FBI doporučuje: Restartujte svůj domácí Wi-Fi router, může v něm být malware se stopami do Ruska

FBI doporučuje: Restartujte svůj domácí Wi-Fi router, může v něm být malware se stopami do Ruska

Aktualizováno: Americký úřad vyšetřování FBI doporučuje majitelům postižených routerů v domácnostech a malých firmách, aby provedli běžný restart. Domény, se kterými virus komunikoval, mezitím vyšetřovatelé zablokovali.

Klepněte pro větší obrázek
Restartujte router, píše v doporučení FBI

Ucelený seznam postižených routerů neexistuje, malware byl ale objeven na některých routerech výrobců MikroTik, Netgear, TP-Link i na nasech QNAP.
Nutno však podotknout, že jak píšeme dále v článku, virus se skládá z několika úrovní a ta nižší může po restartu malware opět spustit. FBI proto doporučuje především aktualizovat firmware routeru.


Cisco zveřejnilo detaily o sofistikovaném útoku na routery v domácnostech a malých firmách a na některé NASy. Byl poměrně úspěšný, malware totiž pronikl nejméně na půl milionu síťových krabiček. A byl natolik pokročilý, že místy připomíná spíše bondovku.

Malware se jmenuje VPNFilter a domácí routery od Linksysu, MikroTiku, Netgearu, TP-Linku a NASy od QNAPu s prostředím BusyBox a linuxovým jádrem ovládl v několika krocích. V první úrovni malware potřeboval navštívit IP adresu serveru, ze kterého stáhl další malware.

Klepněte pro větší obrázek
Nejaktivnější byl VPNFilter počátkem května, kdy infikoval nejvíce routerů

A právě v tom postup připomíná spíše špionážní hollywoodský film, IP adresa záškodnického serveru totiž byla uložena v EXIFu jistého obrázku na úložišti Photobucket jako nesmyslná GPS poloha snímku (třeba 46,151 a 209,33 = IP adresa: 46.151.209.33).

Pokud tento postup selhal, první úroveň viru zkusila doménu toknowall.com nebo čekala na případný paket operátora botnetu s dalšími instrukcemi.

Jakmile VPNFilter stáhl ze serveru aktuální verzi viru druhé úrovně, konečně ovládl celý router a mohl provádět v podstatě cokoliv i po jeho restartu. K dispozici měl paketový sniffer, takže mohl odposlouchávat domácí/podnikovou síť, mohl se pokoušet obcházet HTTPS šifrování a mohl se stát v podstatě univerzálním uzlem botnetu a provádět libovolné operace dle zadání operátora (DoS apod.).

Klepněte pro větší obrázek
Schéma průniku malwaru do routeru podle Cisca, který byl jištěný hned několika cestami. Toto nebyl žádný virus znuděného studenta programování.

Specialitou byl i příkaz ke zničení síťové krabičky. V takovém případě malware přepsal kritickou část firmwaru routeru (pravděpodobně v oblasti zavaděče), poté router restartoval a tím jej prakticky briknul – bez servisního zákroku už nenaběhl.

Malware dokázal komunikovat skrze šifrovanou síť Tor a také uměl odposlouchávat komunikaci na protokolech Modbus a SCADA, které se používají v chytrých domácnostech a podnicích třeba pro ovládání klimatizace a strojů skrze LAN.

VPNFilter ke svému průniku do systému routeru používal také doménu toknowall.com, kterou včera zajistil americký úřad vyšetřování FBI, přičemž stopy podle něj vědou k vysoce sofistikovaným skupinám hackerů, kteří jsou spojovaní s Ruskem. Vzhledem k tomu, že VPNFilter páchal škody zejména na Ukrajině (a v padesátce dalších zemí), tato stopa se jeví jako docela pravděpodobná, ačkoliv skutečnou identitu viníka se nejspíše nikdy nepodaří odhalit.

Diskuze (35) Další článek: PayPal bude díky spojení s Google Pay fungovat přímo v Gmailu, Youtube a dalších službách

Témata článku: Malware, IoT, Chytrá domácnost, Doména, Router, Rusko, Viry, Cisco Systems, Netgear, Botnet, Kritická část, Linksysu, Šifrovaná síť, LAN, Linuxové jádro, Mikrotik, Ucelený seznam, BusyBox, Domácí router, DOS, Záškodnický server, Druhá úroveň, Cisco, Znuděný student, Malá firma


Určitě si přečtěte

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 62

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

** Alternativní DNS servery mohou zpříjemnit surfování na internetu ** Existuje několik ověřených alternativ, nejen známé DNS od Googlu ** Alternativní DNS však mají i své nevýhody, pozor na ně

Petr Březina | 31

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

** Čeští vědci pod vedením Tomáše Jungwirtha vyvíjí nový typ revolučního paměťového čipu ** Zatímco v současnosti elektronika pracuje s elektrony, v budoucnu to budou spiny elektronů ** Čipy budou moci být klidně i 1 000x rychlejší a úspornější

Karel Javůrek | 32

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

David Polesný | 27

Šmírování kamerami Googlu: Koukněte se, co zachytily na Street View

Šmírování kamerami Googlu: Koukněte se, co zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 44


Aktuální číslo časopisu Computer

Jak mobily určují svoji polohu?

Velký test notebooků pro studenty

Nejlepší reproduktory na párty

Služby a aplikace pro výuku angličtiny