(https://kep.index.hu/1/0/2026/20260/202609/20260996_13b4d372e6b0ea037535ff647378df45_wm.jpg)
Két hete mi is megírtuk (https://index.hu/tech/2018/05/23/cisco_oroszorszag_kibertamadast_keszithetett_elo_ukrajna_ellen/), hogy biztonsági kutatók felfedeztek egy kártevőt, amellyel vélhetően az orosz kormánynak dolgozó hekkerek 54 országban több mint félmillió routert fertőztek meg. Az eredeti felfedezést tevő Cisco Talos most bejelentette, hogy a veszély még sokkal nagyobb, mint eredetileg gondolták, ráadásul a kártevő jóval több routertípusra juthatott el, mint először hitték, és a világ legtöbb nagy routergyártója érintett – írja az Ars Technica (https://arstechnica.com/information-technology/2018/06/vpnfilter-malware-infecting-50000-devices-is-worse-than-we-thought/).
AZ ÉRINTETT TÍPUSOK KÖZT TÖBB OLYAN VAN, AMIT MAGYAR NETSZOLGÁLTATÓK IS HASZNÁLNAK.A ZTE egyik routerét, a ZXHN H108N nevűt például az
Invitel használta, míg a Huawei-féle HG8245 a
Telekom optikai hálózatán fordul elő.
A VPNFilter nevű kártevő egyik eddig ismeretlen képessége, hogy egy újonnan felfedezett modulja a fertőzött routereken áthaladó adatforgalomba bármilyen csomagot bele tud ültetni, így az adott hálózaton lévő összes eszközt meg tudja fertőzni; ezt a támadást pedig képest kifejezetten egy-egy eszköztípusra szabni. Ugyanezzel a modullal észrevétlenül módosítani lehet a a weboldalakról érkező tartalmakat is, illetve el tudja csípni a hálózaton küldött jelszavakat és más érzékeny adatokat. Mindezt az oldalak TLS titkosítása (vagyis a HTTPS) lenne hivatott megakadályozni, de a VPNFilter több esetben ezt is meg tudja kerülni, pontosabban rávenni az adott oldalt, hogy titkosítatlan kapcsolatot használjon helyette.
Mindez azt jelenti, hogy a VPNFilter jóval több célpontra lő, mint eddig gondolták. A Talos első jelentése azt gyanította, hogy a felhasználók eszközeinek megfertőzése csak eszköz volt arra, hogy az így kiépített botnettel a valódi célpontokat támadhassák a jelek szerint orosz hekkerek, konkrétan Ukrajnát. Most azonban úgy tűnik, maguk a mezei felhasználók is célpontok. Craig Williams, a Talos egyik vezető elemzője szerint a támadók gyakorlatilag mindent képesek módosítani, ami a fertőzött eszközön áthalad, például el tudják hitetni a felhasználóval, hogy a bankszámlája egyenlege változatlan, miközben valójában megcsapolják a rajta tartott pénzt.
A támadás ellen nem mindenki védtelen, mert vannak például olyan biztonsági beállítások, amelyekkel megakadályozható, hogy a kártevő meg tudja kerülni az oldalak titkosítását, de Ukrajnában, ahol a legtöbb fertőzött eszköz található, nem ez a jellemző. Ugyanakkor nyugat-európai oldalaknál se ritka, hogy még mindig elérhető a HTTPS-változat mellett sima titkosítatlan HTTP is, a VPNFilter pedig többek között éppen ezt használja ki.
BÁR AZ FBI MÁR KÉT HETE LEKAPCSOLTA AZ EGYIK SZERVERT, AMELYRŐL A BOTNETET IRÁNYÍTOTTÁK, AZ TOVÁBBRA IS AKTÍV, VAGYIS A FENYEGETÉS TOVÁBBRA IS FENNÁLL.
A kártevő sokkal több gyártót is modellt is érint, a Talos becslése szerint ezzel nagyjából 200 ezerrel több eszköz lehet fertőzött, vagyis összesen körülbelül 700 ezer. Itt az összes ismert érintett modell gyártónként, ha esetleg ilyen készüléke van, állítsa vissza a gyári alapbeállításokat, majd frissítse az eszközön futó rendszert, és persze mindig változtassa meg a gyári jelszót sajátra:
Asus:RT-AC66U
RT-N10
RT-N10E
RT-N10U
RT-N56U
RT-N66U
D-Link:DES-1210-08P
DIR-300
DIR-300A
DSR-250N
DSR-500N
DSR-1000
DSR-1000N
Huawei:HG8245
Linksys:E1200
E2500
E3000
E3200
E4200
RV082
WRVS4400N
Mikrotik:CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112
CRS125
RB411
RB450
RB750
RB911
RB921
RB941
RB951
RB952
RB960
RB962
RB1100
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5
Netgear:DG834
DGN1000
DGN2200
DGN3500
FVS318N
MBRN3000
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000
WNDR4300
WNDR4300-TN
UTM50
QNAP:TS251TS439
ProQTS szoftvert futtató további QNAP NAS eszközök
TP-Link:R600VPN
TL-WR741ND
TL-WR841N
Ubiquiti:NSM2
PBE M5
Upvel:egyelőre ismeretlen, melyik modellek érintettek
ZTE:ZXHN H108N
(Borítókép: Scott Eells / Bloomberg / Getty Images)