FBI doporučuje: Restartujte svůj domácí Wi-Fi router, může v něm být malware se stopami do Ruska

FBI doporučuje: Restartujte svůj domácí Wi-Fi router, může v něm být malware se stopami do Ruska

Aktualizováno: Americký úřad vyšetřování FBI doporučuje majitelům postižených routerů v domácnostech a malých firmách, aby provedli běžný restart. Domény, se kterými virus komunikoval, mezitím vyšetřovatelé zablokovali.

Klepněte pro větší obrázek
Restartujte router, píše v doporučení FBI

Ucelený seznam postižených routerů neexistuje, malware byl ale objeven na některých routerech výrobců MikroTik, Netgear, TP-Link i na nasech QNAP.
Nutno však podotknout, že jak píšeme dále v článku, virus se skládá z několika úrovní a ta nižší může po restartu malware opět spustit. FBI proto doporučuje především aktualizovat firmware routeru.


Cisco zveřejnilo detaily o sofistikovaném útoku na routery v domácnostech a malých firmách a na některé NASy. Byl poměrně úspěšný, malware totiž pronikl nejméně na půl milionu síťových krabiček. A byl natolik pokročilý, že místy připomíná spíše bondovku.

Malware se jmenuje VPNFilter a domácí routery od Linksysu, MikroTiku, Netgearu, TP-Linku a NASy od QNAPu s prostředím BusyBox a linuxovým jádrem ovládl v několika krocích. V první úrovni malware potřeboval navštívit IP adresu serveru, ze kterého stáhl další malware.

Klepněte pro větší obrázek
Nejaktivnější byl VPNFilter počátkem května, kdy infikoval nejvíce routerů

A právě v tom postup připomíná spíše špionážní hollywoodský film, IP adresa záškodnického serveru totiž byla uložena v EXIFu jistého obrázku na úložišti Photobucket jako nesmyslná GPS poloha snímku (třeba 46,151 a 209,33 = IP adresa: 46.151.209.33).

Pokud tento postup selhal, první úroveň viru zkusila doménu toknowall.com nebo čekala na případný paket operátora botnetu s dalšími instrukcemi.

Jakmile VPNFilter stáhl ze serveru aktuální verzi viru druhé úrovně, konečně ovládl celý router a mohl provádět v podstatě cokoliv i po jeho restartu. K dispozici měl paketový sniffer, takže mohl odposlouchávat domácí/podnikovou síť, mohl se pokoušet obcházet HTTPS šifrování a mohl se stát v podstatě univerzálním uzlem botnetu a provádět libovolné operace dle zadání operátora (DoS apod.).

Klepněte pro větší obrázek
Schéma průniku malwaru do routeru podle Cisca, který byl jištěný hned několika cestami. Toto nebyl žádný virus znuděného studenta programování.

Specialitou byl i příkaz ke zničení síťové krabičky. V takovém případě malware přepsal kritickou část firmwaru routeru (pravděpodobně v oblasti zavaděče), poté router restartoval a tím jej prakticky briknul – bez servisního zákroku už nenaběhl.

Malware dokázal komunikovat skrze šifrovanou síť Tor a také uměl odposlouchávat komunikaci na protokolech Modbus a SCADA, které se používají v chytrých domácnostech a podnicích třeba pro ovládání klimatizace a strojů skrze LAN.

VPNFilter ke svému průniku do systému routeru používal také doménu toknowall.com, kterou včera zajistil americký úřad vyšetřování FBI, přičemž stopy podle něj vědou k vysoce sofistikovaným skupinám hackerů, kteří jsou spojovaní s Ruskem. Vzhledem k tomu, že VPNFilter páchal škody zejména na Ukrajině (a v padesátce dalších zemí), tato stopa se jeví jako docela pravděpodobná, ačkoliv skutečnou identitu viníka se nejspíše nikdy nepodaří odhalit.

Diskuze (35) Další článek: PayPal bude díky spojení s Google Pay fungovat přímo v Gmailu, Youtube a dalších službách

Témata článku: IoT, Malware, Chytrá domácnost, Router, Rusko, Doména, Viry, Cisco Systems, Netgear, Botnet, Viník, Linksysu, Kritická část, DOS, Linuxové jádro, Malá firma, Netgearu, První úroveň, Síťová krabička, Virus, Cisco, BusyBox, Domácí router, Americký úřad, Jistý obrázek


Určitě si přečtěte

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

** Concorde byl nejrychlejším dopravním letadlem ** Atlantik dokázal přeletět za cca 3 až 3,5 hodiny ** Před osmnácti lety tragická havárie provoz těchto letadel prakticky ukončila

David Polesný, Jiří Černý | 38

Kvantový internet se blíží. Oproti tomu klasickému bude mnohem bezpečnější

Kvantový internet se blíží. Oproti tomu klasickému bude mnohem bezpečnější

** Jednotlivé bloky kvantového internetu už se pomalu vyvíjí a testují ** Kvantová síť už bude mít své uplatnění dříve, než bude všude dostupný kvantový internet ** Nejdříve půjde o doplněk ke klasickému internetu

Karel Javůrek | 14

Tajuplná čínská raketa by mohla ohrozit vzdušnou sílu amerického letectva

Tajuplná čínská raketa by mohla ohrozit vzdušnou sílu amerického letectva

** Čínské letectvo vyvíjí záhadnou raketu typu vzduch-vzduch ** Mysteriózní zbraň nese označení PL-XX ** Jde o raketu vzduch-vzduch s velmi dalekým doletem

Stanislav Mihulka | 12

Šmírování kamerami Googlu: Koukněte se, co zachytily na Street View

Šmírování kamerami Googlu: Koukněte se, co zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 44


Aktuální číslo časopisu Computer

Odhalte skryté funkce Windows 10

Test levných Androidů do 4 000 Kč

Srovnání úsporných minipočítačů

Změřili jsme rychlost 10Gb/s ethernetu