Prema najnovijim izvješćima i podacima, nedavno je malware mogao zaraziti oko 500 000 kućnih i malih poduzeća usmjerivača koji ima mogućnost prikupljanja lozinki, izvođenja napada na druge uređaje i trajnog onemogućavanja strojevi.
Zlonamjerni softver možda je zarazio oko 500 000 usmjerivača za kuću i male tvrtke. Poznat kao VPNFilter, sposoban je prikupljati lozinke, izvoditi napade na druge uređaje i trajno onemogućavati strojeve.
Informaciju su objavili istraživači iz Talosa, Ciscove obavještajne jedinice. Prema njima, izloženi su neki usmjerivači koje su izradili Linksys, MikroTik, Netgear, TP-Link i drugi QNAP uređaji.
Izvještaj Talosa ukazuje da se napad provodio od 2016. godine i da je već zahvatio uređaje u najmanje 54 zemlje. Tvrtka istražuje cyber kriminalce prije nekoliko mjeseci i kaže kako su napadi brzo rasli u posljednja tri tjedna. Iz tog je razloga odlučio objaviti izvješće i prije nego što je njegovo istraživanje bilo spremno.
Istraživači kažu da se zlonamjerni softver može koristiti u razne svrhe. „Budući da su pogođeni uređaji u vlasništvu tvrtki ili pojedinaca, zlonamjerne aktivnosti provode se od njih uređaji se mogu pogrešno pripisati onima koji su zapravo bili žrtve ”, rekao je William Largent, Talos istraživač.
FBI je zaplijenio jednu od domena korištenih u napadu. Prema američkim vlastima, koristili su ga ruski vladini hakeri. U svom izvješću Talos se nije pozvao ni na jednu zemlju, ali je rekao da VPNFilter ponovno koristi dijelove BlackEnergy, zlonamjernog softvera korištenog u napadu povezanom s ruskom vladom. Jedan takav napad izveden je u prosincu 2016. godine, a čak je izazvao i zatamnjenje u Ukrajini.
Akcija VPNFilter izvodi se u tri koraka. U prvom je zlonamjerni softver instaliran i može trajno biti prisutan na uređaju. Zatim se pokušava povezati s naredbenim i upravljačkim poslužiteljem kako bi preuzeo sljedeće module.
Da biste to učinili, postoji pokušaj preuzimanja slike hostirane na Photobucketu. Metapodaci datoteke označavaju IP adresu potrebnu za praćenje druge faze. Ako pokušaj ne uspije, zlonamjerni softver pokušava preuzeti sliku s toknowall.com - domene koju bi koristila ruska vlada.
Ako veza i dalje ne uspije, korak čeka naredbu cyber kriminalaca. U tom slučaju zlonamjerni softver sprema javni IP uređaja kako bi mogao nastaviti akciju.
Druga faza ima najveći naboj u napadu. Sposoban je prikupljati datoteke i podatke, izvršavati naredbe i upravljati uređajima. U ovom trenutku VPNFilter dobiva sposobnost onemogućavanja uređaja iz naredbe napadača. Ako se odluče za mjeru, zlonamjerni softver prepisuje dio firmvera i ponovno pokreće uređaj, čineći ga beskorisnim.
Konačno, treća faza ima module koji funkcioniraju kao posrednici druge faze. Jedan od njih može analizirati promet koji se šalje na uređaj i može ukrasti vjerodajnice umetnute na web mjestu.
Drugi modul omogućuje komunikaciju putem Tor-a. U svom izvješću Talos kaže da možda postoje i drugi moduli koji još nisu otkriveni.
Istraživači još uvijek ne znaju točno kako su uređaji zaraženi, ali pokazuju da su meta oni koji koriste standardne lozinke ili imaju poznate rupe, uglavnom zbog upotrebe starijih verzija.
Sigurnosne tvrtke preporučuju korisnicima da izvrše tvorničko vraćanje na uređajima. Općenito, ovaj postupak zahtijeva držanje pritisnutog gumba za uključivanje nekoliko sekundi. Nakon vraćanja morate ponovo konfigurirati ove uređaje.
Idealno bi bilo da promijenite zadane lozinke, provjerite imaju li uređaji najnovije verzije firmvera i kad je to moguće onemogućite daljinski pristup.
Istraživačima ostaje nejasno jesu li mjere učinkovite u svim slučajevima, jer cyber kriminalci možda koriste i neuspjehe koji nisu riješeni. Ipak, trebali bi pomoći smanjiti rizik.
Pa, što mislite o ovome? Jednostavno podijelite sve svoje stavove i razmišljanja u odjeljku za komentare u nastavku.