Slo-Tech - Napadalci so z malwarom VPNFilter uspeli okužiti več kot pol milijona usmerjevalnikov znamk Linksys, MikroTik, Netgear in TP-Link v 54 državah, ugotavljajo raziskovalci iz Ciscove enote Talos Intelligence Group. Po njihovem mnenju gre za pripravo terena za usklajen napad na Ukrajino, ki ga snuje organizirana skupina z državno pomočjo. Sumijo, da gre za Rusijo, saj je del kode enak kot v virusu BlackEnergy, ki je v letih 2015 in 2016 hromil ukrajinsko elektroenergetsko omrežje. Odgovornosti za tedanji napad ni prevzel nihče, ameriški Oddelek za domovinsko varnost pa je obtožil Rusijo. Prav tako je bila Rusija obtožena napada NotPetya, ki se je začel lani v Ukrajini in kmalu pustošil po tudi drugod.
VPNFilter je torej zgradil velik botnet pol milijona stalno v internet povezanih naprav, med katerimi so zlasti internetni usmerjevalniki. Pri tem ni uporabljal nobene nove, nepoznane (zero-day) ranljivosti, temveč že dokumentirane luknje, ki pač še niso povsod zakrpane. Botnet ni nov, saj je začel nastajati že leta 2016, je pa v zadnjih tednih okrepil svojo aktivnost in zrasel, osredotočal pa se je na ukrajinske naprave. Trenutno še ni jasen njegov namen, saj še ni sprožil kakšnega večjega napada, zato lahko o ozadju le špekuliramo. Pojavljajo se ugibanja, da utegne virus udariti v soboto, ko bo v Kijevu potekal finale evropske nogometne lige prvakov ali 27. junija na predvečer dneva ustavnosti; na slednji datum je lani udarila tudi NotPetya.
VPNFilter je eden izmed bolj dodelanih virusov, ki ima tri stopnje. Prva stopnja okuži napravo, odstraniti pa je ni mogoče niti z običajnim ponovim zagonom. Druga stopnja, ki se ne ohrani pri ponovnih zagonih, a jo lahko prva stopnja vnovič prenese z interneta, vsebuje ustrezne nastavke in infrastrukturo za tretjo stopnjo, ki komunicira z nadzornimi strežniki, prestreza internetni promet in proži napade. VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.
Novice » Varnost » Na pol milijona ukrajinskih usmerjevalnikov nastaja botnet nejasnega namena
Markoff ::
Uf, pri Novičoku so politiki obtožili Rusijo za napad s konkretnim strupom, preden je tega sploh potrdil certificiran laboratorij. Sedaj se obtožuje že kar vnaprej, na zalogo.
Stinks of preemptive strikes.
Stinks of preemptive strikes.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
filipk ::
Nove informacije:
https://it.slashdot.org/story/18/05/23/...
https://it.slashdot.org/story/18/05/23/...
Zgodovina sprememb…
- spremenil: filipk ()
Markoff ::
Nove informacije:
https://it.slashdot.org/story/18/05/23/...
Yey, good guys FTW! Zdaj bodo pa naši uporabili to omrežje za dobre namene in skriplali Rossijo v času nogometnega SP. Not to worry, it's all about a good cause.
Kibervojskovanje, v katerem ne bi smeli izbirati strani, ker nas bodo spekli v vsakem primeru.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Izi ::
Zanimivo, Asus routerji, ki so med najbolj razširjenimi v Evropi so pa očitno imuni na hackerske ugrabitve.
poweroff ::
Niso... samo ranljivost morda še ni bila najdena ali pa (še) implementirana samodejna okužba.
sudo poweroff
3p ::
Zanimivo, Asus routerji, ki so med najbolj razširjenimi v Evropi so pa očitno imuni na hackerske ugrabitve.
Mogoče, ampak ne dolgo nazaj gotovo ni bilo tako: https://arstechnica.com/information-tec.... Verjento na precejšnem številu še teče takratni firmware.
Zgodovina sprememb…
- spremenilo: 3p ()
Dr_M ::
Zanimivo, Asus routerji, ki so med najbolj razširjenimi v Evropi so pa očitno imuni na hackerske ugrabitve.
Tudi ce se bo kaj naslo, bo zakrpani po hitrem postopku. Ja, imajo ultimat pri fcc. Zato kupujem samo se asuse.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
pisanica ::
Poklikal in prebral sem vse povezave v članku, a nisem zasledil, kako ugotovim, ali je moj usmerjevalnik okužen.
Ali kdo ve, kako lahko ugotovim okužbo?
Ali bo Cisco StealthWatch free trial našel to?
Ali kdo ve, kako lahko ugotovim okužbo?
Ali bo Cisco StealthWatch free trial našel to?
Markoff ::
Morda kdo ve, ali Telemach skrbi za patchiranje svojih routerjev, ki jih nudi svojim strankam v okviru naročniških paketov? Glede na to, da dejansko imajo remote dostop do njih (zdaj pa upaj, da to počnejo res samo na podlagi klica stranke)...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
JanBrezov ::
Poklikal in prebral sem vse povezave v članku, a nisem zasledil, kako ugotovim, ali je moj usmerjevalnik okužen.
Tudi mene to zanima. Našel sem sicer generični nasvet, da naj se preveri DNS nastavitve. Če je kaj takega, kar zagotovo nisi sam nastavil ali gre za neznane naslove, potem je močen sum za malware na usmerjevalniku.
pixelzgaming ::
Known Affected Devices
The following devices are known to be affected by this threat. Based on the scale of this research, much of our observations are remote and not on the device, so it is difficult to determine specific version numbers and models in many cases. It should be noted that all of these devices have publicly known vulnerabilities associated with them.
Given our observations with this threat, we assess with high confidence that this list is incomplete and other devices could be affected.
Linksys Devices:
E1200
E2500
WRVS4400N
Mikrotik RouterOS Versions for Cloud Core Routers:
1016
1036
1072
Netgear Devices:
DGN2200
R6400
R7000
R8000
WNR1000
WNR2000
QNAP Devices:
TS251
TS439 Pro
Other QNAP NAS devices running QTS software
TP-Link Devices:
R600VPN
PC: Ryzen 7 3700X | 32GB DDR4 | 500GB NVMe | 10TB HDD | RX 6800 XT | W10
Server: i5 6500 | 32GB DDR4 | 256GB SSD | 50TB HDD | Proxmox VE
Telefon: Samsung S23 Ultra | iPhone 16 Pro Avto: Megane MK4 GTLine
Server: i5 6500 | 32GB DDR4 | 256GB SSD | 50TB HDD | Proxmox VE
Telefon: Samsung S23 Ultra | iPhone 16 Pro Avto: Megane MK4 GTLine
Zgodovina sprememb…
- spremenil: pixelzgaming ()
MrStein ::
The known devices affected by VPNFilter are Linksys, MikroTik, NETGEAR and TP-Link networking equipment in the small and home office (SOHO) space, as well at QNAP network-attached storage (NAS) devices.
VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.
Ukrajinska internetna hrbtenica je sestavljena iz ruterčkov za 50 EUR?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Mirai botnet je bil sestavljen in kamer za 30 EUR, pa je na kolena spravil spletne gigante.
sudo poweroff
Ales ::
To že, ampak v članku je napisano kot da bi prav brickanje teh home routerjev bil eden od načinov za ohromitev ukrajinske internetne hrbtenice... kar ni. Uporaba za DDOS (in marsikaj drugega, manj očitnega) pa bi seveda lahko bila kar velika težava.
SeMiNeSanja ::
Da lastniki Draytek-ov nebi slučajno preveč mirno spali:
More than 800K DrayTek routers vulnerable to DNS reprogramming attack
DrayTek to Issue New Firmware After Zero-Day Attacks
Pa še niti ni tako dolgo, ko je bila še ena kritična ranljivost na Draytek-ih, tako da ne glede na to, kaj za en model imate, preverite če obstaja novejši firmware in škatle posodobite.
More than 800K DrayTek routers vulnerable to DNS reprogramming attack
DrayTek to Issue New Firmware After Zero-Day Attacks
Pa še niti ni tako dolgo, ko je bila še ena kritična ranljivost na Draytek-ih, tako da ne glede na to, kaj za en model imate, preverite če obstaja novejši firmware in škatle posodobite.
Blisk ::
Mislim, WTF kak članek. Kaj res mislite, da so rusi tako nesposobni in neumni, da bodo puščali sledi za sabo.
Po vsej verjetnosti je za tem CIA ali NSA, ki hoče na vsak način zadevo podtakniti rusom. Zdaj delajo čisto vse, da bi uničili FIFA world cup v Rusiji.
Po vsej verjetnosti je za tem CIA ali NSA, ki hoče na vsak način zadevo podtakniti rusom. Zdaj delajo čisto vse, da bi uničili FIFA world cup v Rusiji.
Zgodovina sprememb…
- predlagalo izbris: Bellzmet ()
Spock83 ::
The known devices affected by VPNFilter are Linksys, MikroTik, NETGEAR and TP-Link networking equipment in the small and home office (SOHO) space, as well at QNAP network-attached storage (NAS) devices.
VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.
Ukrajinska internetna hrbtenica je sestavljena iz ruterčkov za 50 EUR?
Haha tudi jaz sem tukaj čudno pogledal, k osem prebral.
Also ni D-linka na listi.
poweroff ::
Kaj to so okužene routerje "popatchali" na daljavo, zdaj pa je treba samo še hard reset narediti?
sudo poweroff
SeMiNeSanja ::
Kaj to so okužene routerje "popatchali" na daljavo, zdaj pa je treba samo še hard reset narediti?
Ne, zasegli so domeno, od koder si je nalagal dodatni malware.
Osnovni del kode je 'zapečen' in se ga boš znebil šele z patchanjem.
Se pa boš znebil 2. in 3. stopnje okužbe z rebootom.
Poleg tega bo router ob rebootu skušal kontaktirat zaseženo domeno, kar bi lahko providerji zaznali in svoje stranke potem ustrezno opozorili, da naj si čim prej naložijo kakšen patch.
pisanica ::
Zgodba se nadaljuje.
Ogroženih je precej več modelov naprav kot so prvotno poročali. Eden od modulov omogoča "man-in-the-middle" napad na HTTPS. Na ta način napadalec lahko bere in spreminja promet, ki gre preko naprave.
Naprava okužena s 1. stopnjo, ki je običajni reset ne odstrani, ostane ranljiva za ponovno okužbo z 2. in 3. stopnjo.
Povprečni uporabnik okužbo težko zazna, zato strokovnjaki svetujejo preventivno "čiščenje" naprave z resetiranjem na tovarniške nastavitve in ponovnim konfiguriranjem naprave.
Povezava na poročilo https://blog.talosintelligence.com/2018...
Ogroženih je precej več modelov naprav kot so prvotno poročali. Eden od modulov omogoča "man-in-the-middle" napad na HTTPS. Na ta način napadalec lahko bere in spreminja promet, ki gre preko naprave.
Naprava okužena s 1. stopnjo, ki je običajni reset ne odstrani, ostane ranljiva za ponovno okužbo z 2. in 3. stopnjo.
Povprečni uporabnik okužbo težko zazna, zato strokovnjaki svetujejo preventivno "čiščenje" naprave z resetiranjem na tovarniške nastavitve in ponovnim konfiguriranjem naprave.
Povezava na poročilo https://blog.talosintelligence.com/2018...
SeMiNeSanja ::
Povezava na poročilo https://blog.talosintelligence.com/2018...
Na dnu poročila je tudi osvežen seznam prizadetih proizvodov/proizvajalcev.
Sveže dodan je Ubiquity. Sumijo, da je prizadetih več modelov, kot navedena dva, glede na to, da se uporablja isti software....
MrStein ::
OpenWRT je na spisku?
(tam ga ni, čeprav eni našteti modeli bazirajo na njem)
(tam ga ni, čeprav eni našteti modeli bazirajo na njem)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Ales ::
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Na pol milijona ukrajinskih usmerjevalnikov nastaja botnet nejasnega namenaOddelek: Novice / Varnost | 9346 (5004) | Ales |
» | Po Ukrajini in Rusiji pustoši BadRabbitOddelek: Novice / Kriptovalute | 8740 (6934) | MrStein |
» | Avtorji stare Petye objavili šifrirne ključeOddelek: Novice / Varnost | 13317 (10904) | poweroff |
» | O virusu NotPetya še manj jasnegaOddelek: Novice / Kriptovalute | 9244 (8379) | SeMiNeSanja |
» | Petya prizadela vsaj 65 državOddelek: Novice / Kriptovalute | 11609 (9873) | opeter |