V rámci projektu Cisco Talos byly zveřejněny první informace o nově objevené havěti nazvané VPNFilter. Ta napadá síťová zařízení – routery značek Linksys, MikroTik, Netgear a TP-Link a tvoří z nich botnet.
Vydaná zpráva není stále kompletní, jasné ale je, že běžní uživatelé nemají s touto havětí možnost příliš bojovat, protože cílem útoku je router (tj. na krabičce, kterou jsme připojeni k internetu) a na počítač prostě v žádné typické podobě nedorazí (to až na popud útočníků). Značky routerů jako Linksys, MikroTik, Netgear a TP-Link rozhodně nejsou v našich končinách exotické a pokud zpráva odhaduje 500 tisíc zavirovaných routerů, nelze vyloužit, že se nějaký nachází i na území ČR/SR (ač drtivá většina jich je na území Ukrajiny).
Na druhou stranu, běžní uživatelé nejsou pravděpodobně ani cílem útoku, pouze „přestupní“ stanicí. Havěť VPNFilter totiž monitoruje protokoly Modbus a SCADA, které se používají k řízení ve velkých továrnách. A tu doma asi nemáme 🙂 Vše tak nasvědčuje, že jde o nástroj nějakého státního aparátu a slouží pro účely kybernetické špionáže.
Žijeme prostě v době, kdy se nutně nemusí shazovat bomby, ale občas se nějaká ta strategická elektrárna / továrna „shodí“ útokem z internetu. Pokud útočníci dobře zamaskují stopy, původce útoku můžeme jenom hádat. Připomeňme, že například před lety byly díky havěti Stuxnet napadeny centrifugy na obohacování uranu v Iránu a tím zpomalen další jaderný vývoj.
Situaci budeme sledovat. Ukrajina již zažila cílené „internetové“ útoky na továrny a několik rozsáhlých výpadků elektrické energie (havěť BlackEnergy). Je tak možné, že zažijeme něco podobného. Kromě monitorování provozu totiž útočníkům nebrání nic v tom, aby těchto 500 tisíc routerů vyřadilo z provozu. Pokud to nebude zrovna router domácí sítě, může to mít nepředstavitelné následky…
Český a techničtější článek o této problematice lze najít například na serveru root.cz.
Ale kecy. Podle Talosu, který zprávu zveřejnil to vypadá, že virus pro šíření nepoužívá žádnou 0-day vulnerability, ale zname díry ve firmwarech routeru. Takže jako uživatele s tím samozřejmě něco dělat můžeme. I když bohužel neznám nikoho, kdo by si pravidelně updatoval firmware na routeru. Když už ale takové články opisujete, mozna by bylo fajn pomoci uživatele vzdělávat a napsat něco o tom, jak je v jejich vlastním zájmu zajímat se o zabezpečení vlastní sítě a pravidelně updatoval firmware na svých jednoúčelových zařízeních. Routery, AP, IoT atd. A možná taky napsat, že morální životnost po kterou výrobci podobná zařízení podporují, je tak dva roky. (čest výjimkám jako Mikrotik nebo Cisco) Pak nezbývá než koupit nove zařízení. Že všichni vymění telefon za tisíce po max dvou letech, ale od krabičky za 300kc z Teska očekávají 10letou podporu je taky představa, kterou byste se jako novináři mohli pokoušet napravit. Ale to bych od vás asi chtěl moc, co?
Větu jsem upravil. A jak se ptáte, tak odpovídám: ano, chcete toho po mě moc. Napište mě univerzální článek „jak si zaktualizovat firmware na routeru“ pro běžného uživatele. Postupy pro jednotlivé modely jednotlivých výrobců. Jak si zjistit HW verzi routeru, jak zjistit jeho IP, jak resetovat heslo když ho neznám a jak to následně celé znova zkonfigurovat, … Rád Vám za takový článek zaplatím.
Zdravím, také děkuji za informace. Přidám svůj pohled: čistě za sebe beru viry.cz jako pokročilejší web než jsou novinky.cz a pod, a kvůli nepřehlednosti problematiky není třeba vylévat s vaničkou i děťátko. Není třeba uveřejňovat podrobné návody. Kdyby v článku byla zmínka, že uživatel se může bránit aktualizací FW ve svém routeru, případně, že by router, na který již nové FW nejsou k dispozici, mohl vyměnit za nový, podle mne by to byl přínos. I kdyby se jen neznalý uživatel díky tomu začal pídit, co to vlastně to FW je, třeba dotazem na někoho z rodiny.
Beru na vědomí a polepším se.
Pevné nervy igi. Přezdívka „voCas“ prostě sedí. Díky za informace a držím palce.