Phần mềm độc hại Vpnfilter đã lây nhiễm một triệu bộ định tuyến - đây là những gì bạn cần biết

Một phát hiện gần đây rằng phần mềm độc hại dựa trên bộ định tuyến mới, được gọi là VPNFilter, đã lây nhiễm hơn 500.000 bộ định tuyến thậm chí còn trở thành tin tức tồi tệ hơn. Trong một báo cáo dự kiến ​​sẽ được phát hành vào ngày 13 tháng 6, Cisco tuyên bố rằng hơn 200.000 bộ định tuyến bổ sung đã bị nhiễm và khả năng của VPNFilter kém hơn nhiều so với suy nghĩ ban đầu. Ars Technica đã báo cáo về những gì mong đợi từ Cisco vào thứ Tư.

VPNFilter là phần mềm độc hại được cài đặt trên bộ định tuyến Wi-Fi. Nó đã lây nhiễm gần một triệu bộ định tuyến trên 54 quốc gia và danh sách các thiết bị bị ảnh hưởng bởi VPNFilter chứa nhiều mô hình tiêu dùng phổ biến. Điều quan trọng cần lưu ý là VPNFilter không phải là một bộ khai thác bộ định tuyến mà kẻ tấn công có thể tìm và sử dụng để có quyền truy cập - đó là phần mềm được cài đặt trên bộ định tuyến một cách vô tình có thể thực hiện một số điều có khả năng khủng khiếp.

VPNFilter là phần mềm độc hại bằng cách nào đó được cài đặt trên bộ định tuyến của bạn, không phải là lỗ hổng mà kẻ tấn công có thể sử dụng để có quyền truy cập.

Cuộc tấn công đầu tiên của VPNFilter bao gồm sử dụng một người đàn ông trong cuộc tấn công giữa vào lưu lượng truy cập đến. Sau đó, nó cố gắng chuyển hướng lưu lượng được mã hóa HTTPS an toàn đến một nguồn không thể chấp nhận, điều này khiến lưu lượng đó quay trở lại lưu lượng HTTP bình thường, không được mã hóa. Phần mềm thực hiện điều này, được đặt tên là ssler bởi các nhà nghiên cứu, đưa ra các quy định đặc biệt cho các trang web có các biện pháp bổ sung để ngăn chặn điều này xảy ra như Twitter.com hoặc bất kỳ dịch vụ nào của Google.

Khi lưu lượng truy cập không được mã hóa, VPNFilter sẽ có thể theo dõi tất cả lưu lượng truy cập trong và ngoài đi qua một bộ định tuyến bị nhiễm. Thay vì thu hoạch tất cả lưu lượng truy cập và chuyển hướng đến một máy chủ từ xa để xem xét sau này, nó đặc biệt nhắm mục tiêu lưu lượng được biết là có chứa tài liệu nhạy cảm như mật khẩu hoặc dữ liệu ngân hàng. Dữ liệu bị chặn sau đó có thể được gửi trở lại máy chủ do tin tặc kiểm soát có mối quan hệ đã biết với chính phủ Nga.

VPNFilter cũng có thể thay đổi lưu lượng truy cập đến để làm sai lệch các phản hồi từ máy chủ. Điều này giúp che dấu vết của phần mềm độc hại và cho phép nó hoạt động lâu hơn trước khi bạn có thể nói có gì đó không ổn. Một ví dụ về những gì VPNFilter có thể làm đối với lưu lượng truy cập đến được cung cấp cho ARS Technica bởi Craig Williams, một nhà lãnh đạo công nghệ cao cấp và người quản lý tiếp cận toàn cầu tại Talos nói:

Nhưng có vẻ như nó đã hoàn toàn phát triển trong quá khứ và giờ đây, nó không chỉ cho phép họ làm điều đó mà còn có thể điều khiển mọi thứ đi qua thiết bị bị xâm nhập. Họ có thể sửa đổi số dư tài khoản ngân hàng của bạn để nó trông bình thường đồng thời họ đang rút tiền và các khóa PGP có khả năng và những thứ tương tự. Họ có thể thao tác mọi thứ ra vào thiết bị.

Thật khó hoặc không thể (tùy thuộc vào bộ kỹ năng và mô hình bộ định tuyến của bạn) để biết bạn có bị nhiễm hay không. Các nhà nghiên cứu đề nghị bất cứ ai sử dụng bộ định tuyến dễ bị VPNFilter cho rằng họ bị nhiễm và thực hiện các bước cần thiết để lấy lại quyền kiểm soát lưu lượng mạng của họ.

Bộ định tuyến dễ bị tổn thương

Danh sách dài này chứa các bộ định tuyến người tiêu dùng được biết là dễ bị VPNFilter. Nếu mô hình của bạn xuất hiện trong danh sách này, bạn nên làm theo các quy trình trong phần tiếp theo của bài viết này. Các thiết bị trong danh sách được đánh dấu là "mới" là các bộ định tuyến chỉ được phát hiện gần đây là dễ bị tấn công.

Thiết bị Asus:

• RT-AC66U (mới)
• RT-N10 (mới)
• RT-N10E (mới)
• RT-N10U (mới)
• RT-N56U (mới)

Thiết bị D-Link:

• DES-1210-08P (mới)
• DIR-300 (mới)
• DIR-300A (mới)
• DSR-250N (mới)
• DSR-500N (mới)
• DSR-1000 (mới)
• DSR-1000N (mới)

Thiết bị Huawei:

• HG8245 (mới)

Thiết bị Linksys:

• E1200
• E2500
• E3000 (mới)
• E3200 (mới)
• E4200 (mới)
• RV082 (mới)
• WRVS4400N

Thiết bị Mikrotik:

• CCR1009 (mới)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (mới)
• CRS112 (mới)
• CRS125 (mới)
• RB411 (mới)
• RB450 (mới)
• RB750 (mới)
• RB911 (mới)
• RB921 (mới)
• RB941 (mới)
• RB951 (mới)
• RB952 (mới)
• RB960 (mới)
• RB962 (mới)
• RB1100 (mới)
• RB1200 (mới)
• RB2011 (mới)
• RB3011 (mới)
• Rãnh RB (mới)
• RB Omnitik (mới)
• STX5 (mới)

Thiết bị Netgear:

• DG834 (mới)
• DGN1000 (mới)
• DGN2200
• DGN3500 (mới)
• FVS318N (mới)
• MBRN3000 (mới)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (mới)
• WNR4000 (mới)
• WNDR3700 (mới)
• WNDR4000 (mới)
• WNDR4300 (mới)
• WNDR4300-TN (mới)
• UTM50 (mới)

Thiết bị QNAP:

• TS251
• TS439 Pro
• Các thiết bị NAS QNAP khác chạy phần mềm QTS

Thiết bị TP-Link:

• R600VPN
• TL-WR741ND (mới)
• TL-WR841N (mới)

Thiết bị Ubiquiti:

• NSM2 (mới)
• PBE M5 (mới)

Thiết bị ZTE:

• ZXHN H108N (mới)

Bạn cần gì để làm

Ngay bây giờ, ngay khi bạn có thể, bạn nên khởi động lại bộ định tuyến của mình. Để thực hiện việc này, chỉ cần rút phích cắm ra khỏi nguồn điện trong 30 giây rồi cắm lại. Nhiều kiểu bộ định tuyến đã cài đặt các ứng dụng khi chúng được cấp nguồn.

Bước tiếp theo là nhà máy thiết lập lại bộ định tuyến của bạn. Bạn sẽ tìm thấy thông tin về cách thực hiện việc này trong hướng dẫn đi kèm trong hộp hoặc từ trang web của nhà sản xuất. Điều này thường liên quan đến việc chèn một pin vào một lỗ lõm để nhấn microswitch. Khi bạn lấy lại bộ định tuyến và chạy, bạn cần đảm bảo rằng nó có trên phiên bản phần sụn mới nhất. Một lần nữa, tham khảo tài liệu đi kèm với bộ định tuyến của bạn để biết chi tiết về cách cập nhật.

Tiếp theo, thực hiện kiểm tra bảo mật nhanh về cách bạn đang sử dụng bộ định tuyến của mình.

• Không bao giờ sử dụng tên người dùng và mật khẩu mặc định để quản lý nó. Tất cả các bộ định tuyến của cùng một mô hình sẽ sử dụng tên và mật khẩu mặc định đó và điều đó giúp dễ dàng thay đổi cài đặt hoặc cài đặt phần mềm độc hại.
• Không bao giờ để bất kỳ thiết bị nội bộ nào lên internet mà không có tường lửa mạnh. Điều này bao gồm những thứ như máy chủ FTP, máy chủ NAS, Máy chủ Plex hoặc bất kỳ thiết bị thông minh nào. Nếu bạn phải để lộ bất kỳ thiết bị được kết nối nào bên ngoài mạng nội bộ của mình, bạn có thể sử dụng phần mềm chuyển tiếp và lọc cổng. Nếu không, hãy đầu tư vào một tường lửa phần cứng hoặc phần mềm mạnh.
• Không bao giờ để quản trị từ xa kích hoạt. Có thể thuận tiện nếu bạn thường xuyên rời khỏi mạng của mình nhưng đó là điểm tấn công tiềm năng mà mọi hacker đều biết để tìm kiếm.
• Luôn luôn cập nhật. Điều này có nghĩa là kiểm tra phần sụn mới thường xuyên và quan trọng hơn là đảm bảo cài đặt phần mềm nếu có.

Cuối cùng, nếu bạn không thể cập nhật chương trình cơ sở để ngăn VPNFilter cài đặt (trang web của nhà sản xuất của bạn sẽ có chi tiết), chỉ cần mua một phần mềm mới. Tôi biết rằng việc chi tiền để thay thế một bộ định tuyến hoàn toàn tốt và hoạt động là hơi cực, nhưng bạn sẽ không biết bộ định tuyến của mình có bị nhiễm trừ khi bạn là người không cần phải đọc những lời khuyên này.

Chúng tôi yêu thích các hệ thống bộ định tuyến lưới mới có thể được cập nhật tự động bất cứ khi nào có chương trình cơ sở mới, chẳng hạn như Google Wifi, bởi vì những điều như VPNFilter có thể xảy ra bất cứ lúc nào và với bất kỳ ai. Thật đáng để xem nếu bạn đang ở trong thị trường cho một bộ định tuyến mới.