» »

Na pol milijona ukrajinskih usmerjevalnikov nastaja botnet nejasnega namena

Na pol milijona ukrajinskih usmerjevalnikov nastaja botnet nejasnega namena

Slo-Tech - Napadalci so z malwarom VPNFilter uspeli okužiti več kot pol milijona usmerjevalnikov znamk Linksys, MikroTik, Netgear in TP-Link v 54 državah, ugotavljajo raziskovalci iz Ciscove enote Talos Intelligence Group. Po njihovem mnenju gre za pripravo terena za usklajen napad na Ukrajino, ki ga snuje organizirana skupina z državno pomočjo. Sumijo, da gre za Rusijo, saj je del kode enak kot v virusu BlackEnergy, ki je v letih 2015 in 2016 hromil ukrajinsko elektroenergetsko omrežje. Odgovornosti za tedanji napad ni prevzel nihče, ameriški Oddelek za domovinsko varnost pa je obtožil Rusijo. Prav tako je bila Rusija obtožena napada NotPetya, ki se je začel lani v Ukrajini in kmalu pustošil po tudi drugod.

VPNFilter je torej zgradil velik botnet pol milijona stalno v internet povezanih naprav, med katerimi so zlasti internetni usmerjevalniki. Pri tem ni uporabljal nobene nove, nepoznane (zero-day) ranljivosti, temveč že dokumentirane luknje, ki pač še niso povsod zakrpane. Botnet ni nov, saj je začel nastajati že leta 2016, je pa v zadnjih tednih okrepil svojo aktivnost in zrasel, osredotočal pa se je na ukrajinske naprave. Trenutno še ni jasen njegov namen, saj še ni sprožil kakšnega večjega napada, zato lahko o ozadju le špekuliramo. Pojavljajo se ugibanja, da utegne virus udariti v soboto, ko bo v Kijevu potekal finale evropske nogometne lige prvakov ali 27. junija na predvečer dneva ustavnosti; na slednji datum je lani udarila tudi NotPetya.

VPNFilter je eden izmed bolj dodelanih virusov, ki ima tri stopnje. Prva stopnja okuži napravo, odstraniti pa je ni mogoče niti z običajnim ponovim zagonom. Druga stopnja, ki se ne ohrani pri ponovnih zagonih, a jo lahko prva stopnja vnovič prenese z interneta, vsebuje ustrezne nastavke in infrastrukturo za tretjo stopnjo, ki komunicira z nadzornimi strežniki, prestreza internetni promet in proži napade. VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.



25 komentarjev

Markoff ::

Uf, pri Novičoku so politiki obtožili Rusijo za napad s konkretnim strupom, preden je tega sploh potrdil certificiran laboratorij. Sedaj se obtožuje že kar vnaprej, na zalogo.

Stinks of preemptive strikes.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

filipk ::

Zgodovina sprememb…

  • spremenil: filipk ()

Markoff ::

filipk je izjavil:

Nove informacije:
https://it.slashdot.org/story/18/05/23/...

Yey, good guys FTW! Zdaj bodo pa naši uporabili to omrežje za dobre namene in skriplali Rossijo v času nogometnega SP. Not to worry, it's all about a good cause.

Kibervojskovanje, v katerem ne bi smeli izbirati strani, ker nas bodo spekli v vsakem primeru.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Izi ::

Zanimivo, Asus routerji, ki so med najbolj razširjenimi v Evropi so pa očitno imuni na hackerske ugrabitve.

poweroff ::

Niso... samo ranljivost morda še ni bila najdena ali pa (še) implementirana samodejna okužba.
sudo poweroff

3p ::

Izi je izjavil:

Zanimivo, Asus routerji, ki so med najbolj razširjenimi v Evropi so pa očitno imuni na hackerske ugrabitve.


Mogoče, ampak ne dolgo nazaj gotovo ni bilo tako: https://arstechnica.com/information-tec.... Verjento na precejšnem številu še teče takratni firmware.

Zgodovina sprememb…

  • spremenilo: 3p ()

Dr_M ::

Izi je izjavil:

Zanimivo, Asus routerji, ki so med najbolj razširjenimi v Evropi so pa očitno imuni na hackerske ugrabitve.



Tudi ce se bo kaj naslo, bo zakrpani po hitrem postopku. Ja, imajo ultimat pri fcc. Zato kupujem samo se asuse.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

pisanica ::

Poklikal in prebral sem vse povezave v članku, a nisem zasledil, kako ugotovim, ali je moj usmerjevalnik okužen.

Ali kdo ve, kako lahko ugotovim okužbo?
Ali bo Cisco StealthWatch free trial našel to?

Markoff ::

Morda kdo ve, ali Telemach skrbi za patchiranje svojih routerjev, ki jih nudi svojim strankam v okviru naročniških paketov? Glede na to, da dejansko imajo remote dostop do njih (zdaj pa upaj, da to počnejo res samo na podlagi klica stranke)...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

JanBrezov ::

pisanica je izjavil:

Poklikal in prebral sem vse povezave v članku, a nisem zasledil, kako ugotovim, ali je moj usmerjevalnik okužen.


Tudi mene to zanima. Našel sem sicer generični nasvet, da naj se preveri DNS nastavitve. Če je kaj takega, kar zagotovo nisi sam nastavil ali gre za neznane naslove, potem je močen sum za malware na usmerjevalniku.

pixelzgaming ::

Known Affected Devices


The following devices are known to be affected by this threat. Based on the scale of this research, much of our observations are remote and not on the device, so it is difficult to determine specific version numbers and models in many cases. It should be noted that all of these devices have publicly known vulnerabilities associated with them.

Given our observations with this threat, we assess with high confidence that this list is incomplete and other devices could be affected.

Linksys Devices:

E1200
E2500
WRVS4400N

Mikrotik RouterOS Versions for Cloud Core Routers:

1016
1036
1072

Netgear Devices:

DGN2200
R6400
R7000
R8000
WNR1000
WNR2000

QNAP Devices:

TS251
TS439 Pro

Other QNAP NAS devices running QTS software

TP-Link Devices:

R600VPN
PC: Ryzen 7 3700X | 32GB DDR4 | 500GB NVMe | 10TB HDD | RX 6800 XT | W10
Server: i5 6500 | 32GB DDR4 | 256GB SSD | 50TB HDD | Proxmox VE
Telefon: Samsung S23 Ultra | iPhone 16 Pro Avto: Megane MK4 GTLine

Zgodovina sprememb…

MrStein ::

The known devices affected by VPNFilter are Linksys, MikroTik, NETGEAR and TP-Link networking equipment in the small and home office (SOHO) space, as well at QNAP network-attached storage (NAS) devices.


VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.


Ukrajinska internetna hrbtenica je sestavljena iz ruterčkov za 50 EUR?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Mirai botnet je bil sestavljen in kamer za 30 EUR, pa je na kolena spravil spletne gigante.
sudo poweroff

Ales ::

To že, ampak v članku je napisano kot da bi prav brickanje teh home routerjev bil eden od načinov za ohromitev ukrajinske internetne hrbtenice... kar ni. Uporaba za DDOS (in marsikaj drugega, manj očitnega) pa bi seveda lahko bila kar velika težava.

SeMiNeSanja ::

Da lastniki Draytek-ov nebi slučajno preveč mirno spali:

More than 800K DrayTek routers vulnerable to DNS reprogramming attack

DrayTek to Issue New Firmware After Zero-Day Attacks

Pa še niti ni tako dolgo, ko je bila še ena kritična ranljivost na Draytek-ih, tako da ne glede na to, kaj za en model imate, preverite če obstaja novejši firmware in škatle posodobite.

Blisk ::

Mislim, WTF kak članek. Kaj res mislite, da so rusi tako nesposobni in neumni, da bodo puščali sledi za sabo.
Po vsej verjetnosti je za tem CIA ali NSA, ki hoče na vsak način zadevo podtakniti rusom. Zdaj delajo čisto vse, da bi uničili FIFA world cup v Rusiji.

Zgodovina sprememb…

  • predlagalo izbris: Bellzmet ()

Spock83 ::

MrStein je izjavil:

The known devices affected by VPNFilter are Linksys, MikroTik, NETGEAR and TP-Link networking equipment in the small and home office (SOHO) space, as well at QNAP network-attached storage (NAS) devices.


VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.


Ukrajinska internetna hrbtenica je sestavljena iz ruterčkov za 50 EUR?


Haha tudi jaz sem tukaj čudno pogledal, k osem prebral.

Also ni D-linka na listi.

klinker ::

poweroff ::

Kaj to so okužene routerje "popatchali" na daljavo, zdaj pa je treba samo še hard reset narediti? :))
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

Kaj to so okužene routerje "popatchali" na daljavo, zdaj pa je treba samo še hard reset narediti? :))

Ne, zasegli so domeno, od koder si je nalagal dodatni malware.

Osnovni del kode je 'zapečen' in se ga boš znebil šele z patchanjem.
Se pa boš znebil 2. in 3. stopnje okužbe z rebootom.

Poleg tega bo router ob rebootu skušal kontaktirat zaseženo domeno, kar bi lahko providerji zaznali in svoje stranke potem ustrezno opozorili, da naj si čim prej naložijo kakšen patch.

pisanica ::

Zgodba se nadaljuje.
Ogroženih je precej več modelov naprav kot so prvotno poročali. Eden od modulov omogoča "man-in-the-middle" napad na HTTPS. Na ta način napadalec lahko bere in spreminja promet, ki gre preko naprave.

Naprava okužena s 1. stopnjo, ki je običajni reset ne odstrani, ostane ranljiva za ponovno okužbo z 2. in 3. stopnjo.

Povprečni uporabnik okužbo težko zazna, zato strokovnjaki svetujejo preventivno "čiščenje" naprave z resetiranjem na tovarniške nastavitve in ponovnim konfiguriranjem naprave.

Povezava na poročilo https://blog.talosintelligence.com/2018...

b3D_950 ::

Kako pride do okužbe?
Zdaj ko je mir, jemo samo krompir.

SeMiNeSanja ::

pisanica je izjavil:


Povezava na poročilo https://blog.talosintelligence.com/2018...

Na dnu poročila je tudi osvežen seznam prizadetih proizvodov/proizvajalcev.
Sveže dodan je Ubiquity. Sumijo, da je prizadetih več modelov, kot navedena dva, glede na to, da se uporablja isti software....

MrStein ::

OpenWRT je na spisku?
(tam ga ni, čeprav eni našteti modeli bazirajo na njem)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Ales ::

MrStein je izjavil:

OpenWRT je na spisku?
(tam ga ni, čeprav eni našteti modeli bazirajo na njem)

Verjetno bi bilo bolje pogledati neposredno na njihovo spletno stran, sicer pa je vprašanje preveč splošno, vsaj verzijo moraš vedeti.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na pol milijona ukrajinskih usmerjevalnikov nastaja botnet nejasnega namena

Oddelek: Novice / Varnost
259346 (5004) Ales
»

Po Ukrajini in Rusiji pustoši BadRabbit

Oddelek: Novice / Kriptovalute
158740 (6934) MrStein
»

Avtorji stare Petye objavili šifrirne ključe

Oddelek: Novice / Varnost
4113317 (10904) poweroff
»

O virusu NotPetya še manj jasnega

Oddelek: Novice / Kriptovalute
59244 (8379) SeMiNeSanja
»

Petya prizadela vsaj 65 držav

Oddelek: Novice / Kriptovalute
1911609 (9873) opeter

Več podobnih tem