szerző:
hvg.hu

A korábbi néhány típusnál jóval többfajta routernél találták meg azt a sebezhetőséget, melyet kihasználva vírussal fertőztek meg világszerte több százezer eszközt. Egyenesen a felhasználóra vadásznak.

Alig két hét telt el azóta, hogy komoly biztonsági figyelmeztetést adott ki a Cisco. A cég biztonsági szakemberei szerint ugyanis hackerek egy csoportja – akik valószínűleg az oroszoknak dolgoznak – 54 ország mintegy 500 ezer wifi routerét fertőzték meg egy vírussal. Az ügyben nem sokkal később az FBI is vészjelzést adott ki. A Symantec szakemberei korábban azt írták, a VPNFilter nevű vírus 14 különböző típusú eszközön lehet ott, most azonban kiderült, sokkal nagyobb a baj, mint azt korábban bárki is gondolta volna. A vírus ugyanis nemcsak, hogy ennél jóval több típuson lehet ott, de a korábban gondoltnál számottevően erősebb.

Az ArsTechnica beszámolója szerint a VPNFilter nevű kártevő képes lehet egy közbeékelődő támadás (man-in-the-middle attack, MITM) végrehajtására. Ennek lényege, hogy a támadó képes arra, hogy a két, egymással kommunikáló fél kommunikációs csatornáját eltérítse, kvázi beékelődjön közéjük, majd az üzeneteket ő továbbítsa mindkét fél számára. Ekkor elhiteti a felhasználóval, hogy egymással beszélgetnek, holott mindketten a hackerrel kapcsolódnak össze. Sőt, a hackerek az általuk használt módszerrel arra is képesek lehetnek, hogy átalakítsák a weboldalak által nyújtott tartalmakat.

©

A vírus emellett arra is képes, hogy a végpontok, valamint az internet között áramló érzékeny adatokat ellopja. Gyakorlatilag megfigyelik azokat a webcímeket, amelyeknél jelszó vagy más érzékeny adat továbbítódik, majd lemásolva azt elküldik a saját maguk által ellenőrzött szerverekre az információt. Az ilyen adatlopást elviekben a HTTPS-kapcsolat volna hivatott megakadályozni, a VPNFilter azonban megpróbálja megkerülni a TLS biztonsági protokollt, hogy végül sima HTTP-s kapcsolaton menjen keresztül az információ.

A vírusban dolgozó kód a Facebookhoz, Google-höz, Twitterhez és YouTube-hoz egyedi módon viszonyul, minden bizonnyal azért, mert ezeken a webhelyeken további biztonsági körökön is át kell menni. A Google például évek óta HTTP-szerverekre irányítja a HTTP-forgalmat, hogy biztonságosabbá tegyék a netezést.

Mi vagyunk a célpont

A Cisco korábbi jelentése szerint a megfertőzött routerek arra kellenek, hogy összehangolt támadást intézzenek a kiszemelt célpontok ellen. A cég azonban a további vizsgálatok alapján arra a következtetésre jutott, hogy a célpontok maguk a routerek tulajdonosai. Craig Williams, a Talos technológiai vezetője szerint a hackerek minden gond nélkül képesek úgy leemelni a bankszámlánkról a pénzt, hogy a felhasználó közben azt lássa, minden a legnagyobb rendben van. A szakember szerint a VPNFilter szinte bármit megtehet az adattal, ami keresztül folyik a routereken.

Williams szerint a korábbiakhoz képest több mint 200 ezerrel több fertőzött router lehet, és sokkal több típus, mint azt korábban gondolták. A fertőzés az alábbi típusokat érintheti:

Asus:

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N56U
  • RT-N66U

D-Link:

  • DES-1210-08P
  • DIR-300
  • DIR-300A
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

Huawei:

  • HG8245

Linksys:

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

Mikrotik:

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  • RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5

Netgear:

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

QNAP:

  • TS251
  • TS439 Pro
  • Other QNAP NAS eszközök, amelyek QTS-t futtatnak

TP-Link:

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

Ubiquiti:

  • NSM2
  • PBE M5

Upvel:

  • Ismeretlen modellek

ZTE:

  • ZXHN H108N

A Cisco/Talos jelentése szerint a VPNFilter ráadásul rendkívül célzottan próbál adatokat lopni. Ahelyett, hogy minden adatot lehallgatna, kifejezetten a kis adatcsomagokat keresi, amelyek (valószínűleg) jelszavakat vagy hitelesítő adatokat tartalmazhatnak. A hackerek ráadásul egy parancs segítségével először törlik a VPNFiltert az összes nyommal együtt az eszközről, majd egy parancs segítségével gyakorlatilag újraindítják a készüléket.

A szakemberek továbbra sem tudják, hogyan fertőződhettek meg a routerek, de valószínűleg olyan hibákat használtak ki, amelyekre már van megoldás. Nem egyszerű azt sem megtudni, hogy valóban fertőzött-e a router. A Cisco szakértői szerint ráadásul modellenként változik, hogyan lehet "fertőtleníteni" a készüléket. Bizonyos esetekben a router gombjával kell visszaállítani a gyári beállításokat, majd azonnal telepíteni rájuk a legfrisseb firmware-t, másoknál viszont elég csak újraindítani a készüléket.

Emellett mindenképpen változtassuk meg a router alapértelmezett jelszavát és tiltsuk le a távoli hozzáférést.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

Érdekesnek találta cikkünket?
Legyen HVG pártoló tag!

A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Tagjainknak heti exkluzív hírlevelet küldünk, rendezvényeket kínálunk, a könyveinkre és egyéb termékeinkre pedig komoly kedvezményt adunk. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! „Amikor annyira eluralkodik a mindennapi életünkön a virtualitás, üdítő igazi emberi kapcsolatokat építeni.”
K. Erna – Pártoló tag


„Régóta olvasom a HVG-t és cikkei között mindennap találok érdekfeszítőt!”
H. Szabolcs - Támogató
Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!
A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz, és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!