A Cisco Tallos csoportja, amely az internetes biztonságot fenyegető veszélyek felismerésével és elemzésével foglalkozik, május folyamán egy érdekes botnet malware-t fedezett fel, ami a VPNFilter nevet viseli. Már akkoriban is látszott, hogy egy kifinomult, gyorsan terjedő fertőzésről van szó, ami több gyártó termékeit is érinti. A Cisco a napokban újabb adatokat közölt a VPNFilter malware képességeivel kapcsolatban, amelyek elég ijesztőek.
A VPNFilter az eddigi adatok szerint 54 országban fertőzött meg hálózati adattárolókat és routereket, amelyek száma együttesen az 500 000-et is meghaladja. A malware terjedéséhez publikus biztonsági réseket támad, nem nulladik napi sebezhetőségekre pályázik, de ezek mellett a gyártói bejelentkezési adatokat is próbálgatja a különböző eszközökön, hátha nem változtatta meg őket az adott felhasználó. És sajnos nagyon sokszor sikerrel is jár. Az FBI korábban már azonosította és le is kapcsolta a malware vezérlő szerverét, de a botnet így is aktív maradt, hála a többszintű szerkezetének.
A malware azért is veszélyes, mert a megfertőzött routereken és hálózati adattárolókon keresztül képes a többi hálózati eszközt is megtámadni és megfertőzni, eltávolítása pedig nem mindig egyszerű: egy sima eszköz-újraindítás nem elégséges. A malware Stage 3 Modulja, amely „ssler” néven is fut, tartalmaz egy speciális algoritmust, ami képes „lehallgatni” a hálózati adatforgalmat, sőt, közbeékelődéses támadással (Man-in-the-Middle) kártékony kódokat is bele tud ültetni a hálózati csomagokba. A 80-as porton zajló forgalmat szűrő és hallgató modul JavaScript alapú kártékony kódokkal dolgozik, a különböző eszközök támadásához pedig paraméterlistát használ, amely alapján a támadásokat és az ellopott adatok tárolását végzi, valamint meghatározza, mely weboldalakat érdemes felhasználni a támadások kivitelezéséhez. Ezzel együtt IP tábla szabályokat is létrehoz, amelyekkel a 80-as portra érkező forgalmat saját figyelő szolgáltatásához irányítja a 8888-as porthoz. Ezeket a szabályokat nagyjából 4 percenként törli és újra létrehozza a malware, hogy biztosan hatályban maradjanak még akkor is, ha felhasználó gyanút fog és törli őket. További érdekes képesség az SSLStrip támadás lehetősége, amelynek keretén belül a HTTPS kapcsolatot használó weboldalakat „ráveszi” a modul, hogy váltsanak vissza sima HTTP kapcsolatra, így az adatok titkosítás nélkül vándorolnak a szerver és a kliens között, ami kedvez a kényes adatok ellopásának.
Nagyfokú kifinomultságra utal az a funkció is, ami a dstr nevet kapta, ez ugyanis egy egyszerű eszköz-megsemmisítő modul. A „kill” parancsot távolról, egy eszközre is kiadhatják a kártékony kód írói, de akár tömeges „eszközhalált” is okozhatnak. A „kill” funkció keretén belül törli a malware az adott eszköz működéséhez szükséges fájlok egy részét, így az eszköz használhatatlanná válik. A gyanú szerint ezt akkor is megteszi, ha azt tapasztalja, hogy jelenléte után kutatnak.
A többszintű malware eltávolítása nem egyszerű, hiszen az esetek többségében egy sima újraindítás nem elég, mert a malware Stage 1-es modulja az eszközön marad, így ez újratelepíti a Stage 2-es és a Stage 3-as modulokat is. Egyes gyártók termékeinél egy hard reset megoldást jelenthet, az ugyanis eltávolíthatja a Stage 1-es modult is, ám az esetek többségében egy újraindítás utáni firmware frissítés tehet pontot az ügy végére, lehetőleg internetkapcsolat nélkül, majd a gyártói bejelentkezési adatokat azonnal meg kell változtatni, mielőtt az eszköz újra internetre kapcsolódna. Ha publikus biztonsági résen keresztül fertőzte meg az eszközt a malware, akkor nincs mit tenni addig, míg a gyártó be nem foltozza a biztonsági rést. Ha erre nincs esély, érdemes új, megbízhatóbb router után nézni, hiszen adataink sokszor sokkal többet érnek, mint egy egyszerű router. Az érintett gyártók és termékeik listája:
ASUS
- RT-AC66U
- RT-N10
- RT-N10E
- RT-N10U
- RT-N56U
- RT-N66U
D-LINK
- DES-1210-08P
- DIR-300
- DIR-300A
- DSR-250N
- DSR-500N
- DSR-1000
- DSR-1000N
HUAWEI
- HG8245
LINKSYS
- E1200
- E2500
- E3000
- E3200
- E4200
- RV082
- WRVS4400N
MIKROTIK
- CCR1009
- CCR1016
- CCR1036
- CCR1072
- CRS109
- CRS112
- CRS125
- RB411
- RB450
- RB750
- RB911
- RB921
- RB941
- RB951
- RB952
- RB960
- RB962
- RB1100
- RB1200
- RB2011
- RB3011
- RB Groove
- RB Omnitik
- STX5
NETGEAR
- DG834
- DGN1000
- DGN2200
- DGN3500
- FVS318N
- MBRN3000
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200
- WNR4000
- WNDR3700
- WNDR4000
- WNDR4300
- WNDR4300-TN
- UTM50
QNAP
- TS251
- TS439 Pro
Egyéb QNAP NAS eszközök is érintettek lehetnek, amelyeken QTS szoftver fut
TP-LINK
- R600VPN
- TL-WR741ND
- TL-WR841N
UBIQUITI
- NSM2
- PBE M5
UPVEL
- Még nem sikerült azonosítani a pontos modelleket
ZTE
- ZXHN H108N
További információk a malware pontos működésével kapcsoltban:
