Már jó ideje lehet tudni, hogy az oroszok durván ráerősítettek a kiberhadviselésre: hackereik különféle országok, kormányok, vállalatok, vagy akár egyéni felhasználók gépeit és rendszereit próbálják folyamatosan, sokféle módszerrel feltörni vagy megkárosítani. Most több forrásból is egyszerre jött a vészjelzés: 54 országban akár 500 ezernél is több routeren lehet jelen titokban egy orosz vírus.
A Cisco és a Symantec is arról adott hírt a napokban, hogy a legnépszerűbb routerekbe eszi bele magát az elmúlt évek legkomolyabb vírusa: a VPNFilter a leggyakrabban vásárolt eszközökre támad, többek között olyanokra, amelyeket az internet-szolgáltatók is előszeretettel telepítenek a felhasználóik otthonába vagy irodáiba. Így veszélyben vannak többek között Linksys, MikroTik, Netgeat, QNAP és TP-Link eszközök is.
Ugyan a Cisco kifejezetten óvatosan fogalmaz a vírus eredetéről (közleményükben annyi áll, hogy "valószínűleg egy adott ország kormányához köthető"), a korábbi hírek és mások, például az FBI szakértőinek véleménye szerint egyértelműen orosz hackerektől ered a VPNFilter, amelyet eredetileg ukrán felhasználók, cégek és szervezetek megfigyelésére és megbénítására terveztek. A vírus beeszi magát a routerek vezérlőprogramjába, és képes egyrészt a rajta átmenő adatforgalmat megfigyelni, ezeket az adatokat továbbítani, de egy olyan "kill switchre" is találtak utalást a vírusban, amellyel távolról egyetlen paranccsal tönkretehetik a routert, ezáltal elvágva a felhasználókat az internettől.
A Symantec eddig a következő típusokat nevezte meg érintettként:
- Linksys E1200;
- Linksys E2500;
- Linksys WRVS4400N;
- Minden olyan eszköz, amelyen a Mikrotik RouterOS for Cloud Core Routers fut (pontosabban közülük a 1016-os, 1036-os és 1072-es kiadás);
- Netgear DGN2200;
- Netgear R6400;
- Netgear R7000;
- Netgear R8000;
- Netgear WNR1000;
- Netgear WNR2000;
- QNAP TS251;
- QNAP TS439 Pro;
- Minden olyan QNAP NAS amely a QTS vezérlőszoftvert futtatja;
- TP-Link R600VPN.
A szakértők szerint a VPNFilter nem most kezdte, már 2016 óta jelen lehet, azóta 54 országba jutott el, de igazán az elmúlt hónapokban gyorsult fel a terjedése.
Mit lehet tenni?
Sajnos egyelőre nincs igazán hatékony fegyver a router-evő vírus ellen. A hagyományos, szoftveres újraindítás biztosan nem segít, a VPNFilter ezután képes azonnal újra aktiválódni. Valamelyest nagyobb az esély a vírus leállítására hard resettel, tehát a router bekapcsológombjának kb. 10 másodperces nyomva tartásával, bár ilyenkor a kapcsolódási beállítások is elveszhetnek. A szakértők még a router jelszavainak megváltoztatását javasolják (bár ez elég furcsa, ha az eszközön lévő vírus ezt is látja), de az igazi megoldás csak az lehet, ha a gyártók frissített firmware-eket adnak ki a kártevő elnémítására - reméljük, ez mielőbb megtörténik.
