Kémprogramok támadják a routereket

Alig két hét telt el azóta, hogy komoly biztonsági figyelmeztetést adott ki a Cisco. A cég biztonsági szakemberei szerint ugyanis hackerek egy csoportja – akik valószínűleg az oroszoknak dolgoznak – 54 ország mintegy 500 ezer wifi routerét fertőzték meg egy vírussal – írja az Arstechnika.

Az ügyben nem sokkal később az FBI is vészjelzést adott ki. A Symantec szakemberei korábban azt írták, a VPNFilter nevű vírus 14 különböző típusú eszközön lehet ott, most azonban kiderült, sokkal nagyobb a baj, mint azt korábban bárki is gondolta volna. A vírus ugyanis nemcsak, hogy ennél jóval több típuson lehet ott, de a korábban gondoltnál jóval erősebb.

Az ArsTechnica beszámolója szerint a VPNFilter nevű kártevő képes lehet egy közbeékelődő támadás végrehajtására. Ennek lényege, hogy

a támadó képes arra, hogy a két, egymással kommunikáló fél kommunikációs csatornáját eltérítse,

kvázi beékelődjön közéjük, majd az üzeneteket ő továbbítsa mindkét fél számára. Ekkor elhiteti a felhasználóval, hogy egymással beszélgetnek, holott mindketten a hackerrel kapcsolódnak össze. Sőt, a hackerek az általuk használt módszerrel arra is képesek lehetnek, hogy átalakítsák a weboldalak által nyújtott tartalmakat.

A vírus emellett arra is képes, hogy a végpontok, valamint az internet között áramló érzékeny adatokat ellopja. Gyakorlatilag megfigyelik azokat a webcímeket, amelyeknél jelszó vagy más érzékeny adat továbbítódik, majd lemásolva azt elküldik a saját maguk által ellenőrzött szerverekre. Az ilyen adatlopást elviekben a HTTPS-kapcsolatnak kellene megakadályozni, a VPNFilter azonban megpróbálja megkerülni a TLS biztonsági protokollt, hogy végül sima HTTP-s kapcsolaton menjen keresztül az információ.

A vírusban dolgozó kód a Facebookhoz, Google-höz, Twitterhez és YouTube-hoz egyedi módon viszonyul, minden bizonnyal azért, mert ezeken a webhelyeken további biztonsági körökön is át kell menni. A Google például évek óta HTTP-szerverekre irányítja a HTTP-forgalmat, hogy biztonságosabbá tegyék a netezést.

A Cisco korábbi jelentése szerint a megfertőzött routerek arra kellenek, hogy összehangolt támadást intézzenek a kiszemelt célpontok ellen. A cég azonban a további vizsgálatok alapján arra a következtetésre jutott, hogy a célpontok maguk a routerek tulajdonosai. Craig Williams, a Talos technológiai vezetője szerint a hackerek minden gond nélkül

képesek úgy leemelni a bankszámlánkról a pénzt, hogy a felhasználó közben azt lássa, minden a legnagyobb rendben van.

A szakember szerint a VPNFilter szinte bármit megtehet az adattal, ami keresztül folyik a routereken.

Williams szerint a korábbiakhoz képest több mint 200 ezerrel több fertőzött router lehet, és sokkal több típus, mint azt korábban gondolták.

A fertőzés az alábbi típusokat érintheti:

Asus:

RT-AC66U

RT-N10

RT-N10E

RT-N10U

RT-N56U

RT-N66U

D-Link:

DES-1210-08P

DIR-300

DIR-300A

DSR-250N

DSR-500N

DSR-1000

DSR-1000N

Huawei:

HG8245

Linksys:

E1200

E2500

E3000

E3200

E4200

RV082

WRVS4400N

Mikrotik:

CCR1009

CCR1016

CCR1036

CCR1072

CRS109

CRS112

CRS125

RB411

RB450

RB750

RB911

RB921

RB941

RB951

RB952

RB960

RB962

RB1100

RB1200

RB2011

RB3011

RB Groove

RB Omnitik

STX5

Netgear:

DG834

DGN1000

DGN2200

DGN3500

FVS318N

MBRN3000

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200

WNR4000

WNDR3700

WNDR4000

WNDR4300

WNDR4300-TN

UTM50

QNAP:

TS251

TS439 Pro

Other QNAP NAS eszközök, amelyek QTS-t futtatnak

TP-Link:

R600VPN

TL-WR741ND

TL-WR841N

Ubiquiti:

NSM2

PBE M5

Upvel:

Ismeretlen modellek

ZTE:

ZXHN H108N

A Cisco/Talos jelentése szerint a VPNFilter ráadásul rendkívül célzottan próbál adatokat lopni. Ahelyett, hogy minden adatot lehallgatna, kifejezetten a kis adatcsomagokat keresi, amelyek (valószínűleg) jelszavakat vagy hitelesítő adatokat tartalmazhatnak. A hackerek ráadásul egy parancs segítségével először törlik a VPNFiltert az összes nyommal együtt az eszközről, majd egy parancs segítségével gyakorlatilag újraindítják a készüléket.

A szakemberek továbbra sem tudják, hogyan fertőződhettek meg a routerek, de valószínűleg olyan hibákat használtak ki, amelyekre már van megoldás. Nem egyszerű azt sem megtudni, hogy valóban fertőzött-e a router. A Cisco szakértői szerint ráadásul modellenként változik, hogyan lehet „fertőtleníteni” a készüléket.

Bizonyos esetekben a router gombjával kell visszaállítani a gyári beállításokat, majd azonnal telepíteni rájuk a legfrisseb firmware-t, másoknál viszont elég csak újraindítani a készüléket.

Emellett természetesen változtassuk meg a router alapértelmezett jelszavát és tiltsuk le a távoli hozzáférést.

Borítókép: Shutterstock