על פי הדיווחים והנתונים האחרונים, לאחרונה תוכנה זדונית עלולה להדביק כ -500,000 עסקים ביתיים וקטנים נתבים שיש להם את היכולת לאסוף סיסמאות, לבצע התקפות על מכשירים אחרים ולהשבית לצמיתות את מכונות.
ייתכן שתוכנה זדונית הדביקה כ -500,000 נתבים ביתיים ועסקים קטנים. המכונה VPNFilter, הוא מסוגל לאסוף סיסמאות, לבצע התקפות על מכשירים אחרים ולהשבית לצמיתות את המכונות.
המידע פורסם על ידי חוקרים מטאלוס, יחידת המודיעין של סיסקו. לדבריהם, חלק מהנתבים מתוצרת Linksys, MikroTik, Netgear, TP-Link ומכשירי QNAP אחרים נחשפים.
מדו"ח טלוס עולה כי התקיפה בוצעה מאז 2016 וכבר השפיעה על מכשירים בלפחות 54 מדינות. החברה חוקרת עברייני רשת לפני מספר חודשים ואומרת כי ההתקפות צמחו במהירות בשלושת השבועות האחרונים. מסיבה זו הוא החליט לפרסם דוח עוד לפני שהמחקר שלו היה מוכן.
החוקרים טוענים כי ניתן להשתמש בתוכנות זדוניות למטרות מגוונות. "מכיוון שהמכשירים המושפעים הם בבעלות עסקים או אנשים פרטיים, פעילויות זדוניות המתנהלות מאלה ניתן לייחס מכשירים בטעות לאלה שהיו קורבנות בפועל ", אמר ויליאם לרג'נט, טאלוס חוֹקֵר.
ה- FBI החרים את אחד התחומים ששימשו בתקיפה. על פי הרשויות בארה"ב, הוא היה בשימוש על ידי האקרים של ממשלת רוסיה. בדו"ח שלה, טלוס לא התייחס לאף מדינה, אך אמר כי VPNFilter עושה שימוש חוזר בחלקים של BlackEnergy, תוכנה זדונית ששימשה להתקפה הקשורה לממשלת רוסיה. מתקפה אחת כזו בוצעה בדצמבר 2016 ואף גרמה להאפלה באוקראינה.
פעולת ה- VPNFilter מבוצעת בשלושה שלבים. בראשון, התוכנה הזדונית מותקנת ויכולה לצמיתות להיות נוכחת במכשיר. לאחר מכן היא מנסה להתחבר לשרת פיקוד ובקרה כדי להוריד את המודולים הבאים.
לשם כך, יש ניסיון להוריד תמונה המתארחת ב- Photobucket. מטא-נתונים של קבצים מציינים את כתובת ה- IP הדרושה למעקב אחר השלב השני. אם הניסיון נכשל, התוכנה הזדונית מנסה להוריד את התמונה מ- toknowall.com - התחום שהיה משמש את ממשלת רוסיה.
אם החיבור עדיין נכשל, הצעד ממתין לפקודה של עברייני הסייבר. במקרה זה, התוכנה הזדונית שומרת את ה- IP הציבורי של המכשיר כדי שתוכל להמשיך בפעולה.
בשלב השני יש את המטען הגבוה ביותר של ההתקפה. הוא מסוגל לאסוף קבצים ונתונים, לבצע פקודות ולנהל מכשירים. בנקודה זו VPNFilter זוכה ביכולת להשבית את המכשיר מפקודת התוקפים. אם הם מחליטים על המידה, התוכנה הזדונית מחליפה חלק מהקושחה ומפעילה מחדש את המכשיר, מה שהופך אותו לחסר תועלת.
לבסוף, בשלב השלישי יש מודולים המתפקדים כמתווכים של השלב השני. אחד מהם יכול לנתח את התעבורה הנשלחת למכשיר ומסוגל לגנוב את האישורים שהוכנסו לאתר.
מודול נוסף מאפשר תקשורת דרך Tor. בדו"ח שלה, טלוס אומר כי יתכנו מודולים אחרים שטרם התגלו.
החוקרים עדיין לא יודעים בדיוק כיצד נגועים המכשירים אך מציינים כי היעד הוא כאלו המשתמשים בסיסמאות סטנדרטיות או שיש להם חורים ידועים, בעיקר בגלל השימוש בגרסאות ישנות יותר.
חברות אבטחה ממליצות למשתמשים לבצע שחזור מפעל במכשירים שלהם. באופן כללי, תהליך זה מחייב לחיצה על לחצן ההפעלה למשך מספר שניות. לאחר השחזור, עליך להגדיר מחדש את ההתקנים האלה.
באופן אידיאלי, עליכם לשנות סיסמאות ברירת מחדל, לוודא שיש למכשירים את גרסאות הקושחה העדכניות ביותר, ובמידת האפשר להשבית גישה מרחוק.
החוקרים נותרים לא ברורים אם הצעדים יעילים בכל המקרים, שכן גם פושעי סייבר עשויים לנצל כשלים שלא טופלו. ובכל זאת, הם אמורים לעזור למזער את הסיכון.
אז מה אתה חושב על זה? פשוט שתף את כל דעותיך ומחשבותיך בקטע ההערות למטה.