VPNFilter botnet

A Cisco Talos Intelligence Group által felfedezett VPNFilter nevű káros szoftver a világ 54 országában több mint 500 ezer SOHO (small office, home office - kisvállalati és otthoni) router megfertőzéséért tehető felelőssé. A szakértők korábbi feltételezése szerint a fertőzést az orosz titkosszolgálatoknak dolgozó hacker-ek hajtották végre, és vélhetően az elsődleges cél egy Ukrajna elleni kibertámadás előkészítése volt. Az FBI a kutatók eredményei nyomán leállították azt a szervert, amely a fertőzések terjesztéséért volt felelős.

Azonban a 2018. június 6-án nyilvánosságra került új információk alapján kijelenthető, hogy a feltört eszközök tulajdonosai és persze az adataik óriási veszélyben vannak.

A kutatók az elemzés során megállapították, hogy minden érintett eszköz esetében azonosítottak korábban olyan sérülékenységet, amelynek segítségével lehetséges az eszközök megfertőzése, ugyanakkor a fertőzés pontos módszere ez idáig nem ismert. A gyártók az ismert sérülékenységek javítását célzó biztonsági frissítéseket tesznek elérhetővé a felhasználók számára, amelyek telepítése a sérülékenységek javítását szolgálja. Az eszközök szoftverének a frissítésével, valamint a javítócsomagok telepítésével a fertőzés lehetősége csökkenthető, adott esetben megelőzhető.

A támadónak a router-hez történő sikeres hozzáférését követően az eszköz egy képmegosztó oldalról (Photobucket) próbálja meg letölteni a káros szoftver első fázisát. Amennyiben ez sikertelen, akkor megismétli a műveletet egy tartalék – regisztrált domain – segítségével. 
A második és harmadik fázis adja a támadás gerincét, amely az igazi veszélyt jelenti az internetezőkre:

  • egy C&C szervertől parancsokat fogad és hajt végre, amely kommunikációhoz a Tor hálózatot használja
  • az egyik modul képes elfogni a router-en keresztül haladó HTTP forgalmat, és azt kimenteni egy állományba
  • módosíthatja a forgalmat úgy, hogy a biztonságos HTTPS protokollról a jelszavak és más bizalmas információk átvitelére – adatvédelmi szempontból - alkalmatlan HTTP protokollra változtassa a forgalmat ott, ahol erre lehetőség van
  • képes saját magát megsemmisíteni, eltüntetni minden nyomot, ami az egykori jelenlétére utalna, viszont ezt oly módon éri el, hogy ezzel használhatatlanná teszi a router-t
  • megvan a képessége, hogy rövid, titkosított csomagokat figyeljen meg, és abból kinyerje a felhasználóneveket és jelszavakat

Javaslatok: 

  • Gyári alapbeállítások visszaállítása ún. factory reset segítségével (a 2. és 3. fázis eltávolítása érdekében).
  • A router szoftverének frissítése.

A jól ismert, Magyarországon is népszerű gyártók otthoni eszközei közül az alábbiak tulajdonosainak kell a lehető leghamarább frissíteni a router-eiket:

  • Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
  • D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
  • Huawei: HG8245
  • Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
  • Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5
  • Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
  • TP-Link: R600VPN, TL-WR741ND, TL-WR841N
  • Ubiquiti: NSM2, PBE M5
  • ZTE: ZXHN H108N
  • Upvel eszközök: ismeretlen modellek
  • QNAP: TS251, TS439 Pro, QTS software-t futtató egyéb QNAP NAS eszközök