Router | Malware

FBI doporučuje: Restartujte svůj domácí Wi-Fi router, může v něm být malware se stopami do Ruska

FBI doporučuje: Restartujte svůj domácí Wi-Fi router, může v něm být malware se stopami do Ruska

Aktualizováno: Americký úřad vyšetřování FBI doporučuje majitelům postižených routerů v domácnostech a malých firmách, aby provedli běžný restart. Domény, se kterými virus komunikoval, mezitím vyšetřovatelé zablokovali.

Klepněte pro větší obrázek
Restartujte router, píše v doporučení FBI

Ucelený seznam postižených routerů neexistuje, malware byl ale objeven na některých routerech výrobců MikroTik, Netgear, TP-Link i na nasech QNAP.
Nutno však podotknout, že jak píšeme dále v článku, virus se skládá z několika úrovní a ta nižší může po restartu malware opět spustit. FBI proto doporučuje především aktualizovat firmware routeru.


Cisco zveřejnilo detaily o sofistikovaném útoku na routery v domácnostech a malých firmách a na některé NASy. Byl poměrně úspěšný, malware totiž pronikl nejméně na půl milionu síťových krabiček. A byl natolik pokročilý, že místy připomíná spíše bondovku.

Malware se jmenuje VPNFilter a domácí routery od Linksysu, MikroTiku, Netgearu, TP-Linku a NASy od QNAPu s prostředím BusyBox a linuxovým jádrem ovládl v několika krocích. V první úrovni malware potřeboval navštívit IP adresu serveru, ze kterého stáhl další malware.

Klepněte pro větší obrázek
Nejaktivnější byl VPNFilter počátkem května, kdy infikoval nejvíce routerů

A právě v tom postup připomíná spíše špionážní hollywoodský film, IP adresa záškodnického serveru totiž byla uložena v EXIFu jistého obrázku na úložišti Photobucket jako nesmyslná GPS poloha snímku (třeba 46,151 a 209,33 = IP adresa: 46.151.209.33).

Pokud tento postup selhal, první úroveň viru zkusila doménu toknowall.com nebo čekala na případný paket operátora botnetu s dalšími instrukcemi.

Jakmile VPNFilter stáhl ze serveru aktuální verzi viru druhé úrovně, konečně ovládl celý router a mohl provádět v podstatě cokoliv i po jeho restartu. K dispozici měl paketový sniffer, takže mohl odposlouchávat domácí/podnikovou síť, mohl se pokoušet obcházet HTTPS šifrování a mohl se stát v podstatě univerzálním uzlem botnetu a provádět libovolné operace dle zadání operátora (DoS apod.).

Klepněte pro větší obrázek
Schéma průniku malwaru do routeru podle Cisca, který byl jištěný hned několika cestami. Toto nebyl žádný virus znuděného studenta programování.

Specialitou byl i příkaz ke zničení síťové krabičky. V takovém případě malware přepsal kritickou část firmwaru routeru (pravděpodobně v oblasti zavaděče), poté router restartoval a tím jej prakticky briknul – bez servisního zákroku už nenaběhl.

Malware dokázal komunikovat skrze šifrovanou síť Tor a také uměl odposlouchávat komunikaci na protokolech Modbus a SCADA, které se používají v chytrých domácnostech a podnicích třeba pro ovládání klimatizace a strojů skrze LAN.

VPNFilter ke svému průniku do systému routeru používal také doménu toknowall.com, kterou včera zajistil americký úřad vyšetřování FBI, přičemž stopy podle něj vědou k vysoce sofistikovaným skupinám hackerů, kteří jsou spojovaní s Ruskem. Vzhledem k tomu, že VPNFilter páchal škody zejména na Ukrajině (a v padesátce dalších zemí), tato stopa se jeví jako docela pravděpodobná, ačkoliv skutečnou identitu viníka se nejspíše nikdy nepodaří odhalit.

Diskuze (35) Další článek: PayPal bude díky spojení s Google Pay fungovat přímo v Gmailu, Youtube a dalších službách

Témata článku: Router, Chytrá domácnost, Doména, Viry, Rusko, IoT, Malware, Cisco Systems, Netgear, Botnet, Ucelený seznam, Úřad vyšetřování, Ukrajina, Šifrovaná síť, DOS, Netgearu, Druhá úroveň, Linksysu, NEM, Skutečná identita, Malá firma, LAN, Síťová krabička, Americký úřad, Paketový sniffer


Určitě si přečtěte

Je lepší hrát na PC, či na konzolích? Nebo jsou i jiné možnosti?

Je lepší hrát na PC, či na konzolích? Nebo jsou i jiné možnosti?

** Jaké jsou výhody a nevýhody hraní na počítači? ** Co mají společného a v čem se liší Xbox One, PS4 a Switch? ** Na čem hrát, když nemáte výkonné PC ani konzoli?

Lukáš Václavík | 124

Apple má šanci definitivně se uzamknout. macOS byl na jeho poměry až příliš otevřený

Apple má šanci definitivně se uzamknout. macOS byl na jeho poměry až příliš otevřený

** Apple, vývojáře i uživatele rozhodně nečekají dva roky prázdnin ** macOS se může uzavřít podobně jako iOS a iPadOS ** Přechod na Arm znamená stopku pro hackintoshe

Lukáš Václavík | 105

Windy je laboratoř na počasí: 12 tipů, jak se ve službě vyznat a využít ji naplno

Windy je laboratoř na počasí: 12 tipů, jak se ve službě vyznat a využít ji naplno

** Předpověď počasí Windy nabízí nepřebernou škálu funkcí ** Zorientovat se v nich nemusí být vždy snadné ** Proto přinášíme 12 užitečných tipů a triků

Karel Kilián | 10


Aktuální číslo časopisu Computer

Megatest: nejlepší notebooky do 20 000 Kč

Test 8 levných IP kamer

Jak vybrat bezdrátová sluchátka

Testujeme Android 11