 za cca 3.000Kc neudelal Netgear jedinnou opravu a cely router by byl po celou dobu jeho provozu deravy jak reseto. I proto se mi clanek silne nezda, buh vi co za tim je a bohuzel to autor podal jen jako prelozenou zpravu bez vlastniho zamysleni.
    Muj Netgear router mi leta spolehlive bezi na DD-WRT. Jestli tam jsou nejake chyby nevim, posledni aktualizaci komunita udelala ve 2016 a od te doby ne. Na to jak je to stary router je i to skoro zazrak, protoze Netgear by jinak bezel na originalnim firmwaru z 2013, ktery uz v te dobe byl deravy.

    Prijde mi teda podivne, ze se autor nezamyslel nad rozdilnosti pristupu Netgearu a Mikrotiku. Druhy jmenovany se o sve routery stara pravidelne a jsou pravidelne aktualizovany. Napadeni routeru nejakym virem je tedy u Mikrotiku mnohonasobne nizsi nez u Netgearu.

    A to jsme se prave nedozvedeli, jakym zpusobem dokaze udajny vir ta zarizeni napadnout? Neni potreba jako ve vetsine podobnych pripadu mit povolen vzdaleny pristup, ktery umozni prave to nahrani viru do flash pameti routeru?

    • Já si do Netgearu R7000 po čtvrtroce bojů s IPv6 (router za pět tisíc neumí jinou síťovou masku, než 64 bitů, WTF?), našel fork Asus Merlin a spokojeně jej používám. Jmenuje se Xwrt-Vortex a bohužel jej nemohu moc doporučovat, existuje pouze na R7000, EA6900 a WS880. A navíc to vypadá, jako by měl další vývoj pokračovat jen pro R7000.

      • Pardon v mem komentari je chyba, nevim proc ale spletl jsem si cisla. Muj router je WNDR3700 a je z roku 2009. Tvuj router R7000 ma vydani 2013. Takze preci jen je novejsi a clovek by ocekaval, ze nejaka aktualizace bude.
        Netgear je fakt strasnej, hardwarove jsou ty jeho krabicky OK, ale firmware deravej jak reseto je opravdu na presdrzku, jeste stesit, ze jsou ty komunitni firmwary.
        Ovsem teda po te sve zkusenosti uz Netgear nikdy. Kdybych do routeru chtel investovat vic penez, tak bych dnes sel do toho ceskeho Turris Omnia, pokud router levneji, tak jedine Mikrotik, ten ma sice slozitejsi nastaveni ale na netu uz dneska je spousta manualu, takze by problem pro pouceneho uzivatele byt nemel.