Το VPNFilter malware χτύπησε χιλιάδες δρομολογητές παγκοσμίως

Αρκετοί ερευνητές ασφαλείας του διαδικτύου του ιδιωτικού και του δημόσιου τομέα πρόσφατα προειδοποίησαν ότι μία ρωσική ομάδα χάκερ υποστηριζόμενη από το κράτος έχει μολύνει πάνω από 500.000 δρομολογητές σε 54 χώρες με κακόβουλο λογισμικό.

Ωστόσο τώρα οι ερευνητές από την ομάδα ασφάλειας της Talos και της Cisco αποκάλυψαν ότι αυτό το κακόβουλο λογισμικό είναι πιο ισχυρό από ότι αρχικά υπολογιζόταν ότι είναι.

Οι ερευνητές ανακάλυψαν ότι το malware που ονομάζεται VPNFilter, περιέχει μια σειρά από νέες δυνατότητες, συμπεριλαμβανομένης μιας μονάδας που εκτελεί δυναμική επίθεση μέσω των δρομολογητών που βρίσκονται στα σπίτια των χρηστών. Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν την ενότητα ssler για να εισάγουν κακόβουλο ωφέλιμο φορτίοστην γραμμή σύνδεσης του διαδικτύου. Επιπλέον, το ίδιο τα ωφέλιμο φορτίο μπορεί να χρησιμοποιηθεί για την εκμετάλλευση συγκεκριμένων συσκευών που είναι συνδεδεμένες στο μολυσμένο δίκτυο.

Το Ssler είναι επίσης σε θέση να κλέψει δεδομένα που περνούν από τα συνδεδεμένα τελικά σημεία στο διαδίκτυο, όπως τα ονόματα χρήστη, τους κωδικούς πρόσβασης και άλλες ευαίσθητες πληροφορίες. Η συγκεκριμένη τεχνική έχει τη δυνατότητα να επιθεωρεί όλες τις διευθύνσεις URL που έχουν πρόσβαση μέσω του μολυσμένου δρομολογητή για να δει εάν μπορεί να αποθηκεύσει τα ευαίσθητα δεδομένα τα οποία στη συνέχεια τα στέλνει σε διακομιστές που ελέγχονται από τους εισβολείς και κατά συνέπεια θα μπορούσαν να τα χρησιμοποιήσουν για να διαπράξουν διάφορα εγκλήματα και απάτες στο διαδίκτυο.

Το Ssler έχει τη δυνατότητα να παρακάμψει την κρυπτογράφηση TLS υποβαθμίζοντας τις συνδέσεις HTTPS σε κίνηση HTTP. Η παρούσα τεχνική είναι προγραμματισμένη να προβαίνει σε εξαιρέσεις για ιστότοπους που είναι καλά θωρακισμένοι, όπως η Google, το Twitter, το Facebook και το Youtube, το οποίο γνωρίζει ότι διαθέτει πρόσθετα χαρακτηριστικά ασφαλείας.

Αυτές οι νέες λεπτομέρειες αποδεικνύουν ότι το VPNFilter malware αποτελεί μια πολύ πιο σημαντική απειλή από ό, τι είχε προηγουμένως θεωρηθεί όταν δημοσιοποιήθηκε για πρώτη φορά δημοσίως. Η Cisco θεωρούσε αρχικά ότι το κακόβουλο λογισμικό έχει σχεδιαστεί για να στοχεύει τους δρομολογητές οικιακών και μικρών γραφείων, αλλά τώρα φαίνεται ότι η κομπίνα μεγάλωσε και στοχεύει σε ποιο ενδιαφέρον στόχους.

Το VPNFilter στοχεύει επίσης σε έναν πολύ μεγαλύτερο αριθμό συσκευών από ό, τι θεωρήθηκε κατά το παρελθόν, συμπεριλαμβανομένων των δρομολογητών που κατασκευάζονται από την ASUS, την D-Link, Huawei, Ubiquiti, UPVEL και ZTE, καθώς και μοντέλα κατασκευαστών μικρότερης αναγνωρισιμότητας όπως, Linksys, MikroTik, Netgear και TP-Link.

Παρά τις πρόσφατες συμβουλές του FBI να αποσυνδέσετε και να επανεκκινήσετε τον δρομολογητή σας που έχει επηρεαστεί, φαίνεται ότι το VPNFilter δεν φαίνεται να αντιμετωπίζετε τόσο εύκολα, και πιθανότατα ίσως δούμε σύντομα τους κατασκευαστές να αναλαμβάνουν δράση για να επιδιορθώσουν τις συσκευές τους.

https://texnologia.net