Komoly figyelmeztetést adott ki a Cisco, a vállalat biztonsági szakemberei szerint ugyanis hackerek egy csoportja – akik a feltételezések szerint valamely kormánynak dolgozhatnak – mintegy 500 ezer otthoni, valamint kisebb cégek irodai routereit fertőzhették meg vírussal. A malware segítségével képesek lehetnek összehangolt támadást indítani, de egyetlen paranccsal tönkre is tehetik az eszközt.

A Cisco szerint a VPNFilter nevű kártevő a fogyasztók által kedvelt routergyártók eszközeibe ette be magát: ott van többek között a Linksys, a MikroTik, a Netgear és a TP-Link készülékein is. A vírus ráadásul képes túlélni azt is, ha újraindítják a routert, így a hétköznapi felhasználók számára gyakorlatilag kiirthatatlan.

A Symantec szerint az alábbi eszközökről lehet szó:

1. Linksys E1200,
2. Linksys E2500,
3. Linksys WRVS4400N,
4. Mikrotik RouterOS for Cloud Core Routers (1016-os, 1036-os és 1072-es verzió),
5. Netgear DGN2200,
6. Netgear R6400,
7. Netgear R7000,
8. Netgear R8000,
9. Netgear WNR1000,
10. Netgear WNR2000,
11. QNAP TS251,
12. QNAP TS439 Pro,
13. Other QNAP NAS eszközök, amelyeken QTS szoftver fut,
14. TP-Link R600VPN.

Az ArsTechnika beszámolója szerint a VPNFilter 2016 óta mintegy 54 ország routereihez férhetett hozzá, a Cisco szakemberei pedig hónapok óta figyelik a tevékenységüket. Az elmúlt három hétben azonban egyre aktívabb lett a malware, amely többször is ukrán eszközöket és rendszereket vett célba. Időközben az FBI ügynökei megtalálták a szervert, amely a támadásokban kulcsszerepet játszott. A nyomozók szerint a háttérben az orosz kormány által támogatott hackerek állnak.

William Largent, a Cisco kutatója szerint mivel a vírust a civilek és a kisebb cégek routereire telepítették, a támadást tévesen nekik lehetett volna tulajdonítani – holott ők is csupán a hackerek áldozatai.

YouTube/Ben Gurion Egyetem

A VPNFilterrel a támadók képesek begyűjteni a bejelentkezési adatokat és figyelni a routeren átmenő forgalmat, de arra is alkalmas, hogy elfedjék vele a támadás kiindulási pontját. Sőt, egyetlen paranccsal le is állíthatják a routert, amivel így akár több százezer embert is képesek lennének elvágni az internettől.

Április közepén az amerikai és a brit titkosszolgálatok már kiadtak egy figyelmeztetést, amely szerint az orosz hackerek megpróbálják "beeni" magukat a számítógépünkbe. A Cisco mostani jelentése is azt bizonyítja, a feltételezés nagyon is helytálló, a veszélye pedig valós. A beszámoló ugyan nem nevezi meg Oroszországot – ellentétben az FBI szakembereivel –, arra viszont kitér, hogy a kódban sok olyan részletet találtak, ami a korábbi, Ukrajna elleni kibertámadásoknál is jelen volt.

Kaspersky Lab

Azt egyelőre a szakemberek sem tudják, maguk az eszközök miként fertőződtek meg. Ettől függetlenül a Cisco és a Symantec kutatói is azt javasolják, a felhasználók a hard reseteléssel indítsák újra az eszközt. Ez a reset gomb 5-10 másodperces megnyomásával érhető el, azonban ez után elvesznek az addig beállítások, így azt gyakorlatilag újra el kell végezni. Tökéletes megoldást azonban ez sem jelent.

Emellett változtassák meg az alapértelmezett jelszavakat, győződjenek meg arról, hogy a legfrisseb firmware fut az eszközön, illetve tiltsák le a távoli hozzáférést.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.