Malware Vpnfilter telah menjangkiti satu juta penghala - inilah yang perlu anda ketahui

Penemuan baru-baru ini bahawa malware berasaskan router baru, dikenali sebagai VPNFilter, telah menjangkiti lebih 500, 000 penghantar menjadi berita yang lebih teruk lagi. Dalam laporan yang dijangkakan akan dikeluarkan pada 13 Jun, Cisco menyatakan bahawa lebih 200, 000 router tambahan telah dijangkiti dan bahawa keupayaan VPNFilter jauh lebih buruk daripada yang difikirkan pada mulanya. Ars Technica telah melaporkan mengenai apa yang diharapkan dari Cisco Rabu.

VPNFilter adalah perisian hasad yang dipasang pada penghala Wi-Fi. Ia telah menjangkiti hampir satu juta router di 54 negara, dan senarai peranti yang diketahui dipengaruhi oleh VPNFilter mengandungi banyak model pengguna yang popular. Adalah penting untuk diperhatikan bahawa VPNFilter bukanlah penghalang router yang dapat diserang dan digunakan oleh penyerang untuk mendapatkan akses - ia adalah perisian yang dipasang pada penghala yang tidak sengaja yang dapat melakukan beberapa perkara yang sangat mengerikan.

VPNFilter adalah perisian hasad yang entah bagaimana akan dipasang pada penghala anda, bukan kerentanan yang dapat digunakan penyerang untuk mendapatkan akses.

Serangan pertama VPNFilter terdiri daripada seorang lelaki dalam serangan pertengahan pada lalu lintas masuk. Ia kemudiannya mengalihkan trafik yang disulitkan HTTPS yang selamat kepada sumber yang tidak dapat menerimanya, yang menyebabkan lalu lintas itu kembali kepada normal dan trafik HTTP yang tidak disulitkan. Perisian yang melakukan ini, yang dinamakan oleh para penyelidik, membuat peruntukan khusus untuk tapak yang mempunyai langkah tambahan untuk mencegah hal ini terjadi seperti Twitter.com atau sebarang perkhidmatan Google.

Apabila lalu lintas tidak dienkripsi VPNFilter kemudiannya dapat memantau semua lalu lintas masuk dan keluar yang melalui router yang dijangkiti. Daripada menuai semua lalu lintas dan mengarahkan semula ke pelayan jauh untuk dilihat kemudian, ia secara khusus menyasarkan lalu lintas yang diketahui mengandung bahan sensitif seperti kata laluan atau data perbankan. Data yang disekat kemudiannya akan dihantar kembali ke pelayan yang dikawal oleh penggodam dengan hubungan yang diketahui kepada kerajaan Rusia.

VPNFilter juga dapat mengubah trafik masuk untuk memalsuan tindak balas dari pelayan. Ini membantu melindungi jejak malware dan membolehkannya beroperasi lebih lama sebelum anda dapat memberitahu sesuatu yang salah. Contoh VPNFilter yang boleh dilakukan untuk trafik masuk yang diberikan kepada ARS Technica oleh Craig Williams, pemimpin teknologi kanan dan pengurus jangkauan global di Talos berkata:

Tetapi nampaknya telah berkembang sepenuhnya lalu, dan kini bukan sahaja ia membenarkan mereka untuk melakukan itu, tetapi mereka boleh memanipulasi segala-galanya melalui peranti yang dikompromi. Mereka boleh mengubah suai baki akaun bank anda supaya kelihatan normal sementara pada masa yang sama mereka menyedut wang dan berpotensi kunci PGP dan perkara-perkara seperti itu. Mereka boleh memanipulasi segala-galanya masuk dan keluar dari peranti.

Sukar atau mustahil (bergantung pada set kemahiran anda dan model penghala) untuk mengetahui sama ada anda dijangkiti. Penyelidik mencadangkan sesiapa yang menggunakan router yang diketahui mudah terdedah kepada VPNFilter mengandaikan mereka dijangkiti dan mengambil langkah-langkah yang diperlukan untuk mengembalikan trafik rangkaian mereka.

Penghala dikenali sebagai terdedah

Senarai panjang ini mengandungi router pengguna yang diketahui mudah terdedah kepada VPNFilter. Jika model anda muncul dalam senarai ini, disarankan anda mengikut prosedur di bahagian seterusnya artikel ini. Peranti dalam senarai yang ditandakan sebagai "baru" adalah penghala yang baru-baru ini didapati terdedah.

Asus Devices:

• RT-AC66U (baru)
• RT-N10 (baru)
• RT-N10E (baru)
• RT-N10U (baru)
• RT-N56U (baru)

Peranti D-Link:

• DES-1210-08P (baru)
• DIR-300 (baru)
• DIR-300A (baru)
• DSR-250N (baru)
• DSR-500N (baru)
• DSR-1000 (baru)
• DSR-1000N (baru)

Peranti Huawei:

• HG8245 (baru)

Peranti Linksys:

• E1200
• E2500
• E3000 (baru)
• E3200 (baru)
• E4200 (baru)
• RV082 (baru)
• WRVS4400N

Peranti Mikrotik:

• CCR1009 (baru)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (baru)
• CRS112 (baru)
• CRS125 (baru)
• RB411 (baru)
• RB450 (baru)
• RB750 (baru)
• RB911 (baru)
• RB921 (baru)
• RB941 (baru)
• RB951 (baru)
• RB952 (baru)
• RB960 (baru)
• RB962 (baru)
• RB1100 (baru)
• RB1200 (baru)
• RB2011 (baru)
• RB3011 (baru)
• RB Groove (baru)
• RB Omnitik (baru)
• STX5 (baru)

Peranti Netgear:

• DG834 (baru)
• DGN1000 (baru)
• DGN2200
• DGN3500 (baru)
• FVS318N (baru)
• MBRN3000 (baru)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (baru)
• WNR4000 (baru)
• WNDR3700 (baru)
• WNDR4000 (baru)
• WNDR4300 (baru)
• WNDR4300-TN (baru)
• UTM50 (baru)

Peranti QNAP:

• TS251
• TS439 Pro
• Peranti QNAP NAS lain yang menjalankan perisian QTS

Peranti TP-Link:

• R600VPN
• TL-WR741ND (baru)
• TL-WR841N (baru)

Peranti Ubiquiti:

• NSM2 (baru)
• PBE M5 (baru)

Peranti ZTE:

• ZXHN H108N (baru)

Apa yang perlu anda lakukan

Sekarang, sebaik sahaja anda dapat, anda perlu reboot router anda. Untuk melakukan ini cabut cabut dari bekalan kuasa selama 30 saat kemudian pasangkannya semula. Ramai model aplikasi pemasangan lalai router apabila mereka berkuasa.

Langkah seterusnya adalah untuk mengeset semula penghala kilang anda. Anda akan mendapat maklumat tentang cara melakukannya dalam manual yang terdapat di dalam kotak atau dari laman web pengilang. Ini biasanya melibatkan memasukkan pin ke lubang tersembunyi untuk menekan microswitch. Apabila anda menyambung semula dan menjalankan router anda, anda perlu memastikan ia berada pada versi firmware terkini. Sekali lagi, rujuk dokumentasi yang datang dengan penghala anda untuk mendapatkan butiran tentang cara mengemaskini.

Seterusnya, lakukan pengauditan keselamatan yang cepat tentang bagaimana anda menggunakan penghala anda.

• Jangan gunakan nama pengguna dan kata laluan lalai untuk mentadbirnya. Semua router dengan model yang sama akan menggunakan nama dan kata laluan lalai ini dan itu menjadikan cara mudah untuk mengubah tetapan atau memasang perisian hasad.
• Jangan dedahkan sebarang peranti dalaman ke internet tanpa firewall yang kuat di tempatnya. Ini termasuk perkara seperti pelayan FTP, pelayan NAS, Pelayan Plex atau mana-mana peranti pintar. Sekiranya anda mesti mendedahkan mana-mana peranti yang bersambung di luar rangkaian dalaman anda, kemungkinan anda akan menggunakan perisian penapisan dan penghantaran pelabuhan. Jika tidak, belanjakan dalam perkakasan atau firewall perisian yang kuat.
• Jangan sekali-kali meninggalkan pentadbiran jauh diaktifkan. Ia mungkin mudah jika anda sering jauh dari rangkaian anda tetapi ia adalah titik serangan yang mungkin diketahui oleh setiap penggodam.
• Selalu sentiasa up to date. Ini bermakna menyemak firmware baharu secara tetap, dan yang lebih penting, pastikan untuk memasangnya jika tersedia.

Akhir sekali, jika anda tidak dapat mengemas kini firmware untuk mencegah VPNFilter daripada dipasang (tapak web pengilang anda akan mempunyai butiran) hanya membeli yang baru. Saya tahu bahawa membelanjakan wang untuk menggantikan penghala yang sangat baik dan berfungsi agak melampau, tetapi anda tidak tahu jika penghala anda dijangkiti melainkan anda seorang yang tidak perlu membaca tip-tip seperti ini.

Kami suka sistem penghala mesh baru yang boleh dikemas kini secara automatik setiap kali firmware baru tersedia, seperti Google Wifi, kerana perkara seperti VPNFilter boleh berlaku pada bila-bila masa dan kepada sesiapa sahaja. Perlu berhati-hati jika anda berada di pasaran untuk penghantar baharu.