Vpnfilter malware har inficeret en million routere - her er hvad du har brug for at vide

En nylig opdagelse af, at ny router-baseret malware, kendt som VPNFilter, havde inficeret godt over 500.000 routere blev bare endnu værre nyheder. I en rapport, der forventes frigivet 13. juni, udtaler Cisco, at over 200.000 yderligere routere er blevet inficeret, og at VPNFilter-kapaciteterne er langt dårligere end oprindeligt troet. Ars Technica har rapporteret, hvad de kan forvente af Cisco onsdag.

VPNFilter er malware, der er installeret på en Wi-Fi-router. Det har allerede inficeret næsten en million routere i 54 lande, og listen over enheder, der vides at være påvirket af VPNFilter, indeholder mange populære forbrugermodeller. Det er vigtigt at bemærke, at VPNFilter ikke er en routerudnyttelse, som en hacker kan finde og bruge til at få adgang - det er software, der utilsigtet er installeret på en router, der er i stand til at gøre nogle potentielt forfærdelige ting.

VPNFilter er malware, der på en eller anden måde bliver installeret på din router, ikke en sårbarhed, som angribere kan bruge til at få adgang.

VPNFilter's første angreb består af at bruge en mand i midten angreb på indgående trafik. Derefter forsøger den at omdirigere sikker HTTPS-krypteret trafik til en kilde, der ikke er i stand til at acceptere den, hvilket får denne trafik til at falde tilbage til normal, ikke-krypteret HTTP-trafik. Den software, der gør dette, navngivet ssler af forskere, indeholder særlige bestemmelser for websteder, der har ekstra foranstaltninger til at forhindre, at dette sker, f.eks. Twitter.com eller en Google-tjeneste.

Når trafikken ikke er krypteret, kan VPNFilter derefter overvåge al indgående og udgående trafik, der går gennem en inficeret router. I stedet for at høste al trafik og omdirigere til en ekstern server, der skal ses på senere, er den specifikt målrettet mod trafik, der vides at indeholde følsomt materiale, såsom adgangskoder eller bankdata. Opfangede data kan derefter sendes tilbage til en server kontrolleret af hackere med kendte bånd til den russiske regering.

VPNFilter er også i stand til at ændre den indkommende trafik for at forfalske svar fra en server. Dette hjælper med at dække sporene til malware og tillader det at fungere længere, før du kan fortælle, at noget går galt. Et eksempel på, hvad VPNFilter er i stand til at gøre for indkommende trafik, der er givet til ARS Technica af Craig Williams, en ledende teknologileder og global outreach manager hos Talos siger:

Men det ser ud til at have udviklet sig helt forbi det, og nu tillader det ikke kun dem at gøre det, men de kan manipulere alt, hvad der går gennem den kompromitterede enhed. De kan ændre din bankkontosaldo, så den ser normal ud, samtidig med at de overlapper penge og potentielt PGP-nøgler og lignende ting. De kan manipulere alt, der går ind og ud af enheden.

Det er vanskeligt eller umuligt (afhængigt af dit dygtighedssæt og routermodel) at fortælle, om du er inficeret. Forskere antyder, at alle, der bruger en router, der vides at være modtagelige for VPNFilter, antager, at de er inficeret og tager de nødvendige skridt for at genvinde kontrol over deres netværkstrafik.

Routere, der vides at være sårbare

Denne lange liste indeholder forbrugerrutere, som vides at være modtagelige for VPNFilter. Hvis din model vises på denne liste, foreslås det, at du følger procedurerne i det næste afsnit af denne artikel. Enheder på listen markeret som "nye" er routere, der først for nylig blev fundet at være sårbare.

Asus-enheder:

• RT-AC66U (ny)
• RT-N10 (nyt)
• RT-N10E (ny)
• RT-N10U (ny)
• RT-N56U (nyt)

D-Link-enheder:

• DES-1210-08P (nyt)
• DIR-300 (nyt)
• DIR-300A (nyt)
• DSR-250N (nyt)
• DSR-500N (nyt)
• DSR-1000 (nyt)
• DSR-1000N (nyt)

Huawei-enheder:

• HG8245 (nyt)

Linksys enheder:

• E1200
• E2500
• E3000 (nyt)
• E3200 (nyt)
• E4200 (nyt)
• RV082 (nyt)
• WRVS4400N

Mikrotik enheder:

• CCR1009 (nyt)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nyt)
• CRS112 (nyt)
• CRS125 (nyt)
• RB411 (nyt)
• RB450 (nyt)
• RB750 (nyt)
• RB911 (nyt)
• RB921 (nyt)
• RB941 (nyt)
• RB951 (nyt)
• RB952 (nyt)
• RB960 (nyt)
• RB962 (nyt)
• RB1100 (nyt)
• RB1200 (nyt)
• RB2011 (nyt)
• RB3011 (nyt)
• RB Groove (nyt)
• RB Omnitik (nyt)
• STX5 (nyt)

Netgear-enheder:

• DG834 (nyt)
• DGN1000 (nyt)
• DGN2200
• DGN3500 (nyt)
• FVS318N (nyt)
• MBRN3000 (nyt)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nyt)
• WNR4000 (nyt)
• WNDR3700 (nyt)
• WNDR4000 (nyt)
• WNDR4300 (nyt)
• WNDR4300-TN (nyt)
• UTM50 (nyt)

QNAP-enheder:

• TS251
• TS439 Pro
• Andre QNAP NAS-enheder, der kører QTS-software

TP-Link-enheder:

• R600VPN
• TL-WR741ND (nyt)
• TL-WR841N (nyt)

Ubiquiti-enheder:

• NSM2 (nyt)
• PBE M5 (ny)

ZTE-enheder:

• ZXHN H108N (nyt)

Hvad du skal gøre

Lige nu, så snart du er i stand, skal du genstarte din router. For at gøre dette skal du blot tage stikket ud af strømforsyningen i 30 sekunder og derefter sætte det i igen. Mange modeller af router skyller installerede apps, når de er i cyklus.

Det næste trin er at fabriksindstille din router. Du finder information om, hvordan du gør dette i manualen, der fulgte med i kassen eller fra producentens websted. Dette indebærer normalt at indsætte en stift i et forsænket hul for at trykke på en mikrobølgeovn. Når du får din router tilbage og kører, skal du sikre dig, at den er på den allerbedste version af dens firmware. Se igen i dokumentationen, der fulgte med din router, for detaljer om, hvordan du opdaterer.

Udfør derefter en hurtig sikkerhedsrevision af, hvordan du bruger din router.

• Brug aldrig standardbrugernavnet og adgangskoden til at administrere det. Alle routere af samme model bruger standardnavnet og adgangskoden, og det gør det nemt at ændre indstillinger eller installere malware.
• Udsæt aldrig interne enheder for internettet uden en stærk firewall på plads. Dette inkluderer ting som FTP-servere, NAS-servere, Plex-servere eller enhver smart enhed. Hvis du skal udsætte en tilsluttet enhed uden for dit interne netværk, kan du sandsynligvis bruge portfiltrering og videresendelse af software. Hvis ikke, skal du investere i en stærk hardware- eller softwarefirewall.
• Lad aldrig fjernadministration være aktiveret. Det kan være praktisk, hvis du ofte er væk fra dit netværk, men det er et potentielt angrebspunkt, som enhver hacker ved at kigge efter.
• Hold dig altid opdateret. Dette betyder, at du regelmæssigt kontrollerer for ny firmware, og vigtigere er, at du skal installere den, hvis den er tilgængelig.

Endelig, hvis du ikke er i stand til at opdatere firmwaren for at forhindre VPNFilter i at blive installeret (din producents websted har detaljer), skal du bare købe en ny. Jeg ved, at det at bruge penge til at erstatte en perfekt god og fungerende router er en smule ekstrem, men du har ingen idé om, om din router er inficeret, medmindre du er en person, der ikke har brug for at læse denne slags tip.

Vi elsker de nye mesh router-systemer, der automatisk kan opdateres, når ny firmware er tilgængelig, f.eks. Google Wifi, fordi ting som VPNFilter kan ske når som helst og for enhver. Det er værd at tage et kig, hvis du er på markedet efter en ny router.