Вредонос Vpnfilter заразил миллион маршрутизаторов - вот что вам нужно знать

Недавнее открытие о том, что новое вредоносное ПО на основе маршрутизаторов, известное как VPNFilter, заразило более 500 000 маршрутизаторов, стало еще хуже. В отчете, который ожидается опубликовать 13 июня, Cisco заявляет, что более 200 000 дополнительных маршрутизаторов были заражены и что возможности VPNFilter намного хуже, чем первоначально предполагалось. Ars Technica сообщила о том, чего ожидать от Cisco в среду.

VPNFilter - это вредоносная программа, которая устанавливается на маршрутизаторе Wi-Fi. Он уже заразил почти миллион маршрутизаторов в 54 странах, и список устройств, на которые, как известно, влияет VPNFilter, содержит множество популярных потребительских моделей. Важно отметить, что VPNFilter - это не эксплойт маршрутизатора, который злоумышленник может найти и использовать для получения доступа - это программное обеспечение, которое непреднамеренно установлено на маршрутизаторе и способно совершать некоторые потенциально ужасные действия.

VPNFilter - это вредоносная программа, которая каким-то образом устанавливается на вашем маршрутизаторе, а не уязвимость, которую злоумышленники могут использовать для получения доступа.

Первая атака VPNFilter состоит в том, чтобы использовать человека в середине атаки на входящий трафик. Затем он пытается перенаправить защищенный HTTPS-зашифрованный трафик на источник, который не может его принять, что приводит к тому, что этот трафик возвращается к нормальному незашифрованному HTTP-трафику. Программное обеспечение, которое делает это, называемое исследователями ssler, предусматривает специальные положения для сайтов, которые имеют дополнительные меры для предотвращения этого, таких как Twitter.com или любой сервис Google.

Как только трафик незашифрован, VPNFilter может отслеживать весь входящий и исходящий трафик, проходящий через зараженный маршрутизатор. Вместо того, чтобы собирать весь трафик и перенаправлять его на удаленный сервер для последующего просмотра, он специально нацелен на трафик, который, как известно, содержит конфиденциальный материал, такой как пароли или банковские данные. Затем перехваченные данные могут быть отправлены обратно на сервер, контролируемый хакерами, которые имеют связи с правительством России.

VPNFilter также может изменять входящий трафик для фальсификации ответов от сервера. Это помогает скрыть следы вредоносного ПО и позволяет ему работать дольше, прежде чем вы сможете сказать, что что-то идет не так. Пример того, что VPNFilter может сделать с входящим трафиком, предоставленным ARS Technica Крейгом Уильямсом, старшим технологическим лидером и глобальным менеджером по связям с общественностью в Talos, говорит:

Но, похоже, за это время они полностью эволюционировали, и теперь они не только позволяют им это делать, но и могут манипулировать всем, что происходит через взломанное устройство. Они могут изменить баланс вашего банковского счета так, чтобы он выглядел нормально, и в то же время они выкачивают деньги и, возможно, ключи PGP и тому подобное. Они могут манипулировать всем, что входит и выходит из устройства.

Трудно или невозможно (в зависимости от вашего набора навыков и модели маршрутизатора) определить, заражены ли вы. Исследователи предлагают всем, кто использует маршрутизатор, о котором известно, что он подвержен VPNFilter, предположить, что они заражены, и предпринять необходимые шаги для восстановления контроля над своим сетевым трафиком.

Известно, что маршрутизаторы уязвимы

Этот длинный список содержит маршрутизаторы-потребители, о которых известно, что они чувствительны к VPNFilter. Если ваша модель появляется в этом списке, рекомендуется выполнить процедуры, описанные в следующем разделе этой статьи. Устройства в списке, помеченные как «новые», являются маршрутизаторами, которые только недавно были признаны уязвимыми.

Asus Devices:

• RT-AC66U (новый)
• RT-N10 (новый)
• RT-N10E (новый)
• RT-N10U (новый)
• RT-N56U (новый)

Устройства D-Link:

• DES-1210-08P (новый)
• DIR-300 (новый)
• DIR-300A (новый)
• DSR-250N (новый)
• DSR-500N (новый)
• DSR-1000 (новый)
• DSR-1000N (новый)

Устройства Huawei:

• HG8245 (новый)

Устройства Linksys:

• E1200
• E2500
• E3000 (новый)
• E3200 (новый)
• E4200 (новый)
• RV082 (новый)
• WRVS4400N

Микротик Устройства:

• CCR1009 (новый)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (новый)
• CRS112 (новый)
• CRS125 (новый)
• RB411 (новый)
• RB450 (новый)
• RB750 (новый)
• RB911 (новый)
• RB921 (новый)
• RB941 (новый)
• RB951 (новый)
• RB952 (новый)
• RB960 (новый)
• RB962 (новый)
• RB1100 (новый)
• RB1200 (новый)
• RB2011 (новый)
• RB3011 (новый)
• РБ Groove (новый)
• РБ Омнитик (новый)
• STX5 (новый)

Устройства Netgear:

• DG834 (новый)
• DGN1000 (новый)
• DGN2200
• DGN3500 (новый)
• FVS318N (новый)
• MBRN3000 (новый)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (новый)
• WNR4000 (новый)
• WNDR3700 (новый)
• WNDR4000 (новый)
• WNDR4300 (новый)
• WNDR4300-TN (новый)
• UTM50 (новый)

Устройства QNAP:

• TS251
• TS439 Pro
• Другие устройства QNAP NAS с программным обеспечением QTS

Устройства TP-Link:

• R600VPN
• TL-WR741ND (новый)
• TL-WR841N (новый)

Ubiquiti Devices:

• NSM2 (новый)
• PBE M5 (новый)

Устройства ZTE:

• ZXHN H108N (новый)

Что тебе необходимо сделать

Прямо сейчас, как только вы сможете, вы должны перезагрузить маршрутизатор. Для этого просто отсоедините его от источника питания на 30 секунд, а затем снова подключите. Многие модели маршрутизатора сбрасывают установленные приложения, когда они выключаются.

Следующим шагом является сброс настроек маршрутизатора к заводским настройкам. Информацию о том, как это сделать, вы найдете в руководстве, поставляемом в коробке, или на веб-сайте производителя. Обычно это включает в себя вставку булавки в углубленное отверстие для нажатия микропереключателя. Когда вы снова включите и запустите свой маршрутизатор, вы должны убедиться, что он находится в самой последней версии своей прошивки. Опять же, обратитесь к документации, прилагаемой к вашему маршрутизатору, для получения подробной информации об обновлении.

Затем выполните быстрый аудит безопасности того, как вы используете свой маршрутизатор.

• Никогда не используйте имя пользователя и пароль по умолчанию для администрирования. Все маршрутизаторы одной модели будут использовать это имя и пароль по умолчанию, что упрощает изменение настроек или установку вредоносных программ.
• Никогда не подвергайте какие-либо внутренние устройства Интернету без надежного межсетевого экрана. Это включает в себя такие вещи, как FTP-серверы, NAS-серверы, Plex-серверы или любые интеллектуальные устройства. Если вам необходимо предоставить доступ к любому подключенному устройству за пределами вашей внутренней сети, вы можете использовать программное обеспечение для фильтрации и переадресации портов. Если нет, инвестируйте в сильный аппаратный или программный брандмауэр.
• Никогда не оставляйте удаленное администрирование включенным. Это может быть удобно, если вы часто находитесь за пределами вашей сети, но это потенциальная точка атаки, которую знает каждый хакер.
• Всегда оставайтесь в курсе. Это означает, что регулярно проверяйте наличие новой прошивки и, что более важно, обязательно устанавливайте ее, если она доступна.

Наконец, если вы не можете обновить прошивку, чтобы предотвратить установку VPNFilter (подробности на веб-сайте вашего производителя), просто купите новую. Я знаю, что тратить деньги на замену вполне исправного и работающего маршрутизатора - это немного экстремально, но вы не будете знать, заражен ли ваш маршрутизатор, если только вы не человек, которому не нужно читать подобные советы.

Мы любим новые системы ячеистых маршрутизаторов, которые могут автоматически обновляться при появлении новой прошивки, например, Google Wifi, потому что такие вещи, как VPNFilter, могут происходить в любое время и с кем угодно. Стоит посмотреть, если вы находитесь на рынке для нового маршрутизатора.