Malware VPNFilter je ještě agresivnější, než si experti mysleli. Napadá i další routery

Na konci května odhalený malware a botnet VPNFilter je ještě rozšířenější a má více funkcí, než experti původně uvedli. Bezpečnostní tým Talos operující v Ciscu ostatně dříve zveřejnil jen předběžnou zprávu, aby rychle vyslal vzkaz výrobcům a ajťákům, jak se proti VPNFilteru bránit. Zároveň ale očekával, že objeví i nové poznatky. A už je to tady.

Původní zpráva odhalila přítomnost malwaru na routerech a NASech od společností Linksys, MikroTik, Netgear, QNAP a TP-Link. Ohroženy jsou ale nakonec i produkty značek Asus, D-Link, Huawei, Ubiquiti, Upvel a ZTE. Místo 16 potvrzených zařízení jich je již 71 (seznam najdete na konci článku) a kvůli podobnosti firmwaru to jistě není konečné číslo.

Fáze VPNFilteru

Vícefázový a modulární malware toho také umí více. Talos původně odhalil, že VPNFIlter umí ve druhé fázi zařízení zničit poškozením firmwaru, zároveň však druhá fáze slouží pro stahování dodatečných modulů. Nejdříve byly objeveny dva. První nazvaný tor sloužil k anonymizaci spojení routeru/NASu se servery útočníků pomocí Toru. Druhý ps uměl zachytávat přihlašovací údaje na webech a ovládat průmyslové stroje (pomocí Modbusu).

Teď s Talosu podařilo identifikovat další dva. Modul ssler převádí šifrovanou komunikaci HTTPS na nechráněnou HTTP a dokáže pomocí man-in-the-middle útoků upravovat proudící data. Modul dstr slouží k přepisu/smazání firmwaru na zařízeních, která to nedokážou už ve druhé fázi.

TIP: Půlka lidí v Česku si sledováním porna infikovala počítač virem

Výzkum VPNFilteru bude nadále pokračovat. Obrana je i nadále stejná. Aktualizovat firmware nebo urgovat výrobce, aby vydali opravu. Restart routeru zase dočasně dokáže odstranit fázi 2 a 3. Reset zařízení do továrního nastavení by mohl smazat i kód první fáze, ale pokud pro zařízení není oprava nebo už má firmware jednou modifikovaný, prostá obnova nemusí pomoci.

Zařízení napadená VPNFilterem

Asus

• RT-AC66U (nově)
• RT-N10 (nově)
• RT-N10E (nově)
• RT-N10U (nově)
• RT-N56U (nově)
• RT-N66U (nově)

D-Link

• DES-1210-08P (nově)
• DIR-300 (nově)
• DIR-300A (nově)
• DSR-250N (nově)
• DSR-500N (nově)
• DSR-1000 (nově)
• DSR-1000N (nově)

Huawei

• HG8245 (nově)

Linksys

• E1200
• E2500
• E3000 (nově)
• E3200 (nově)
• E4200 (nově)
• RV082 (nově)
• WRVS4400N

Mikrotik

• CCR1009 (nově)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nově)
• CRS112 (nově)
• CRS125 (nově)
• RB411 (nově)
• RB450 (nově)
• RB750 (nově)
• RB911 (nově)
• RB921 (nově)
• RB941 (nově)
• RB951 (nově)
• RB952 (nově)
• RB960 (nově)
• RB962 (nově)
• RB1100 (nově)
• RB1200 (nově)
• RB2011 (nově)
• RB3011 (nově)
• RB Groove (nově)
• RB Omnitik (nově)
• STX5 (nově)

Netgear

• DG834 (nově)
• DGN1000 (nově)
• DGN2200
• DGN3500 (nově)
• FVS318N (nově)
• MBRN3000 (nově)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nově)
• WNR4000 (nově)
• WNDR3700 (nově)
• WNDR4000 (nově)
• WNDR4300 (nově)
• WNDR4300-TN (nově)
• UTM50 (nově)

QNAP

• TS251
• TS439 Pro
• Ostatní NASy se systémem QTS

TP-Link

• R600VPN
• TL-WR741ND (nově)
• TL-WR841N (nově)

Ubiquiti

• NSM2 (nově)
• PBE M5 (nově)

Upvel

• Neindentifikovány přesné modely (nově)

ZTE

• ZXHN H108N (nově)