A VPNFilter nagy számú routert fertőzött meg világszerte
Két hete az Ars Technica megírta, hogy körülbelül 500 ezer routert fertőztek meg az orosz kormánynak dolgozó hackerek egy VPNFilter nevű kártevővel. Akkor úgy gondolták, hogy a kártevő célja az, hogy az otthoni routereket és hasonló eszközöket botnetként használva támadásokat indíthassanak a valódi célpontok ellen. Tegnap viszont kijött egy új cikk, ami azt írja, hogy a szituáció rosszabb, mint korábban gondolták. A Cisco kutatói bejelentették, hogy a malware többet tud, mint ahogy korábban gondolták, és szélesebb az érintett eszközök köre. Az egyik új funkció, amit az elmúlt két hétben fedeztek fel az az, hogy a malware a routeren futva man-in-the-middle módon belehallgat a kommunikációba, és meg is tudja változtatni azt, így pl. weboldalak által küldött adatok egy részét megváltoztathatja, ami aztán a felhasználó böngészőjében eredetinek tűnik. Emellett persze a kártevő frissen felfedezett modulja igyekszik kigyűjteni az érzékeny adatokat a titkosított kommunikációból, pl. ha talál jelszavakat, azokat kimásolja és elküldi a gazdáinak. Hogy megkerülje a TLS titkosítást megpróbálja a HTTPS kapcsolatokat titkosítatlan HTTP-re lerontani. Ezek alapján úgy tűnik, hogy a kártevő nem más célpontok támadására használja a megfertőzött eszközöket, hanem ezeknek az eszközöknek a használói, jellemzően a tulajdonosok és ezek családjai a célpontok. És ugyan sok olyan szervezet van, amelyek megkövetelik a titkosított kapcsolatot, de Ukrajnában, ahol nagyon sok a fertőzött eszköz, ez nem jellemző, és az USA-ban és Európában is számos olyan weboldal van, amik a HTTPS-t nem támogató kliensek miatt hajlandóak titkosítatlan kommunikációra. Az újabb Ars Technica cikk közepe felé van egy hosszú lista az kártevő által sikeresen támadható eszközökről. Az elmúlt két hétben fedezték fel, hogy az ASUS, D-Link, Huawei, Ubiquiti, UPVEL, és ZTE egyes eszközei is támadhatóak, a korábban felfedezett Linksys, MikroTik, Netgear, és TP-Link mellett. A becslés szerint a korábbi 500 ezerhez képest még 200 ezer eszköz lehet kitéve a fertőzés veszélyének globálisan. Az Index cikke szerint egyes eszközöket az Invitel és a Telekom használta, szóval Magyarországon is lehetnek fertőzött szolgáltatói routerek háztartásokban. Jelenleg nem ismert, hogyan fertőzték meg a routereket, de feltételezhetően foltozatlan biztonsági hibák kihasználásával. A másik probléma, hogy nem lehet egyszerűen megállapítani, hogy egy router fertőzött-e.