Uus pahavara, tuntud kui MicroTic VPNFilter, mida hiljuti tuvastas Cisco Talos Intelligence Group, on juba nakatanud rohkem kui 500 000 ruuterit ja võrgusalvestusseadet (NAS), millest paljud on väikeettevõtete ja kontorite käsutuses. See teeb selle viiruse eriti ohtlikuks, et sellel on nn püsiv võime kahjustada, mis tähendab, et see ei kao lihtsalt sellepärast, et ruuter käivitatakse uuesti.
Kuidas eemaldada viirusetarkvara - VPNFilter.
Mis on VPNFilter
Symanteci sõnul näitavad "Symanteci peibutistelt ja anduritelt saadud andmed, et erinevalt teistest IoT ohtudest ei tundu VPNFilteri viirus skaneerida ja püüab nakatada kõiki haavatavaid seadmeid üle maailma." See tähendab, et on olemas teatud infektsiooni strateegia ja eesmärk. Võimalike sihtmärkidena on Symantec tuvastanud Linksys, MikroTik, Netgear, TP-Link ja QNAP seadmed.
Niisiis, kuidas on seadmed nakatunud? Need on vead tarkvaras või riistvaras, mis loovad mingi tagauks, mille kaudu ründaja võib seadme tööd häirida. Häkkerid kasutavad tavalisi vaikenimesid ja -paroole, et nakatada seadmeid või pääseda juurde teadaolevate haavatavuste kaudu, mis oleks pidanud olema kinnitatud korrapäraste tarkvarauuenduste või püsivara abil. See on sama mehhanism, mis viis eelmisel aastal Equifaxi massilistesse rikkumistesse ja see on ilmselt suurim küberriski allikas!
Samuti on ebaselge, kes need häkkerid on ja millised on nende kavatsused. Eeldatakse, et plaanitakse ulatuslikku rünnakut, mis muudab nakatunud seadmed kasutuks. Oht on nii ulatuslik, et justiitsministeerium ja FBI teatasid hiljuti, et kohus otsustas murda kahtlustatavate seadmete konfiskeerimise. Kohtu otsus aitab tuvastada ohvri seadet, rikub häkkerite võimet varastada isiklikku ja muud konfidentsiaalset teavet ning teostada VPNFilteri Trooja ründavaid küberrünnakuid.
Kuidas viirus töötab
VPNFIlter kasutab väga keerulist kaheastmelist nakkuse meetodit, mille eesmärk on teie arvuti, et saada luureandmete kogumise ohvriks ja isegi kirjeldustoiminguks. Viiruse esimene etapp hõlmab marsruuteri või jaoturi taaskäivitamist. Kuna VPNFilteri pahavara on suunatud peamiselt ruuteritele, samuti teistele Internetiga ühendatud seadmetele, samuti Mirai pahavara jaoks, võib see juhtuda automaatse botnetrünnaku tagajärjel, mida ei rakendata keskserverite eduka kompromissi tulemusena. Nakkus toimub läbi selle ärakasutamise, mis põhjustab nutika seadme taaskäivitamise. Selle etapi peamine eesmärk on saada osaline kontroll ja võimaldada 2. etapi kasutuselevõttu pärast taaskäivitamise protsessi lõppu. 1. etapi etapid on järgmised:
- Fotode üleslaadimine rakendusest Photobucket.
- Käivitatakse rakendused ja IP-aadresside helistamiseks kasutatakse metaandmeid.
- Viirus ühendub serveriga ja laadib alla pahatahtliku programmi, mille järel see automaatselt käivitub.
Nagu teadlased teatavad, on nakkuse esimese etapi eraldi URL-idena võltsitud fotobjektide kasutajate raamatukogud:
- com / user / nikkireed11 / raamatukogu
- com / user / kmila302 / raamatukogu
- com / user / lisabraun87 / raamatukogu
- com / user / eva_green1 / raamatukogu
- com / user / monicabelci4 / raamatukogu
- com / user / katyperry45 / raamatukogu
- com / user / saragray1 / raamatukogu
- com / user / millerfred / library
- com / user / jeniferaniston1 / raamatukogu
- com / user / amandaseyfried1 / raamatukogu
- com / user / suwe8 / raamatukogu
- com / user / bob7301 / raamatukogu
Niipea kui infektsiooni teine etapp algab, muutuvad VPNFilteri pahavara tegelikud võimalused ulatuslikumaks. Nende hulka kuuluvad viiruse kasutamine järgmistes toimingutes:
- Ühendub C & C-serveriga.
- Teostab Tor, PS ja muud pluginad.
- Teostab pahatahtlikke toiminguid, mis hõlmavad andmete kogumist, käskude täitmist, failivargust, seadme haldamist.
- Oskab läbi viia enesehävitamise toiminguid.
Seotud IP-aadressi nakkuse teise etapiga:
- 121, 109, 209
- 12.202.40
- 242, 222, 68
- 118, 242.124
- 151, 209, 33
- 79.179.14
- 214, 203, 144
- 211, 198, 231
- 154, 80, 60
- 149, 250, 54
- 200, 13, 76
- 185.80.82
- 210, 180, 229
Lisaks nendele kahele faasile teatasid Cisco Talose küberjulgeoleku teadlased ka 3. faasi serverist, mille eesmärk pole veel teada.
Haavatavad ruuterid
VPNFilter ei kahjusta iga ruuterit. Symantec kirjeldab üksikasjalikult, millised marsruuterid on haavatavad. Täna võib VPNFilter nakatada Linksys, MikroTik, Netgear ja TP-Link marsruutereid, samuti QNAP võrguga ühendatud (NAS) seadmeid. Nende hulka kuuluvad:
- Linksys e1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik ruuter (pilvesüdamiku versioonidega 1016, 1036 ja 1072)
- Netgear DGN2200
- Netgear r6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Muud QNAP NAS seadmed QTS-tarkvaraga
- TP-Link R600VPN
Kui teil on mõni ülaltoodud seadmetest, vaadake oma tootja tugilehekülgedelt värskendusi ja nõuandeid VPNFilteri eemaldamiseks. Enamikul tootjatel on juba püsivara värskendus, mis peaks teid täielikult kaitsma VPNFilteri ründusvektorite eest.
Kuidas teha kindlaks, kas ruuter on nakatunud
Ruuteri nakatumise määra ei ole võimalik kindlaks määrata isegi Kaspersky Anti-Virus abiga. Kõigi juhtivate maailma ettevõtete IT-spetsialistid ei ole seda probleemi lahendanud. Ainus soovitus, mida nad siiani pakuvad, on seadme lähtestamine tehase seadetele.
Kas marsruuteri taaskäivitamine aitab vabaneda VPNFilteri nakkusest
Ruuteri taaskäivitamine aitab vältida viiruse arengut ainult kahes esimeses etapis. Sellel on ikka veel pahavara jälgi, mis nakatavad ruuteri järk-järgult. Probleemi lahendamine aitab seadet lähtestada tehase seadetele.
Kuidas eemaldada VPNFilter ja kaitsta marsruuterit või NAS-i
Vastavalt Symanteci soovitustele peate seadme taaskäivitama ja seejärel rakendama viivitamatult kõiki värskendamiseks ja vilkumiseks vajalikke toiminguid. See kõlab lihtsalt, kuid pidev tarkvara ja püsivara värskenduste puudumine on küberrünnakute kõige tavalisem põhjus. Netgear soovitab ka nende seadmete kasutajatel keelata kõik kaugjuhtimispuldi funktsioonid. Linksys soovitab oma seadmeid taaskäivitada vähemalt üks kord päevas.
Lihtne puhastus ja ruuteri lähtestamine ei pruugi alati probleemi täielikult kõrvaldada, kuna pahavara võib kujutada endast keerukat ohtu, mis võib sügavalt mõjutada teie ruuteri püsivara objekte. Seetõttu on esimene samm kontrollida, kas teie võrk on selle pahavara suhtes kokku puutunud. Cisco teadlased soovitavad seda tungivalt, täites järgmised sammud:
- Looge uus rühm võõrustajaid nimega "VPNFilter C2" ja tehke see Java UI kaudu väliste hostide all.
- Pärast seda kinnitage, et grupp vahetab andmeid, kontrollides seadme enda kontaktisikuid.
- Aktiivse liikluse puudumise korral soovitavad teadlased võrguadministraatoritel luua lahutussignaali tüübi, mis sündmuse loomisel ja veebipõhises kasutajaliideses hosti valimisel teatab kohe, kui liiklus toimub rühma hostides.
Nüüd peate marsruuteri taaskäivitama. Selleks ühendage see vooluvõrgust lahti 30 sekundiks, seejärel ühendage see uuesti.
Järgmine samm on ruuteri lähtestamine. Teavet selle kohta, kuidas seda teha, leiate käsiraamatust kasti või tootja veebisaidilt. Kui laadite marsruuterit uuesti, peate veenduma, et selle püsivara versioon on viimane. Jällegi vaadake marsruuteriga kaasas olnud dokumentatsiooni, et teada saada, kuidas seda värskendada.
Ärge kunagi kasutage internetti ilma tugeva tulemüürita. Oht on FTP-serverid, NAS-serverid, Plex-serverid. Ärge kunagi jätke kaugjuhtimist võimaldama. See võib olla mugav, kui olete sageli oma võrgust eemal, kuid see on potentsiaalne haavatavus, mida iga häkker võib kasutada. Alati olge ajakohane. See tähendab, et peate regulaarselt kontrollima uut püsivara ja installima selle värskenduste vabastamisel.
Kas mul on vaja ruuteri seaded lähtestada, kui minu seade pole nimekirjas
Riskigrupi ruuterite andmebaasi uuendatakse iga päev, nii et ruuteri lähtestamine peab toimuma regulaarselt. Samuti kontrollige firmware värskendusi tootja veebisaidil ja jälgige tema blogi või postitusi sotsiaalsetes võrgustikes.