Rosyjskie malware zainfekowało setki tysięcy routerów na całym świecie

Rosyjskie malware zainfekowało setki tysięcy routerów na całym świecie

Cisco opublikowało informację o nowym zagrożeniu, które nazwano VPNFilter. Według specjalistów malware zdołało zainfekować co najmniej  500000 urządzeń w 54 krajach.

Nowo odkryte zagrożenie obiera za cel routery takich marek jak Linksys, Netgear, TP-Link i MikroTik. Dodatkowo zainfekowane mogę zostać również urządzenia NAS. Malware po aktywowaniu może doprowadzić nawet do zablokowania pracy urządzeń i odcięcia setek tysięcy ludzi od internetu. VPNFilter po cichu rozprzestrzenia się co najmniej od 2016 roku. Cisco podkreśla, że malware nie korzysta z konkretnego exploita, zamiast tego do rozprzestrzeniania się wykorzystuje znane luki w zabezpieczeniach konkretnych, indywidualnych produktów. Jest to możliwe ze względu na opieszałość użytkowników w aktualizacji oprogramowania urządzeń. Dodatkowo wiele osób w ogóle nie posiada zabezpieczeń przed wirusami. Cisco uważa, że VPNFilter może być użyty w trzech celach. Pierwszym jest przeprowadzenia ataków za pośrednictwem urządzeń ofiar. Druga możliwość to zbieranie danych z zainfekowanych urządzeń. Trzecia opcja to odcięcie ofiar od internetu poprzez wbudowaną komendę "kill". Żadna z tych opcji nie jest pożądana przez użytkowników, a każda z nich może mieć ogromne konsekwencje, gdy zostanie wykorzystana na ogromnej ilości urządzeń.

VPNFilter to bardzo niebezpieczne zagrożenie, które zainfekowało ogromną ilość podpiętych do internetu urządzeń

Niestety odkrycie zagrożenia wcale nie sprawia, że łatwiej będzie z nim walczyć. Cisco opublikowało informację o zagrożeniu jeszcze przed zakończeniem swoich badań zagrożenia. Krok taki podyktowany był nagłym skokiem aktywności malware w infekowaniu nowych urządzeń 8 maja tego roku. Niemal wszystkie nowe infekcje z tego dnia wykryte zostały na Ukrainie. Kolejną wysoką aktywność zaobserwowano kilka dni później, w związku z czym Cisco postanowiło nawet bez pełnych informacji wydać ostrzeżenie. "Walka z tym zagrożeniem jest ekstremalnie trudna ze względu na naturę zainfekowanych urządzeń. Większość z nich jest podłączona bezpośrednio do internetu, bez żadnych zabezpieczeń pomiędzy nimi a atakującym. Wszystko z powodu znanych dziur w zabezpieczeniach i samych użytkowników, którzy nie dbają o aktualizacje urządzeń" - mówi pracownik Cisco. Według badaczy twórcy zagrożenia mogą być powiązani z rosyjskim rządem.

Póki co lista zagrożonych urządzeń obejmuje:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Pozostałe QNAP NAS z QTS
  • TP-Link R600VPN

Aby być pewnym, że Wasze urządzenie jest bezpieczne, najlepiej przeprowadzić przywracanie do ustawień fabrycznych oraz zainstalować najnowszy firmware. VPNFilter w przeciwieństwie do większości zagrożeń tego typu nie jest wrażliwy na zwykły restart urządzenia.

Komentarze do: Rosyjskie malware zainfekowało setki tysięcy routerów na całym świecie