Perfidny atak na routery znanych firm

W ostatnich dniach routery znanych firm takich jak TP-Link, Mikrotik, Linksys czy Netgear zostały zaatakowane przez cyberprzestępców wykorzystujących aplikację VPNFilter. Do ataku nie doszło nagle – użytkownicy wspomnianych urządzeń byli obserwowani od pewnego czasu w celu zgromadzenia jak największej ilości danych. Po przygotowaniach atak nie okazał się zbyt problematyczny.

VPNFilter określić można luką – o jej istnieniu wiedzieli niektórzy producenci, na przykład QNAP (routery tej firmy również zostali zaatakowani) i z dużym wyprzedzeniem wdrażali odpowiednie łatki. Niestety mimo starań firmy nie wszyscy użytkownicy zainstalowali oprogramowanie wydane po aktualizacji lub też niewłaściwie skonfigurowali swoje routery. Sposób odkryty przez firmę jest bardzo ogólny i polega przede wszystkim na maksymalizacji bezpieczeństwa routerów i tworzonych przez nie sieci. Wkrótce powinny pojawić się bardziej precyzyjne rozwiązania, skierowane bezpośrednio na zagrażającą bezpieczeństwu aplikację.

Pierwsze informacje o VPNFilter dotarły do wiadomości za pomocą informatyków z Cisco. Nie wiadomo jeszcze zbyt dużo, trwają testy, które mają pomóc określić naturę VPNFilter. Aplikacja okazała się „odporna” na zakończenie procesów w wyniku zresetowania routera, więc prosta metoda na szybkie pozbycie się postępów nie działa, a nawet pogarsza sytuację. Zresetowanie routera przyspiesza pobieranie i instalację złośliwych plików, dzięki czemu VPNFilter zyskuje jeszcze większe możliwości.

Wiadomo, że VPNFilter kieruje swoje działania w stronę routerów różnych firm oraz innego rodzaju urządzeń sieciowych. Infekcja uruchamiana jest przez niewielki i trudny do wykrycia moduł. Modułów takich jest więcej – teoretycznie wykluczenie jednego z nich nie powoduje pozbycia się pozostałych.

Jeśli dane urządzenie sieciowe zostanie zainfekowane, będzie próbowało jak najszybciej pobrać jak najwięcej danych, m.in. niezbędnych mu wtyczek. Za pomocą modułów może udostępnić kontrolę nad urządzeniem zewnętrznym użytkownikom oraz wykonywać polecenia z zewnątrz. W chwili obecnej VPNFilter groźny jest wyłącznie dla niektórych routerów, więc zabezpieczając się, trzeba przede wszystkim zweryfikować zagrożenie dla konkretnego modelu. Chociaż informatycy pracują nad zrozumieniem metody działania aplikacji, na razie nie są w stanie np. udostępnić żadnego programu testowego, by każdy mógł sprawdzić bezpieczeństwo posiadanego routera. Popularne programy zabezpieczające również póki co nie umieją wykryć istnienia plików VPN Filter na dysku twardym urządzenia.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.