Több mint 500 ezer otthonokban és kisvállalatoknál üzemelő routert fertőztek meg világszerte a VPNFilter néven azonosított rosszindulatú programmal, amely kommunikációs adatokat gyűjt, mások elleni támadásokat indít és véglegesen tönkreteszi a megfertőzött eszközt egyetlen paranccsal, olvashatjuk a Cisco figyelmeztetésében. A moduláris, többfokozatos program a Linksys, MikroTik, Netgear és TP-Link gyártmányú routereket és QNAP által készített NAS tárolókat támadja, s túléli az újraindítást is. A fertőzések 2016 óta történnek lassú ütemben, igaz, az utolsó három hétben jelentősen felgyorsult a VPNFilter terjedése.
FBI ügynökök lefoglaltak egy, a támadásokhoz használt kulcsfontosságú szervert, szerintük az orosz kormány által támogatott hackerek a ToKnowAll.com weboldalt használták a rosszindulatú program második fokozatának a már megfertőzött routerekre való eljuttatásához.
A Cisco kutatója, William Largent szerint nagy biztonsággal kijelenthető, hogy a VPNFiltert egy kiterjedt, nehezen beazonosítható hátterű infrastruktúra létrehozására használják, amelyet többféle feladat végrehajtására lehet igénybe venni. Mivel a megfertőzött eszközöket legálisan tulajdonolják magánszemélyek és vállalkozások, a róluk indított támadásokat tévesen azok számlájára lehet írni, akik valójában a hackerek áldozatai.
A Symantec által kiadott közlemény szerint az alábbi eszközök érintettek:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Eszközök, amelyeken a Mikrotik RouterOS for Cloud Core Routers 1016-os, 1036-os és 1072-es változata fut
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- A QTS szoftvert futtató más QNAP NAS eszközök
- TP-Link R600VPN
Mind a Symantec, mind a Cisco szakemberei azt tanácsolják a fenti eszközöket használóknak, hogy a rosszindulatú program eltávolításához hajtsanak végre egy gyári resetet, vagyis tartsák lenyomva 10 másodpercig a készülék hátulján található reset gombot. Ez törli az összes konfigurációs beállítást is, amelyeket újra meg kell adni. Az eszközök egyszerű újraindítása csak a rosszindulatú program második és harmadik fokozatának a működését állítja le, legalábbis addig, amíg az első fokozat újra nem telepíti őket.
Célszerű továbbá megváltoztatni az összes alapértelmezésbeli jelszót, frissíteni a legújabb firmware-re, és amikor csak lehetséges, kikapcsolni a távoli adminisztrációt.
Nem könnyű egyébként megállapítani, hogy egy routert megfertőződött-e a VPNFilterrel, és az sem teljesen egyértelmű, hogy a legújabb firmware futtattása és az alapjelszavak megváltoztatása megakadályozza-e minden esetben a fertőzést. Ezért erősen ajánlott a gyári reset mielőbbi elvégzése.
