[ Zavřít ] 


 

RSS Kanál

 

Restartujte router, varuje FBI

FBI se přidalo k varování před novým malwarem VPNFilter, který napadá všechna síťová zařízení - typicky Wi-Fi routery. Počet celosvětově napadených zařízení již přesáhl 500 000. FBI naštěstí již zajistila C&C server a nyní přichází s radami domácím uživatelům, které by je před zranitelností zneužívanou VPNFilterem měly ochránit. 

 

VPNFilter potají infikoval přes půl miliónů routerů

Cisco minulý týden oznámilo, že prostřednictvím svého systému bezpečnostních tykadélek zvaného Talos Intelligence již několik měsíců sleduje šíření zákeřného malwaru VPNFilter, který je patrně dílem státem sponzorovaných hackerů. Jeho existence nemohla být dříve odhalena veřejnosti, neboť se do jeho zkoumání zapojily i bezpečnostní složky - zvláště FBI. Bylo zjištěno, že se část kódu shoduje s malwarem BlackEnergy, který byl použit k útokům na ukrajinské elektrárny. Ostatně FBI sama se domnívá, že jeho tvůrcem kyberšpionážní skupina Fancy Bear, která je napojena přímo na ruskou armádní kontrarozvědku GRU.

„VPNFilter je vícefázový a modulární malware rozličných schopností, který je schopen jak odposlouchávat informace, tak spustit destruktivní kyberútok,“ představuje VPNFilter tým Cisca. První fáze VPNFilteru je perzistentní - tj. odolává vůči restartu zařízení, což ji odlišuje od většiny malwaru mířeného na zařízení internetu věcí, neboť ta není schopná přežít restart. Účelem první fáze je perzistence sama a následné spuštění druhé fáze. První fáze sestává z několika redundantních příkazů, které umožňují nalezení IP adresy C&C serveru, jeho pomocí je pak spuštěna fáze druhá, která není schopna restart přežít.

Jednotlivé fáze VPNFilteru

Ve druhé fázi malware obohatí schopnosti špionážního software (správa zařízení, provádění příkazů, sběr dat a exfiltrace informací), ale i sebedestrukční schopnosti, které nabývají podoby přepsání kritického množství firmware a restartu, který učiní zařízení zcela nepoužitelným. Třetí fáze se skládá z doplňujících modulů. Talos Intelligence se podařilo identifikovat zatím pouze dva: zachytávání datových paketů, které umožňuje odposlech komunikace protékající routerem, a modul, který VPNFilteru umožňuje komunikovat přes Tor.  Talos Intelligence je si téměř jist, že existují i další moduly, jež vzhledem k sofistikovanosti zbytku mohou provádět téměř cokoliv. 

Postižená zařízení

I když nebyla identifikována všechna zařízení, kterým hrozilo napadaní prostřednictvím VPNFilteru, je už vydán seznam zařízení, u nichž je třeba okamžitě provést kontrolu a další doporučení FBI. Mezi nimi jsou: 

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik Cloud Core Routers běžící na Mikrotik RouterOS - verze 1016, 1036 a 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • další QNAP NAS zařízení provozovaná pomocí QTS software
  • TP-Link R600VPN

FBI pomohla odhalit stopy kódu vedoucí do Ruska

Doporučení FBI

I když je VPNFilter rezistentní, není zcela všemocný. FBI totiž již zajistila doména ToKnowAll.com, která hostovala C&C server malwaru. Bez jeho příspěvku tak sice může zůstat zapsán v napadeném routeru, ovšem sám nespustí druhou a třetí fázi, které představují primární riziko. FBI proto doporučuje všem:

  1. restartovat domácí filtry, a tak zlikvidovat alespoň druhou a třetí fázi malwaru; 
  2. k odstranění první fáze malwaru použít reset do továrního nastavení; 
  3. změnit hesla a využít silná hesla; 
  4. vypnout vzdálenou správu zařízení a
  5. vždy využívat poslední verzi firmwaru všech síťových zařízení

Část kódu (implementace RC4) shodná s malwarem BlackEnergy

Zajímavým na VPNFilteru je fakt, jakým tento malware získával IP adresu řídícího serveru po perzistentním přežití vlastní smrti. Po restartu pomocí jednoduchých příkazů postupně navštívil sérii galerií na Photobucket.com. V každé galerii se z prvního obrázku pokusil extrahovat EXIF metadata, konkrétně GPS (typu 11.111 a 22.222). Ta skutečně nebyla souřadnicemi GPS, nýbrž IP adresou řídícího serveru typu 11.111.22.222, kterou první fáze zavolala a stáhla fázi druhou. Pokud Photobucket selhal, zjistil VPNFilter IP adresu řídícího serveru přes doménu toknowall.com. Pokud selhala i ta, otevřel naslouchání na portech a čekal na paket přímo z řídícího serveru. Příchod paketu byl vysoce pravděpodobný, pokud byl totiž už předtím C&C server kontaktován, dostal mj. i identifikační údaje napadnutého zařízení.

Zdroje: Cisco´s Talos Intelligence Group Blog, FBI, Arstechnica.com

 

 

 

 

 

Sedmičky končí

14. ledna 2020 byly uvolněny poslední aktualizace pro operační systém Windows 7. A s tím ukončil jejich podporu i Microsoft. Nejen v českých luzích a hájích populární Sedmičky se tak vydají cestou nekompatibility s dalším softwarem, posléze i hardwarem...

České firmy ohrožuje Emotet, Trickbot a Ryuk

Vládní CERT - skupina pro okamžitou reakci na počítačové hrozby - varuje před útoky, které míří na české organizace bez ohledu na pole působnosti. Oběťmi se již staly OKD a benešovská nemocnice. Jde o zvlášť zákeřnou kombinaci malwaru a na něj...

Chrome 79: zabezpečení, interoperabilita a výkon

Chrome 79 přináší kvanta změn a nových funkcionalit. Mnohé z nich jsou pečlivě skryté pod pokličkou experimentálních nastavení stabilní větve prohlížeče. Přesto odhalíme, co skrývají. Můžete se těšit na zvýšení...

Vláda to zkouší s digitální daní

Vláda ČR se rozhodla zasáhnout vůči internetovým gigantům, kteří sice generují tržby na území České republiky (a Evropské unie vůbec), avšak zisky daní v zemích, které svou legislativu byly ochotny flexibilně přizpůsobit přítomnosti těchto firem....


 
© 2005-2020 PS Media s.r.o. - digital world