[ Zavřít ] 


ZprávyRecenze softwareNávodyRecenze her 
 

RSS Kanál

 

Restartujte router, varuje FBI

FBI se přidalo k varování před novým malwarem VPNFilter, který napadá všechna síťová zařízení - typicky Wi-Fi routery. Počet celosvětově napadených zařízení již přesáhl 500 000. FBI naštěstí již zajistila C&C server a nyní přichází s radami domácím uživatelům, které by je před zranitelností zneužívanou VPNFilterem měly ochránit. 

 

VPNFilter potají infikoval přes půl miliónů routerů

Cisco minulý týden oznámilo, že prostřednictvím svého systému bezpečnostních tykadélek zvaného Talos Intelligence již několik měsíců sleduje šíření zákeřného malwaru VPNFilter, který je patrně dílem státem sponzorovaných hackerů. Jeho existence nemohla být dříve odhalena veřejnosti, neboť se do jeho zkoumání zapojily i bezpečnostní složky - zvláště FBI. Bylo zjištěno, že se část kódu shoduje s malwarem BlackEnergy, který byl použit k útokům na ukrajinské elektrárny. Ostatně FBI sama se domnívá, že jeho tvůrcem kyberšpionážní skupina Fancy Bear, která je napojena přímo na ruskou armádní kontrarozvědku GRU.

„VPNFilter je vícefázový a modulární malware rozličných schopností, který je schopen jak odposlouchávat informace, tak spustit destruktivní kyberútok,“ představuje VPNFilter tým Cisca. První fáze VPNFilteru je perzistentní - tj. odolává vůči restartu zařízení, což ji odlišuje od většiny malwaru mířeného na zařízení internetu věcí, neboť ta není schopná přežít restart. Účelem první fáze je perzistence sama a následné spuštění druhé fáze. První fáze sestává z několika redundantních příkazů, které umožňují nalezení IP adresy C&C serveru, jeho pomocí je pak spuštěna fáze druhá, která není schopna restart přežít.

Jednotlivé fáze VPNFilteru

Ve druhé fázi malware obohatí schopnosti špionážního software (správa zařízení, provádění příkazů, sběr dat a exfiltrace informací), ale i sebedestrukční schopnosti, které nabývají podoby přepsání kritického množství firmware a restartu, který učiní zařízení zcela nepoužitelným. Třetí fáze se skládá z doplňujících modulů. Talos Intelligence se podařilo identifikovat zatím pouze dva: zachytávání datových paketů, které umožňuje odposlech komunikace protékající routerem, a modul, který VPNFilteru umožňuje komunikovat přes Tor.  Talos Intelligence je si téměř jist, že existují i další moduly, jež vzhledem k sofistikovanosti zbytku mohou provádět téměř cokoliv. 

Postižená zařízení

I když nebyla identifikována všechna zařízení, kterým hrozilo napadaní prostřednictvím VPNFilteru, je už vydán seznam zařízení, u nichž je třeba okamžitě provést kontrolu a další doporučení FBI. Mezi nimi jsou: 

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik Cloud Core Routers běžící na Mikrotik RouterOS - verze 1016, 1036 a 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • další QNAP NAS zařízení provozovaná pomocí QTS software
  • TP-Link R600VPN

FBI pomohla odhalit stopy kódu vedoucí do Ruska

Doporučení FBI

I když je VPNFilter rezistentní, není zcela všemocný. FBI totiž již zajistila doména ToKnowAll.com, která hostovala C&C server malwaru. Bez jeho příspěvku tak sice může zůstat zapsán v napadeném routeru, ovšem sám nespustí druhou a třetí fázi, které představují primární riziko. FBI proto doporučuje všem:

  1. restartovat domácí filtry, a tak zlikvidovat alespoň druhou a třetí fázi malwaru; 
  2. k odstranění první fáze malwaru použít reset do továrního nastavení; 
  3. změnit hesla a využít silná hesla; 
  4. vypnout vzdálenou správu zařízení a
  5. vždy využívat poslední verzi firmwaru všech síťových zařízení

Část kódu (implementace RC4) shodná s malwarem BlackEnergy

Zajímavým na VPNFilteru je fakt, jakým tento malware získával IP adresu řídícího serveru po perzistentním přežití vlastní smrti. Po restartu pomocí jednoduchých příkazů postupně navštívil sérii galerií na Photobucket.com. V každé galerii se z prvního obrázku pokusil extrahovat EXIF metadata, konkrétně GPS (typu 11.111 a 22.222). Ta skutečně nebyla souřadnicemi GPS, nýbrž IP adresou řídícího serveru typu 11.111.22.222, kterou první fáze zavolala a stáhla fázi druhou. Pokud Photobucket selhal, zjistil VPNFilter IP adresu řídícího serveru přes doménu toknowall.com. Pokud selhala i ta, otevřel naslouchání na portech a čekal na paket přímo z řídícího serveru. Příchod paketu byl vysoce pravděpodobný, pokud byl totiž už předtím C&C server kontaktován, dostal mj. i identifikační údaje napadnutého zařízení.

Zdroje: Cisco´s Talos Intelligence Group Blog, FBI, Arstechnica.com

 

 

 

 

 

AI generátor obrázků Freepik: fotorealističtější a rychlejší

Aktualizace AI generátoru obrázků od Freepiku přináší revoluční zlepšení v rychlosti a fotorealističnosti, což umožní grafickým designérům, marketérům a grafikům tvorbu vizuálů s nepřekonatelnou přesností a detaily. Jaké možnosti...

Spotify nabídne AI playlisty

Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky...

Microsoft a OpenAI postaví datacentrum se superpočítačem za 100 mld. USD

Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním...

Google zvažuje zpoplatnění AI vyhledávání

Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak...


 
© 2005-2024 PS Media s.r.o. - digital world
 

reklama