Malware ovládl 500 tisíc routerů!!
Malware ovládl 500 tisíc routerů!!
Cisco zveřejnilo detaily o sofistikovaném útoku na routery v domácnostech a malých firmách a na některé NASy. Byl poměrně úspěšný, malware totiž pronikl nejméně na půl milionu síťových krabiček. A byl natolik pokročilý, že místy připomíná spíše bondovku.
Malware se jmenuje VPNFilter a domácí routery od Linksysu, MikroTiku, Netgearu, TP-Linku a NASy od QNAPu s prostředím BusyBox a linuxovým jádrem ovládl v několika krocích. V první úrovni malware potřeboval navštívit IP adresu serveru, ze kterého stáhl další malware.
A právě v tom postup připomíná spíše špionážní hollywoodský film, IP adresa záškodnického serveru totiž byla uložena v EXIFu jistého obrázku na úložišti Photobucket jako nesmyslná GPS poloha snímku (třeba 46,151 a 209,33 = IP adresa: 46.151.209.33).
Pokud tento postup selhal, první úroveň viru zkusila doménu toknowall.com nebo čekala na případný paket operátora botnetu s dalšími instrukcemi.
Jakmile VPNFilter stáhl ze serveru aktuální verzi viru druhé úrovně, konečně ovládl celý router a mohl provádět v podstatě cokoliv. K dispozici měl paketový sniffer, takže mohl odposlouchávat domácí/podnikovou síť, mohl se pokoušet obcházet HTTPS šifrování a mohl se stát v podstatě univerzálním uzlem botnetu a provádět libovolné operace dle zadání operátora (DoS apod.).
Specialitou byl i příkaz ke zničení síťové krabičky. V takovém případě malware přepsal kritickou část firmwaru routeru (pravděpodobně v oblasti zavaděče), poté router restartoval a tím jej prakticky briknul – bez servisního zákroku už nenaběhl.
Malware dokázal komunikovat skrze šifrovanou síť Tor a také uměl odposlouchávat komunikaci na protokolech Modbus a SCADA, které se používají v chytrých domácnostech a podnicích třeba pro ovládání klimatizace a strojů skrze LAN.
VPNFilter ke svému průniku do systému routeru používal také doménu toknowall.com, kterou včera zjistil americký úřad vyšetřování FBI, přičemž stopy podle něj vědou k vysoce sofistikovaným skupinám hackerů, kteří jsou spojovaní s Ruskem. Vzhledem k tomu, že VPNFilter páchal škody zejména na Ukrajině (a v padesátce dalších zemí), tato stopa se jeví jako docela pravděpodobná, ačkoliv skutečnou identitu viníka se nejspíše nikdy nepodaří odhalit.
Více na: https://www.zive.cz/clanky/cisco-odhalilo-supermalware-ovladl-500-tisic-routeru-a-delal-si-s-nimi-co-chtel/sc-3-a-193320/default.aspxVíce na: https://www.zive.cz/clanky/cisco-odhalilo-supermalware-ovladl-500-tisic-routeru-a-delal-si-s-nimi-co-chtel/sc-3-a-193320/default.aspx
Více na: https://www.zive.cz/clanky/cisco-odhalilo-supermalware-ovladl-500-tisic-routeru-a-delal-si-s-nimi-co-chtel/sc-3-a-193320/default.aspxVíce na: https://www.zive.cz/clanky/cisco-odhalilo-supermalware-ovladl-500-tisic-routeru-a-delal-si-s-nimi-co-chtel/sc-3-a-193320/default.aspx
Specialitou byl i příkaz ke zničení síťové krabičky. V takovém případě malware přepsal kritickou část firmwaru routeru (pravděpodobně v oblasti zavaděče), poté router restartoval a tím jej prakticky briknul – bez servisního zákroku už nenaběhl.Více na: https://www.zive.cz/clanky/cisco-odhalilo-supermalware-ovladl-500-tisic-routeru-a-delal-si-s-nimi-co-chtel/sc-3-a-193320/default.aspx
Více na: https://www.zive.cz/clanky/cisco-odhalilo-supermalware-ovladl-500-tisic-routeru-a-delal-si-s-nimi-co-chtel/sc-3-a-193320/default.aspxVíce na: https://www.zive.cz/clanky/cisco-odhalilo-supermalware-ovladl-500-tisic-routeru-a-delal-si-s-nimi-co-chtel/sc-3-a-193320/default.aspxVíce na: https://www.zive.cz/clanky/cisco-odhalilo-supermalware-ovladl-500-tisic-routeru-a-delal-si-s-nimi-co-chtel/sc-3-a-193320/default.aspxVíce na: https://www.zive.cz/clanky/cisco-odhalilo-supermalware-ovladl-500-tisic-routeru-a-delal-si-s-nimi-co-chtel/sc-3-a-193320/default.aspx