Slo-Tech - Napadalci so z malwarom VPNFilter uspeli okužiti več kot pol milijona usmerjevalnikov znamk Linksys, MikroTik, Netgear in TP-Link v 54 državah, ugotavljajo raziskovalci iz Ciscove enote Talos Intelligence Group. Po njihovem mnenju gre za pripravo terena za usklajen napad na Ukrajino, ki ga snuje organizirana skupina z državno pomočjo. Sumijo, da gre za Rusijo, saj je del kode enak kot v virusu BlackEnergy, ki je v letih 2015 in 2016 hromil ukrajinsko elektroenergetsko omrežje. Odgovornosti za tedanji napad ni prevzel nihče, ameriški Oddelek za domovinsko varnost pa je obtožil Rusijo. Prav tako je bila Rusija obtožena napada NotPetya, ki se je začel lani v Ukrajini in kmalu pustošil po tudi drugod.
VPNFilter je torej zgradil velik botnet pol milijona stalno v internet povezanih naprav, med katerimi so zlasti internetni usmerjevalniki. Pri tem ni uporabljal nobene nove, nepoznane (zero-day) ranljivosti, temveč že dokumentirane luknje, ki pač še niso povsod zakrpane. Botnet ni nov, saj je začel nastajati že leta 2016, je pa v zadnjih tednih okrepil svojo aktivnost in zrasel, osredotočal pa se je na ukrajinske naprave. Trenutno še ni jasen njegov namen, saj še ni sprožil kakšnega večjega napada, zato lahko o ozadju le špekuliramo. Pojavljajo se ugibanja, da utegne virus udariti v soboto, ko bo v Kijevu potekal finale evropske nogometne lige prvakov ali 27. junija na predvečer dneva ustavnosti; na slednji datum je lani udarila tudi NotPetya.
VPNFilter je eden izmed bolj dodelanih virusov, ki ima tri stopnje. Prva stopnja okuži napravo, odstraniti pa je ni mogoče niti z običajnim ponovim zagonom. Druga stopnja, ki se ne ohrani pri ponovnih zagonih, a jo lahko prva stopnja vnovič prenese z interneta, vsebuje ustrezne nastavke in infrastrukturo za tretjo stopnjo, ki komunicira z nadzornimi strežniki, prestreza internetni promet in proži napade. VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.
Uf, pri Novičoku so politiki obtožili Rusijo za napad s konkretnim strupom, preden je tega sploh potrdil certificiran laboratorij. Sedaj se obtožuje že kar vnaprej, na zalogo.
Stinks of preemptive strikes.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Yey, good guys FTW! Zdaj bodo pa naši uporabili to omrežje za dobre namene in skriplali Rossijo v času nogometnega SP. Not to worry, it's all about a good cause.
Kibervojskovanje, v katerem ne bi smeli izbirati strani, ker nas bodo spekli v vsakem primeru.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Zanimivo, Asus routerji, ki so med najbolj razširjenimi v Evropi so pa očitno imuni na hackerske ugrabitve.
Tudi ce se bo kaj naslo, bo zakrpani po hitrem postopku. Ja, imajo ultimat pri fcc. Zato kupujem samo se asuse.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Morda kdo ve, ali Telemach skrbi za patchiranje svojih routerjev, ki jih nudi svojim strankam v okviru naročniških paketov? Glede na to, da dejansko imajo remote dostop do njih (zdaj pa upaj, da to počnejo res samo na podlagi klica stranke)...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Poklikal in prebral sem vse povezave v članku, a nisem zasledil, kako ugotovim, ali je moj usmerjevalnik okužen.
Tudi mene to zanima. Našel sem sicer generični nasvet, da naj se preveri DNS nastavitve. Če je kaj takega, kar zagotovo nisi sam nastavil ali gre za neznane naslove, potem je močen sum za malware na usmerjevalniku.
The following devices are known to be affected by this threat. Based on the scale of this research, much of our observations are remote and not on the device, so it is difficult to determine specific version numbers and models in many cases. It should be noted that all of these devices have publicly known vulnerabilities associated with them.
Given our observations with this threat, we assess with high confidence that this list is incomplete and other devices could be affected.
Linksys Devices:
E1200 E2500 WRVS4400N
Mikrotik RouterOS Versions for Cloud Core Routers:
The known devices affected by VPNFilter are Linksys, MikroTik, NETGEAR and TP-Link networking equipment in the small and home office (SOHO) space, as well at QNAP network-attached storage (NAS) devices.
VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.
Ukrajinska internetna hrbtenica je sestavljena iz ruterčkov za 50 EUR?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
To že, ampak v članku je napisano kot da bi prav brickanje teh home routerjev bil eden od načinov za ohromitev ukrajinske internetne hrbtenice... kar ni. Uporaba za DDOS (in marsikaj drugega, manj očitnega) pa bi seveda lahko bila kar velika težava.
Pa še niti ni tako dolgo, ko je bila še ena kritična ranljivost na Draytek-ih, tako da ne glede na to, kaj za en model imate, preverite če obstaja novejši firmware in škatle posodobite.
Mislim, WTF kak članek. Kaj res mislite, da so rusi tako nesposobni in neumni, da bodo puščali sledi za sabo. Po vsej verjetnosti je za tem CIA ali NSA, ki hoče na vsak način zadevo podtakniti rusom. Zdaj delajo čisto vse, da bi uničili FIFA world cup v Rusiji.
The known devices affected by VPNFilter are Linksys, MikroTik, NETGEAR and TP-Link networking equipment in the small and home office (SOHO) space, as well at QNAP network-attached storage (NAS) devices.
VPNFilter zna napravo tudi pokvariti (brick), tako da uniči del firmwara, kar je eden izmed načinov, s katerimi lahko virus ohromi ukrajinsko internetno hrbtenico.
Ukrajinska internetna hrbtenica je sestavljena iz ruterčkov za 50 EUR?
Haha tudi jaz sem tukaj čudno pogledal, k osem prebral.
Kaj to so okužene routerje "popatchali" na daljavo, zdaj pa je treba samo še hard reset narediti?
Ne, zasegli so domeno, od koder si je nalagal dodatni malware.
Osnovni del kode je 'zapečen' in se ga boš znebil šele z patchanjem. Se pa boš znebil 2. in 3. stopnje okužbe z rebootom.
Poleg tega bo router ob rebootu skušal kontaktirat zaseženo domeno, kar bi lahko providerji zaznali in svoje stranke potem ustrezno opozorili, da naj si čim prej naložijo kakšen patch.
Zgodba se nadaljuje. Ogroženih je precej več modelov naprav kot so prvotno poročali. Eden od modulov omogoča "man-in-the-middle" napad na HTTPS. Na ta način napadalec lahko bere in spreminja promet, ki gre preko naprave.
Naprava okužena s 1. stopnjo, ki je običajni reset ne odstrani, ostane ranljiva za ponovno okužbo z 2. in 3. stopnjo.
Povprečni uporabnik okužbo težko zazna, zato strokovnjaki svetujejo preventivno "čiščenje" naprave z resetiranjem na tovarniške nastavitve in ponovnim konfiguriranjem naprave.
Na dnu poročila je tudi osvežen seznam prizadetih proizvodov/proizvajalcev. Sveže dodan je Ubiquity. Sumijo, da je prizadetih več modelov, kot navedena dva, glede na to, da se uporablja isti software....
