Sokkal durvább az orosz kártevő, mint gondolták, az ön routere is fertőzött lehet

Két hete mi is megírtuk, hogy biztonsági kutatók felfedeztek egy kártevőt, amellyel vélhetően az orosz kormánynak dolgozó hekkerek 54 országban több mint félmillió routert fertőztek meg. Az eredeti felfedezést tevő Cisco Talos most bejelentette, hogy a veszély még sokkal nagyobb, mint eredetileg gondolták, ráadásul a kártevő jóval több routertípusra juthatott el, mint először hitték, és a világ legtöbb nagy routergyártója érintett – írja az Ars Technica.

A ZTE egyik routerét, a ZXHN H108N nevűt például az Invitel használta, míg a Huawei-féle HG8245 a Telekom optikai hálózatán fordul elő.

A VPNFilter nevű kártevő egyik eddig ismeretlen képessége, hogy egy újonnan felfedezett modulja a fertőzött routerekek áthaladó adatforgalomba bármilyen csomagot bele tud ültetni, így az adott hálózaton lévő összes eszközt meg tudja fertőzni; ezt a támadást pedig képest kifejezetten egy-egy eszköztípusra szabni. Ugyanezzel a modullal észrevétlenül módosítani lehet a a weboldalakról érkező tartalmakat is, illetve el tudja csípni a hálózaton küldött jelszavakat és más érzékeny adatokat. Mindezt az oldalak TLS titkosítása (vagyis a HTTPS) lenne hivatott megakadályozni, de a VPNFilter több esetben ezt is meg tudja kerülni, pontosabban rávenni az adott oldalt, hogy titkosítatlan kapcsolatot használjon helyette.

Mindez azt jelenti, hogy a VPNFilter jóval több célpontra lő, mint eddig gondolták. A Talos első jelentése azt gyanította, hogy a felhasználók eszközeinek megfertőzése csak eszköz volt arra, hogy az így kiépített botnettel a valódi célpontokat támadhassák a jelek szerint orosz hekkerek, konkrétan Ukrajnát. Most azonban úgy tűnik, maguk a mezei felhasználók is célpontok.  Craig Williams, a Talos egyik vezető elemzője szerint a támadók gyakorlatilag mindent képesek módosítani, ami a fertőzött eszközön áthalad, például el tudják hitetni a felhasználóval, hogy a bankszámlája egyenlege változatlan, miközben valójában megcsapolják a rajta tartott pénzt.

A támadás ellen nem mindenki védtelen, mert vannak például olyan biztonsági beállítások, amelyekkel megakadályozható, hogy a kártevő meg tudja kerülni az oldalak titkosítását, de Ukrajnában, ahol a legtöbb fertőzött eszköz található, nem ez a jellemző. Ugyanakkor nyugat-európai oldalaknál se ritka, hogy még mindig elérhető a HTTPS-változat mellett sima titkosítatlan HTTP is, a VPNFilter pedig többek között éppen ezt használja ki.

A kártevő sokkal több gyártót is modellt is érint, a Talos becslése szerint ezzel nagyjából 200 ezerrel több eszköz lehet fertőzött, vagyis összesen körülbelül 700 ezer. Itt az összes ismert érintett modell gyártónként, ha esetleg ilyen készüléke van, állítsa vissza a gyári alapbeállításokat, majd frissítse az eszközön futó rendszert, és persze mindig változtassa meg a gyári jelszót sajátra:

TP-Link:

• R600VPN
• TL-WR741ND
• TL-WR841N 

D-Link:

• DES-1210-08P 
• DIR-300 
• DIR-300A 
• DSR-250N 
• DSR-500N 
• DSR-1000 
• DSR-1000N 

Huawei:

• HG8245 

ZTE:

• ZXHN H108N

Asus:

• RT-AC66U 
• RT-N10 
• RT-N10E 
• RT-N10U 
• RT-N56U 
• RT-N66U 

Linksys:

• E1200
• E2500
• E3000 
• E3200 
• E4200 
• RV082
• WRVS4400N

Netgear:

• DG834 
• DGN1000 
• DGN2200
• DGN3500 
• FVS318N 
• MBRN3000 
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 
• WNR4000
• WNDR3700
• WNDR4000 
• WNDR4300 
• WNDR4300-TN 
• UTM50 

Mikrotik:

• CCR1009 
• CCR1016
• CCR1036
• CCR1072
• CRS109 
• CRS112 
• CRS125 
• RB411 
• RB450 
• RB750 
• RB911 
• RB921 
• RB941 
• RB951 
• RB952 
• RB960
• RB962 
• RB1100 
• RB1200 
• RB2011 
• RB3011
• RB Groove 
• RB Omnitik 
• STX5

QNAP:

• TS251
• TS439 Pro
• QTS szoftvert futtató további QNAP NAS eszközök

Ubiquiti:

• NSM2 
• PBE M5 

Upvel:

egyelőre ismeretlen, melyik modellek érintettek

(Borítókép:  Scott Eells / Bloomberg / Getty Images)