VPNFilter – ozbiljnije je nego što smo mislili

Preko 700 000 rutera različitih proizvođača ugroženo!

VPNFilter – ozbiljnije je nego što smo mislili

Nedavno smo pisali o VPNFilteru, novom malveru sa destruktivnim osobinama koji napada rutere i NAS uređaje. Kako se prvobitno mislilo, u pitanju su bili samo uređaji proizvođača Linksys, MikroTik, Netgear, TP-Link i QNAP. Zaraženo je 500.000 uređaja u 54 države. S obzirom na to da je najveća aktivnost zabeležena u Ukrajini, mnogi istraživači su verovali da iza napada stoji ruska hakerska grupa Fancy Bear (poznata i pod nazivima APT28, Pawn Storm, Sofacy Group, Sednit, STRONTIUM itd.) koja radi za rusku vojsku. Rusija poriče učešće u ovim napadima.

Preporuke proizvođača i FBI su bile uglavnom da se restartuju ruteri i/ili vrate na fabrička podešavanja, uz standardne preporuke o urednom ažuriranju softvera. Međutim, situacija je ozbiljnija nego što smo prvobitno mislili. Najpre treba reći da nisu samo ruteri gore pomenutih proizvođača ugroženi, već je lista značajno duža. Tu se nalaze ruteri proizvođača Asus, D-Link, Huawei, Ubiquiti, UPVEL, ZTE, LinkSys, MikroTik, NetGear, TP-Link i QNAP. To znači da je ugroženo još oko 200.000 uređaja, pa ukupno dolazimo do cifre od 700.000 ranjivih rutera.

Dalje, VPNFIlter može da izvede Man-in-the-Middle napade, odnosno da se postavi između 2 endpointa (servera na kome se nalazi sajt i browsera korisnika) i da presretne komunikaciju između njih. To znači da ima mogućnost da menja sadržaj datog saobraćaja, kao i mogućnost krađe kredencijala i drugih osetljivih informacija.

Ovaj malver ima sposobnost da od bezbedne HTTPS napravi nebezbednu HTTP konekciju kako bi izbegao svaku vrstu enkripcije. Napadači mogu da menjaju sav saobraćaj koji prolazi kroz ruter. To praktično znači da mogu da izmene bankovni račun žrtve tako da sve izgleda normalno, a da istovremeno isisaju sav novac sa njega.

Ko je meta napada?

Hakeri selektivno distribuiraju malver, odnosno pažljivo biraju mete. Fokusirani su na traženje tačno određenih informacija, kao što su kredencijali (korisnička imena i lozinke).

Još uvek ne postoji dovoljno detalja o napadima, osim da su mete pažljivo odabrane i da su napadi veoma sofisticirani. VPNFilter ima sposobnost da sakrije tragove, odnosno može da downloaduje modul samouništenja koji briše sve na zaraženom uređaju, a zatim ga restartuje.

Kako izbeći VPNFilter?

Najbolje je da se ne zamerate Rusima. Šalu na stranu, u slučaju infekcije ovim malverom, ostaju ranije preporuke - potrebno je da resetujete ruter. Međutim, to vas ne štiti od eventualnih budućih napada. VPNFilter ima 3 faze, a kao što smo prethodni put objasnili, resetovanje uređaja briše samo drugu i treću. Prva faza (backdoor) ne može da se neutrališe resetovanjem, što znači da ruter ostaje podložan novoj infekciji.

Izvor: Hashed Out