Router | Malware

FBI doporučuje: Restartujte svůj domácí Wi-Fi router, může v něm být malware se stopami do Ruska

FBI doporučuje: Restartujte svůj domácí Wi-Fi router, může v něm být malware se stopami do Ruska

Aktualizováno: Americký úřad vyšetřování FBI doporučuje majitelům postižených routerů v domácnostech a malých firmách, aby provedli běžný restart. Domény, se kterými virus komunikoval, mezitím vyšetřovatelé zablokovali.

Klepněte pro větší obrázek
Restartujte router, píše v doporučení FBI

Ucelený seznam postižených routerů neexistuje, malware byl ale objeven na některých routerech výrobců MikroTik, Netgear, TP-Link i na nasech QNAP.
Nutno však podotknout, že jak píšeme dále v článku, virus se skládá z několika úrovní a ta nižší může po restartu malware opět spustit. FBI proto doporučuje především aktualizovat firmware routeru.


Cisco zveřejnilo detaily o sofistikovaném útoku na routery v domácnostech a malých firmách a na některé NASy. Byl poměrně úspěšný, malware totiž pronikl nejméně na půl milionu síťových krabiček. A byl natolik pokročilý, že místy připomíná spíše bondovku.

Malware se jmenuje VPNFilter a domácí routery od Linksysu, MikroTiku, Netgearu, TP-Linku a NASy od QNAPu s prostředím BusyBox a linuxovým jádrem ovládl v několika krocích. V první úrovni malware potřeboval navštívit IP adresu serveru, ze kterého stáhl další malware.

Klepněte pro větší obrázek
Nejaktivnější byl VPNFilter počátkem května, kdy infikoval nejvíce routerů

A právě v tom postup připomíná spíše špionážní hollywoodský film, IP adresa záškodnického serveru totiž byla uložena v EXIFu jistého obrázku na úložišti Photobucket jako nesmyslná GPS poloha snímku (třeba 46,151 a 209,33 = IP adresa: 46.151.209.33).

Pokud tento postup selhal, první úroveň viru zkusila doménu toknowall.com nebo čekala na případný paket operátora botnetu s dalšími instrukcemi.

Jakmile VPNFilter stáhl ze serveru aktuální verzi viru druhé úrovně, konečně ovládl celý router a mohl provádět v podstatě cokoliv i po jeho restartu. K dispozici měl paketový sniffer, takže mohl odposlouchávat domácí/podnikovou síť, mohl se pokoušet obcházet HTTPS šifrování a mohl se stát v podstatě univerzálním uzlem botnetu a provádět libovolné operace dle zadání operátora (DoS apod.).

Klepněte pro větší obrázek
Schéma průniku malwaru do routeru podle Cisca, který byl jištěný hned několika cestami. Toto nebyl žádný virus znuděného studenta programování.

Specialitou byl i příkaz ke zničení síťové krabičky. V takovém případě malware přepsal kritickou část firmwaru routeru (pravděpodobně v oblasti zavaděče), poté router restartoval a tím jej prakticky briknul – bez servisního zákroku už nenaběhl.

Malware dokázal komunikovat skrze šifrovanou síť Tor a také uměl odposlouchávat komunikaci na protokolech Modbus a SCADA, které se používají v chytrých domácnostech a podnicích třeba pro ovládání klimatizace a strojů skrze LAN.

VPNFilter ke svému průniku do systému routeru používal také doménu toknowall.com, kterou včera zajistil americký úřad vyšetřování FBI, přičemž stopy podle něj vědou k vysoce sofistikovaným skupinám hackerů, kteří jsou spojovaní s Ruskem. Vzhledem k tomu, že VPNFilter páchal škody zejména na Ukrajině (a v padesátce dalších zemí), tato stopa se jeví jako docela pravděpodobná, ačkoliv skutečnou identitu viníka se nejspíše nikdy nepodaří odhalit.

Diskuze (35) Další článek: PayPal bude díky spojení s Google Pay fungovat přímo v Gmailu, Youtube a dalších službách

Témata článku: Rusko, Chytrá domácnost, Router, Malware, Viry, IoT, Cisco Systems, Doména, Netgear, Botnet, M/s, Domácí router, Šifrovaná síť, LAN, DOS, Jistý obrázek, Mikrotik, Ucelený seznam, Malá firma, Cisco, Ukrajina, Paketový sniffer, Kritická část, Síťová krabička, Americký úřad


Určitě si přečtěte

AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

** AMD představilo tři nové grafické karty ** Všechny s architekturou RDNA2, kterou používají i PS5 a Xbox Series ** Karty útočí přímo na GeForce RTX 3000

Karel Javůrek | 77

Karel Javůrek
Radeon RX 6000Grafické kartyAMD
Elon Musk podpořil Signal jako náhradu WhatsAppu. Aplikaci okamžitě zavalili uživatelé
Markéta Mikešová
WhatsAppElon MuskFacebook
Starlink podle betatesterů: Rychlejší a levnější než satelitní internet v Česku

Starlink podle betatesterů: Rychlejší a levnější než satelitní internet v Česku

** Reddit se začíná plnit zkušenostmi se Starlinkem ** Při přímé viditelnosti dá i 120 Mb/s ** Klasický satelitní internet už teď dalece překonává

Jakub Čížek | 48

Jakub Čížek
StarlinkPoskytovatelé internetu
26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

26 užitečných rozšíření pro Chrome: Naučte prohlížeč nové věci

** Prohlížeč Chrome obsahuje širokou škálu funkcí, neumí ale všechno ** Jeho schopnosti můžete rozšířit pomocí rozšíření ** Vybrali jsme pro vás zajímavé a užitečné doplňky

Karel Kilián | 44

Karel Kilián
Doplňky do prohlížečeChromeProhlížeče
Nejlepší herní notebooky a pracovní stroje: Když máte více než 20 tisíc

Nejlepší herní notebooky a pracovní stroje: Když máte více než 20 tisíc

** Když máte na notebook více než 20 tisíc korun, odpadají kompromisy ** Notebooky na práci dostávají tenká kovová těla a styl ** Herní notebooky zvládnou i nejmodernější hry v plné kvalitě

David Polesný | 43

David Polesný
Notebooky
Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

Vybrali jsme 12 programovatelných hraček a stavebnic pro děti a jejich rodiče

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme stavebnice pro malé caparty i budoucí experty

Jakub Čížek | 10

Jakub Čížek
Stavebnice

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5