7.6.2018 14:20 | Bezpečnosť

Zákerný malvér útočí na ďalšie routery. Dokáže obísť aj šifrovanie webov

Provider začal označovať VDSL ako optiku k domu. ilustračná snímka.
Sofistikovaný botnet je nebezpečnejší než sa predpokladalo. Zdroj: Shutterstock‎

Počet ohrozených modelov routerov dramaticky narástol. Výskumníci odhalili aj modul na prepísanie firmvéru či funkciu pre degradovanie HTTPS spojenia.

Bezpečnostní experti zo spoločnosti Cisco odhalili pred niekoľkými dňami nový malvér, ktorý ovládol viac ako pol milióna routerov v 54 krajinách z celého sveta. Podľa najnovších výsledkov vyšetrovania je však nová hrozba oveľa nebezpečnejšia než sa pôvodne predpokladalo. Na nové informácie upozornil portál ZDNet.

Ohrozených je až 71 modelov

Škodlivý kód s názvom VPNFilter bol odhalený ešte 24.mája. Výskumníci vtedy predpokladali, že cieli na asi 16 modelov routerov. Najnovší zoznam však obsahuje až 71 potenciálne ohrozených modelov, pričom sa ich počet môže ešte rozrásť. Ich aktuálny prehľad nájdete na konci nášho článku.

Prvotná infiltrácia je úplne rovnaká ako v prípade iných botnetov. Už infikované zariadenia totiž skenujú náhodné rozsahy IP adries. Vyhľadávajú pritom routery a iné sieťové prvky, ktoré obsahujú známe a často už aj opravené chyby vo firmvéri.

Aktuálne neexistujú žiadne dôkazy o využití neznámych zraniteľností typu 0-day.

IP adresa ukrytá v GPS súradniciach

Ako sme už v našom článku informovali, po úspešnom prieniku do zariadenia prebehne útok. V prvej fáze sa nadviaže komunikácia so vzdialeným serverom útočníkov, z ktorého sa stiahne obrázok. Ten v EXIFe obsahuje GPS súradnice, ktoré sú však v skutočnosti ďalšou IP adresou. Z tejto IP adresy sa následne stiahne samotný škodlivý modul umožňujúci ovládnutie routeru.

Druhá fáza umožňuje útočníkom vykonávať ľubovoľnú činnosť s infikovaným routerom. Podľa pôvodných informácií boli k dispozícii rôzne moduly umožňujúce napríklad zničenie zariadenia (prepísaním kritickej časti firmvéru), vykonávanie DDoS útokov, zachytávanie sieťových paketov takzvaným sniffovaním a niekoľko ďalších.

Odhalili ďalšie dva moduly

Výskumníci ale aktuálne odhalili ďalšie dva záškodnícke moduly. Prvým z nich je „dstr“, ktorý dokáže prepísať firmvér zariadenia a zabezpečiť škodlivému kódu perzistenciu. Používateľom tak nemusí pomôcť ani odporúčanie FBI a NKÚ – reštartovať infikované zariadenie. Jediným riešením je v tomto prípade aktualizácia firmvéru, respektíve jeho manuálne preinštalovanie.

Druhý modul „ssler“ umožňuje vykonávanie MitM útokov založených na degradácii HTTPS spojenia na nezabezpečené HTTP. Vďaka tomu sa dajú jednoducho kradnúť prihlasovacie údaje.

ilustračná snímka fotogaléria / 2
Experti odhalili nové detaily (ilustračná snímka). Zdroj: Shutterstock‎

Množstvo internetových služieb má totiž zle implementovaný SSL certifikát, respektíve nevyužívajú HSTS mechanizmus. V praxi síce komunikácia prebieha cez HTTPS spojenie, no útočník ho dokáže veľmi jednoducho degradovať na jeho nezašifrovaný náprotivok HTTP. Ak si používateľ nevšimne, že v URL adrese chýba HTTPS prefix, tak je zachytávanie citlivých prihlasovacích údajov už veľmi jednoduché.

Dobrou správou však je, že mnoho významných služieb už HSTS využíva a ich používatelia sú dostatočne chránení.

Ako sa chrániť

Nezodpovedanou otázkou zostáva, kto stojí za rozsiahlym útokom a aké sú jeho úmysly. Podľa niektorých zdrojov má tento sofistikovaný botnet na svedomí ruská skupina vládnych hackerov známa ako APT28, respektíve Fancy Bear. Podľa agentúry Reuters mala byť pritom cieľom útokov Ukrajina.

Nech už je pravda akákoľvek, ohrozené sú zariadenia z celého sveta. Vzhľadom na mechanizmus útokov je jediným bezpečnostným opatrením aktualizovanie firmvéru routeru či NAS. Väčšina výrobcov totiž zareagovala na uvedené útoky a pustila sa do vývoja a distribúcie zodpovedajúcich záplat.

Nanešťastie existuje aj niekoľko starých a už nepodporovaných zariadení, ktoré sa zrejme nikdy nedočkajú oficiálnej aktualizácie. Skúsenejší používatelia preto môžu siahnuť po alternatívnych verziách firmvéru, ktoré sa neustále vyvíjajú. Za zmienku stojí napríklad projekt LEDE, OpenWrt, DD-WRT a pár ďalších. Tu však hrozí strata záruky a prípadne aj znefunkčnenie zariadenia spôsobené nepozornou inštaláciou.

Zrejme najjednoduchším riešením je využívanie zariadení vyšších tried. Spomenúť môžeme napríklad český projekt Turris Omnia, kde sú pravidelné aktualizácie garantované. Nevýhodou podobných modelov je však vyššia nadobúdacia cena.

Aktuálny zoznam zariadení, na ktoré cieli malvér VPNFilter:

Asus - RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, 2RT-N66U

D-Link - DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N

Huawei - HG8245

Linksys - E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N

Mikrotik - CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5

Netgear - DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50

QNAP - TS251, TS439 Pro, ako aj ostatné NAS modely so softvérom QTS

TP-Link - R600VPN, TL-WR741ND, TL-WR841N

Ubiquiti - NSM2, PBE M5

ZTE - ZXHN H108N

Diskusia 9 Príspevkov