500.000 routerů napadl malware, FBI i výrobci doporučují restart

Už od roku 2016 se šíří malware VPNFilter, který napadá routery a je až nepříjemný tím, kolik věcí může způsobit. Doposud bylo jeho šíření jen pomalé, ale v posledních týdnech začalo jeho zastoupení nabírat na síle. Např. Ukrajina má s podobným malwarem bohaté zkušenosti, neboť na konci roku 2016 zde malware BlackEnergy způsobil problémy s dodávkami elektřiny. VPNFilter z BlackEnergy vychází, má s ním některé shodné části a zatím není jasné, zda i stejné autory a stejné cíle. Faktem nicméně je, že se odhaduje napadení zhruba půl milionu routerů v 54 různých zemích po celém světě. Cisco tak vydalo varovná hlášení, přestože ještě nedokončilo studium malwaru.

 

 

Napadá některé routery společností Linksys, MikroTik, Netgear, TP-Link a NASy firmy QNAP. Malware má několik stupňů, přičemž ten první má za úkol zjistit IP adresy potřebných serverů tím, že si stáhne obrázek ze serveru Photobucket, v jehož EXIF datech (GPS souřadnicích) najde tuto adresu. Pokud by to nefungovalo, zkusí to ještě na jiném serveru ToKnowAll. Pokud i to selže, otevře komunikační kanál, který počká na speciální paket od útočníků. První stupeň přežije i restart routeru.

 

Naproti tomu druhý stupeň už restart routeru nepřežije a zruší jej. Tento stupeň pak provádí dané instrukce, které malware dostane, což může být sbírání dat nebo spuštění téměř libovolných příkazů. Zjistilo se, že umožňuje "sebedestrukci" routeru přemazáním jeho firmwaru, čímž útočníci mohou totálně ochromit velkou část infrastrukturu napadené oblasti.

 

 

Třetí stupeň tvoří v podstatě pluginy pro ten druhý. Prozatím se ví o dvou. Ten první prochází pakety, které jdou přes zařízení, ten druhý pak zajišťuje komunikaci přes anonymní síť Tor. Předpokládá se, že pluginů bude existovat více než jen tyto dva. Pokud jde o dosud známá zařízení, která jsou malwarem napadána, zde je jejich výčet:

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS for Cloud Core Routers: verze 1016, 1036 a1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• QNAP NASy se softwarem QTS
  
• TP-Link R600VPN

Výrobci těchto zařízení a FBI výrazně doporučují běžný restart routeru, neboť ten smaže z paměti všechno z druhého a třetího stupně. Router pak bude i nadále infikovaný, ale nebude mít spuštěny procesy, které mohou mít nedozírné následky (pokud je první stupeň opětovně nenainstaluje). Stále je zde ale infekce v podobě prvního stupně, kterou je možné odstranit teprve úplným restartem routeru do továrního nastavení, kvůli čemuž přijdete i o své vytvořené sítě a budete je muset znovu nastavit. Dalším doporučením je pochopitelně aktualizace firmwaru a vypnutí vzdáleného přístupu k routeru.

 

Zdroj: arstechnica.com, talosinteligence.com