FBI: Internetem se šíří nebezpečný malware. Restartujte routery

29. 5. 2018

Sdílet

 Autor: Redakce
Nebezpečný malware útočí na domácí routery a NASy. Na dálku je může zničit či jejich prostřednictvím škodit. Možná pochází z Ruska.

Aktualizováno 29. 5. 2018

Americká FBI už před VPNFilterem také varuje. Ve stručnosti papouškuje zprávu od Cisca, aniž by přitom firmu jmenovala nebo řekla, které produkty jsou nejvíce ohrožené. FBI ale doporučuje domácí/kancelářské routery a NASy restartovat, vypnout vzdálenou správu, nastavit nová silná hesla, zapnout šifrování a čekat na případné záplaty od výrobců síťových zařízení.

Původní článek z 25. 5. 2018

Talos, bezpečnostní tým Cisca, již několik měsíců pozoruje chování nového malwaru nazvaného VPNFilter. Přestože experti ještě plně nepochopili, jak se nová hrozba přesně šíří, kolik zařízení je ohroženo a co všechno může napáchat, zveřejnili už první předběžné výsledky, aby se výrobci a ajťáci mohli připravit a útokům zabránit.

Kompletní zprávu se všemi dosud zjištěnými skutečnostmi Cisco zveřejnilo na svém webu talosintelligence.com.

Co je VPNFilter a koho napadá?

VPNFilter je vícefázový a modulární malware, který dle Cisca napadá domácí a kancelářské routery značek Linksys, MikroTik, Netgear, TP-Link a NAS od QNAPu. Funguje na různých procesorových architekturách, ale dle všeho napadá ta zařízení, která běží na Linuxu a BusyBoxu.

VPNFilter VPNFilter

Malware má prý společnou část kódu s jiným škůdcem BlackEnergy, který nedávno útočil na síťová zařízení na Ukrajině. VPNFilter postupuje stejně, Talos ale objevil nákazy v 54 zemích a na minimálně 500 000 zařízení. Čísla rozhodně nejsou konečná, také možných napadených značek může být více, experti ještě všechny možnosti neprozkoumali.

VPNFilter zřejmě nemá nějaké konkrétní cíle. Z předběžných výsledků to vypadá, že útočí na vše, co mu přijde pod ruku. Zneužívá dříve objevených zranitelností v síťových zařízeních a také výchozí kombinace přihlašovacích jmen a hesel.

CO VPNFilter dělá?

Malware má celkem tři stupně. První se usadí na flash paměť zařízení, takže přežije i jeho restart. To je rozdíl oproti těm, které operují pouze v RAM. Další stupně už ale perzistentní nejsou a po restartu se jich uživatelé zbaví (než se opět načtou). V prvním kroku si malware vyhledá server, odkud získá data pro druhý stupeň.

Fáze VPNFilteru Fáze VPNFilteru

Proces je hodně sofistikovaný. Nejdříve stáhne z veřejné fotogalerie Photobucket obrázky s upraveným EXIFem, kde v poli s geosouřadnicemi je zakódovaná IP adresa útočníkova serveru. Pokud Photobucket selže, využije se totéž na záložní adrese toknowall.com (už je mimo provoz). A pokud se útok zastaví i tady, síťové zařízení bude čekat a poslouchat, až jej vzdáleně osloví samotný server.

Pokud se tak stane, spustí se druhá fáze. Do routeru nebo NASu se stáhne hlavní logika malwaru, tj. všechny možné příkazy, které se mohou vykonávat. Talos objevil i destrukční příkaz pro poškození firmwaru, takže by útočníci mohli hravě vyřadit z provozu stovky tisíc zařízení. Další příkazy zase mohou stahovat moduly pro třetí fázi.

TIP: Půlka lidí v Česku si sledováním porna infikovala počítač virem

Zatím byly objeveny dva, prý jich ale bude víc. Jeden zajistí, že komunikace mezi serverem útočníka a napadeným zařízením bude skrytá přes anonymizační síť Tor. Druhý modul zase sleduje síťový provoz a dokáže zachytávat přihlašovací údaje z webů a packety Modbus/SCADA, které se využívají pro řízení průmyslových strojů nebo IoT zařízení.

Jak se před VPNFilterem bránit?

Cisco uvádí, že obrana není snadná, protože útoky jsou vedeny na perimetry sítě, kde nejsou žádné ochrany pro vniknutí ani antiviry. Navíc se zneužívají neopravené zranitelnosti z minulosti.

8. května 2018 došlo k masivními rozšíření VPNFilteru na Ukrajině 8. května 2018 došlo k masivními rozšíření VPNFilteru na Ukrajině

Restart routeru či NASu by ale měl vyřadit druhý a třetí stupeň útoku. Reset do továrního nastavení by zase měl ostranit část z první fáze. Aby se VPNFilter nevrátil, bude třeba také aktualizací od samotných výrobců. Podle Symantecu už na tom pracuje Linksys, MikroTik a Netgear.

ICTS24

TIP: Navštěvování pirátských stránek zvyšuje riziko nakažení malwarem

Kdo VPNFilter vytvořil?

Lidé z Talosu zatím neví, kdo za útokem stojí, ale vzhledem k rozsahu mluví o možném státem sponzorovaném útoku. FBI už zabavila doménu toknowall.com a tvrdí, že ji využila hackerská skupina Fancy Bear. Jde o rusky mluvící útočníky, kteří také vystupují pod jmény Sofacy Group, APT28, Sandworm, X-Agent, Pawn Storm nebo Sednit.