Не забывайте о роутерах!

Незваные гости

добавить в избранное

Не забывайте о роутерах!

Прочитали: 26599 Комментариев: 97 Рейтинг: 108

21 сентября 2018

Ежедневно в вирусной базе Dr.Web появляются записи для семейства Linux.VPNFilter.

Что это за зверь?

VPNFilter – вредоносное ПО, направленное на заражение не обычных компьютеров, а сетевых устройств, таких как роутеры и системы хранения данных.

VPNFilter было обнаружен в мае текущего года. Сложная малварь заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира.

https://xakep.ru/2018/06/04/vpnfilter-is-back

Почему злоумышленников заинтересовали именно сетевые устройства? Причина очень проста: если для обычных компьютеров кто-то и устанавливает обновления, то среди домашних сетевых устройств доля регулярных обновлений ничтожно мала. В результате злоумышленникам не нужно искать свежие и еще не закрытые уязвимости. «Дыра» может быть известна производителю и давно закрыта (например, выпуском новой прошивки), но преступники могут использовать ее без опасений.

Операторы VPNFilter не используют для заражения устройств какие-либо 0-day уязвимости, а эксплуатируют различные известные баги, обнаруженные ранее.

Более того: ситуация, когда обновления не устанавливаются, удобна для злоумышленников и по другой причине. Выпуск уведомления о закрытии уязвимости, как правило, сопровождается информацией о самой уязвимости. А если и нет, то важен сам факт выпуска обновления безопасности: хакеры могут проанализировать обновления и найти слабое место.

Через некоторое время после обнаружения ботнета VPNFilter ФБР перехватило контроль над управляющим сервером злоумышленников toknowall.com. Для этого использовалась техника sinkhole – мы рассказывали о ней в выпуске «Рыбалка на ботов». А после были опубликованы инструкции для владельцев уязвимых устройств, позволяющие избавиться от VPNFilter. В авторстве же вредоносных программ обвинили русских хакеров из Fancy Bear, «считающейся также причастной к атаке на штаб демократов в ходе выборов США в 2016 году».

Собственно, из-за перехвата сервера злоумышленников в свое время не был написан соответствующий выпуск. Время показало, что его все же нужно было сделать: что есть для злоумышленников захват сервера и сколько пользователей прочитало новость? Ботнет предсказуемо выжил, а кибержулики продолжают собирать для него модули.

Что дает преступникам VPNFilter? Он позволяет контролировать данные, проходящие через роутер или средство хранения. Можно выбрать из трафика пароли, можно вставить в трафик сайта, открытого пользователем, некий скрипт, блок рекламы или вызов загрузки вредоносного ПО. Или шантажировать пользователя угрозой блокировки доступа в сеть.

И привычка пользователей решать проблемы перезагрузкой не помогает – VPNFilter спокойно ее переживает.

И не домашними пользователями едиными…

В составе VPNFilter есть отдельный модуль, предназначенный для перехвата коммуникационного протокола Modbus (широко применяется в промышленности для организации связи между электронными устройствами).

Кто уязвим?

VPNFilter способен заражать большое количество различных роутеров (маршрутизаторов) и NAS-устройств (сервера для хранения данных на файловом уровне).

Asus (RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U)
D-Link (DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N)
Huawei (HG8245)
Linksys (E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N)
MikroTik (CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5)
Netgear (DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50)
TP-Link (R600VPN, TL-WR741ND, TL-WR841N)
Ubiquiti (NSM2, PBE M5)
Upvel (неизвестные модели)
ZTE (ZXHN H108N)

Уязвимые NAS-устройства:

QNAP (TS251, TS439 Pro и другие с установленным ПО QTS)

https://blog.zlonov.ru/vpnfilter

Но этот список может в любой момент измениться.

Если вдуматься, это страшная угроза. У вас установлен антивирус, он регулярно обновляется, вы хотите почитать, к примеру, новости. И вы увидите то, что хотят показать вам хакеры. И ничего не сможете с этим поделать – доступ к сайтам с рекомендациями внезапно пропадет.

#Linux #уязвимость #ботнет #роутер #Родительский_контроль #вредоносное_ПО

Антивирусная правДА! рекомендует

Не забывайте о роутере!

Отключите удалённое администрирование устройства со стороны Интернета в соответствии с эксплуатационной документацией, оставьте доступ только из локальной сети.
Установите новый пароль администратора и других используемых учётных записей. Пароли должны быть уникальными и достаточно сложными.
Если есть возможность включить шифрование в ходе настройки устройства, сделайте это.
Обновляйте прошивку.

Для защиты от VPNFilter частично помогает перезагрузка. Выше мы писали, что VPNFilter ее переживает. Но при этом он состоит из трех модулей, два из которых не выдерживают перезагрузки. Они будут снова скачаны, но за это время вы можете зайти на сайт производителя и поискать рекомендации.

И вот, пока выпуск готовился, вышла еще одна новость:

Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847, устранённой в апрельском обновлении MikroTikOS 6.42.1.

По данным 360 Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с неисправленной уязвимостью. При этом на более чем 7500 устройствах были активированы настройки перехвата пакетов и зеркалирования перехваченного трафика, На 239 тысячах устройств обнаружено создание скрытой точки проброса трафика.

Также зафиксирована неудачная попытка использования маршрутизаторов для вовлечение пользователей в майнинг криптовалют.

http://www.opennet.ru/opennews/art.shtml?num=49226

Кстати, опять попытка использования JavaScript c сайта coinhive.com, поэтому напоминаем про необходимость блокирования доступа к вредоносным сайтам с помощью Родительского контроля Dr.Web.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Slava90
04:23:35 2021-02-04

Очень полезный выпуск спасибо. Безопасность нужна везде.

annigelyator
11:37:53 2018-10-25

хотелось бы иметь актуальную инфу по роутерам. Здесь на Вашем сайте, если возможно!

annigelyator
11:36:08 2018-10-25

@Влад,
Как-то приходил ко мне клиент с макинтошем(ОС) на ноутбуке. Разговорились. и он поведал мне, что макинтошу антивирус не нужен. поскольку нет в макинтошах "дыр" в которые могли бы проникнуть вирусы. Вот и думаю с тех пор, что это просто маркетинговый ход, для продажи разного рода дополнительных ПО. в том числе и антивируса. ИМХО!!!Но без антивируса теперь никак нельзя.

Ruslan
17:01:43 2018-09-26

Очень полезный и поучительный выпуск.Благодарю!

МЕДВЕДЬ
11:40:47 2018-09-24

Рдительский контроль включен,антивирус вовремя обновляется.

Вячeслaв Собкор
09:50:21 2018-09-24

@a13x, ай-яй-яй. А слушают ли пользователи рекомендации Антивирусной правды и заходят ли на новые для себя сайты, отключая Java-скрипты?

Специально открыл все ссылки - ни одного предупреждения

Любитель пляжного футбола Собкор
13:23:04 2018-09-23

@Rinat_64_rus, поздравляю с Днём рождения! Хорошей погоды и настроения! Чтобы все эти проблемы обошли ваш роутер стороной! :)

Пaвeл Собкор
12:53:01 2018-09-23

@Toma, Поздравляю с Днем рождения! Желаю всего самого хорошего!

Пaвeл Собкор
12:52:00 2018-09-23

@Rinat_64_rus, С Днем рождения! Всего самого наилучшего!

Pjmur
12:16:05 2018-09-23

Доктор Веб на типичный роутер видимо со своей базой не влезет. А уж на допотопный, таки точно, даже не заработает. Но на компах пусть зрит!

Шалтай Александр Болтай Собкор
08:49:35 2018-09-23

@Toma, С ДР! Хорошего праздника! Отличного настроения!

Любитель пляжного футбола Собкор
23:45:27 2018-09-22

@Toma, с Днём рождения! Хороших выходных!

Татьяна
16:48:59 2018-09-22

@Toma, С Днем рождения! Здоровья, счастья, успехов!

Неуёмный Обыватель Собкор
07:49:52 2018-09-22

@a13x, это была проверка на то, все ли прочитали рекомендации полностью ;)

a13x Собкор
05:21:35 2018-09-22

о.О - то самое чувство, когда при переходе на одну из ссылок из Рекомендаций Доктора Веба выскакивает оповещение о Miner-AA :) Доктор Веб - ай-яй-яй.
А выпуск - интересный.

Lia00 Собкор
00:18:04 2018-09-22

что только не бывает с роутерами...

Неуёмный Обыватель Собкор
23:56:45 2018-09-21

Сверил свой роутер со списком потенциальных жертв и не обнаружил его там. Поблагодарил мысленно своего бывшего провайдера, впарившего мне роутер непопулярной марки в нагрузку к тарифу. А потом и отказавшегося принять его обратно. Они хотели, чтобы я и вернул и доплатил еще за это. Так и живу с ним.
Пароли сменены сразу и потом еще много раз. Рекомендации проверил, прошивки новой нет.

Александр
23:14:05 2018-09-21

Надеюсь Доктор защитит.

Littlefish Собкор
23:07:00 2018-09-21

Вот если бы роутеры были умными и сами бы проверяли наличие обновлений прошивки и в автоматическом режиме скачивали и устанавливали эти обновления, то у злоумышленников не получалось бы эксплуатировать старые уязвимости.

Dvakota
22:02:29 2018-09-21

Да, пожалуй стоит заняться роутером .

В...а
21:53:34 2018-09-21

Столько опасностей, но хорошо с зеленым паучком!

vla_va
21:49:26 2018-09-21

Роутер у меня иногда под присмотром, но не часто....

orw_mikle
21:30:35 2018-09-21

Про роутеры совсем забыли. Нужно достать документацию и обновить ПО и пароли.

kva-kva
20:20:54 2018-09-21

"для перехвата коммуникационного протокола Modbus (широко применяется в промышленности для организации связи между электронными устройствами)" - очень настораживающий неизвестный функционал!

mk.insta
19:52:41 2018-09-21

Про роутеры очень полезно, есть над чем задуматься!

Alex_1774
19:17:39 2018-09-21

Маршрутизатор обновлён, пароль только в тетрадке, удаленное управление не включалось, доступ к Wi-Fi через белый список по mac-адресам.

Damir Собкор
19:14:28 2018-09-21

Роутеры нужно тоже защищать.Спасибо за выпуск.

Влад
18:38:27 2018-09-21

создаётся впечатление что в по различного рода для любых девайсов при разработке сознательно оставляют скрытые форточки на всякий случай.которыми могут воспользоваться сами разработчики.их то и используют домушники всякого рода....

Andromeda
18:35:46 2018-09-21

Моего роутера нет в списке. А пароль администратора сменила сразу после покупки и установки по совету друзей.

Сергей
18:10:23 2018-09-21

Роутер тоже нуждается в защите!

Альфа
18:05:59 2018-09-21

Роутером пользуюсь лет пять. За это время было несколько обновлений, а в текущем году - тишина. Похоже, модель устарела.

Раш КХ
17:50:57 2018-09-21

Стараюсь пароли делать очень сложными, теперь начну делать их еще сложнее

Шалтай Александр Болтай Собкор
17:40:07 2018-09-21

— Как посмотреть, кто подключен к моему wi—fi роутеру? — После двенадцати ночи, открываешь входную дверь, окна и в полной тишине вырубаешь интернет. Маты, доносящиеся с разных этажей, подскажут тебе!

Дмитрий
17:30:54 2018-09-21

Роутеру нужен антивирус! Спасибо за информацию!

Геральт Собкор
17:09:22 2018-09-21

Уверен Доктор Веб защитит от подобных угроз.

Toma
16:29:19 2018-09-21

Спасибо за интересный выпуск! Буду придерживаться рекомендаций!

La folle
16:09:12 2018-09-21

Интересная статья, спасибо за рекомендации!

TV
15:59:58 2018-09-21

Всегда считала маршрутизаторы MikroTik на порядок выше зухелей, "д" и "тп" линков и пр., а оказывается и они "дырявые".

Sasha50 Собкор
15:59:42 2018-09-21

@Вячeслaв, Спасибо за ссылку, скачал. Надо ознакомиться.

Sasha50 Собкор
15:55:11 2018-09-21

Более 3 лет не обновлял прошивку на своем TP-Link TD-W8961N. Сейчас хотел обновить, а она не поменялась. Осталась "актуальной" самая первая заводская.

Вячeслaв Собкор
15:54:18 2018-09-21

@Sasha50, думаю зависит от роутера. По идее сброс настроек это не удаление файлов, они могут и остаться. Рекомендую почитать документ от старших братьев роутеров - https://www.cisco.com/c/dam/global/ru_ru/about/brochures/assets/pdfs/cisco_ios_software_integrity_assurance.pdf. Как вариант рассматривается риск заражения образа прошивки

Sasha50 Собкор
15:43:15 2018-09-21

@Вячeслaв, Спасибо за ссылку, все понятно с перезагрузкой. Тогда другой вопрос: "Сброс настроек до заводских и повторная настройка роутера решит данную проблему?"

Masha
15:12:46 2018-09-21

И для роутера нужен антивирус!

Zserg
15:10:04 2018-09-21

Errāre humānum est - Человеку свойственно ошибаться (Сенека). Как впрочем, и забывать

Вячeслaв Собкор
15:06:37 2018-09-21

@Sasha50, вот хорошая ссылка - http://help-wifi.com/sovety-po-nastrojke/kak-perezagruzit-router-instrukciya-dlya-tp-link-d-link-asus-netgear/ - просто выключением или через веб-интерфейс

I46
14:59:58 2018-09-21

Ставим антивирус на роутер...

Lenba
14:58:44 2018-09-21

Актуальность - стиль Dr.Web!

Sasha50 Собкор
14:21:32 2018-09-21

Хорошо, что напомнили про обновление прошивки роутера: давно собирался, да все откладывал на потом. Сегодня пятница - есть время скачать и загрузить актуальную прошивку.

Sasha50 Собкор
14:18:07 2018-09-21

"И привычка пользователей решать проблемы перезагрузкой не помогает..." - какая перезагрузка: вкл и выкл или сброс до заводских и повторная настройка?

Dmur
13:24:28 2018-09-21

Будем помнить о роутерах! Спасибо за интересный выпуск!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Не забывайте о роутерах!

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей