[ Zavřít ] 


 

RSS Kanál

 

Restartujte router, varuje FBI

FBI se přidalo k varování před novým malwarem VPNFilter, který napadá všechna síťová zařízení - typicky Wi-Fi routery. Počet celosvětově napadených zařízení již přesáhl 500 000. FBI naštěstí již zajistila C&C server a nyní přichází s radami domácím uživatelům, které by je před zranitelností zneužívanou VPNFilterem měly ochránit. 

 

VPNFilter potají infikoval přes půl miliónů routerů

Cisco minulý týden oznámilo, že prostřednictvím svého systému bezpečnostních tykadélek zvaného Talos Intelligence již několik měsíců sleduje šíření zákeřného malwaru VPNFilter, který je patrně dílem státem sponzorovaných hackerů. Jeho existence nemohla být dříve odhalena veřejnosti, neboť se do jeho zkoumání zapojily i bezpečnostní složky - zvláště FBI. Bylo zjištěno, že se část kódu shoduje s malwarem BlackEnergy, který byl použit k útokům na ukrajinské elektrárny. Ostatně FBI sama se domnívá, že jeho tvůrcem kyberšpionážní skupina Fancy Bear, která je napojena přímo na ruskou armádní kontrarozvědku GRU.

„VPNFilter je vícefázový a modulární malware rozličných schopností, který je schopen jak odposlouchávat informace, tak spustit destruktivní kyberútok,“ představuje VPNFilter tým Cisca. První fáze VPNFilteru je perzistentní - tj. odolává vůči restartu zařízení, což ji odlišuje od většiny malwaru mířeného na zařízení internetu věcí, neboť ta není schopná přežít restart. Účelem první fáze je perzistence sama a následné spuštění druhé fáze. První fáze sestává z několika redundantních příkazů, které umožňují nalezení IP adresy C&C serveru, jeho pomocí je pak spuštěna fáze druhá, která není schopna restart přežít.

Jednotlivé fáze VPNFilteru

Ve druhé fázi malware obohatí schopnosti špionážního software (správa zařízení, provádění příkazů, sběr dat a exfiltrace informací), ale i sebedestrukční schopnosti, které nabývají podoby přepsání kritického množství firmware a restartu, který učiní zařízení zcela nepoužitelným. Třetí fáze se skládá z doplňujících modulů. Talos Intelligence se podařilo identifikovat zatím pouze dva: zachytávání datových paketů, které umožňuje odposlech komunikace protékající routerem, a modul, který VPNFilteru umožňuje komunikovat přes Tor.  Talos Intelligence je si téměř jist, že existují i další moduly, jež vzhledem k sofistikovanosti zbytku mohou provádět téměř cokoliv. 

Postižená zařízení

I když nebyla identifikována všechna zařízení, kterým hrozilo napadaní prostřednictvím VPNFilteru, je už vydán seznam zařízení, u nichž je třeba okamžitě provést kontrolu a další doporučení FBI. Mezi nimi jsou: 

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik Cloud Core Routers běžící na Mikrotik RouterOS - verze 1016, 1036 a 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • další QNAP NAS zařízení provozovaná pomocí QTS software
  • TP-Link R600VPN

FBI pomohla odhalit stopy kódu vedoucí do Ruska

Doporučení FBI

I když je VPNFilter rezistentní, není zcela všemocný. FBI totiž již zajistila doména ToKnowAll.com, která hostovala C&C server malwaru. Bez jeho příspěvku tak sice může zůstat zapsán v napadeném routeru, ovšem sám nespustí druhou a třetí fázi, které představují primární riziko. FBI proto doporučuje všem:

  1. restartovat domácí filtry, a tak zlikvidovat alespoň druhou a třetí fázi malwaru; 
  2. k odstranění první fáze malwaru použít reset do továrního nastavení; 
  3. změnit hesla a využít silná hesla; 
  4. vypnout vzdálenou správu zařízení a
  5. vždy využívat poslední verzi firmwaru všech síťových zařízení

Část kódu (implementace RC4) shodná s malwarem BlackEnergy

Zajímavým na VPNFilteru je fakt, jakým tento malware získával IP adresu řídícího serveru po perzistentním přežití vlastní smrti. Po restartu pomocí jednoduchých příkazů postupně navštívil sérii galerií na Photobucket.com. V každé galerii se z prvního obrázku pokusil extrahovat EXIF metadata, konkrétně GPS (typu 11.111 a 22.222). Ta skutečně nebyla souřadnicemi GPS, nýbrž IP adresou řídícího serveru typu 11.111.22.222, kterou první fáze zavolala a stáhla fázi druhou. Pokud Photobucket selhal, zjistil VPNFilter IP adresu řídícího serveru přes doménu toknowall.com. Pokud selhala i ta, otevřel naslouchání na portech a čekal na paket přímo z řídícího serveru. Příchod paketu byl vysoce pravděpodobný, pokud byl totiž už předtím C&C server kontaktován, dostal mj. i identifikační údaje napadnutého zařízení.

Zdroje: Cisco´s Talos Intelligence Group Blog, FBI, Arstechnica.com

 

 

 

 

 

Česká pošta se stala nástrojem phishingu

Obzvláště nebezpečný phishing koluje po českých emailech. Kyberútočníci si tentokrát coby nástroj na oblafnutí uživatele zvolili upozornění od České pošty. Za nepatrnou platbičku dlužného cla ve výši 1,10 Kč v podstatě slibují...

Nejvýkonnější superpočítač ČR se rodí v Ostravě

Superpočítačové centrum IT4Innovations se chystá na zkompletování nejnovějšího superpočítače v České republice. Ten bude ctít tradici všech superpočítačů a stane se nejvýkonnějším v lokalitě, a to sice díky výpočetnímu...

WhatsApp připravuje i nemobilní volání

WhatsApp by v budoucnu měl umožnit volání a videohovory i v jiných aplikacích než těch, které jsou určeny pro mobily a tablety. Konkrétně by se video/telefonie měla dostat i do webové aplikace a do aplikace desktopové. Otázkou zůstává, zda půjde o samostatné klienty...

Končí podpora Office 2010 Windows a Office 2016 Mac

Od 14. října 2020 už nejsou dostupny žádné další aktualizace pro kancelářský balík Office verze 2010 na platformě Windows a Office 2016 na platformě macOS. Microsoft k nim pomalu ukončuje uživatelskou podporu a postupně zruší i online nápovědu k nim.  ...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama