A korábbi típusokhoz képest sokkal több mai wifi routerben lelhető fel a probléma, mely szerint vírusok fertőzik ezeket az eszközöket. Ez világszerte hatalmas sebezhetőséget jelent, akár több százezer router is érintett lehet.
Két hete adta ki a Cisco cég a biztonsági figyelmeztetését, melyben jelzi, hogy 54 ország több, mint 500.000 routerét fertőzte vírussal egy vélhetően oroszokkal összedolgozó hacker csoport.
Ezzel kapcsolatban az FBI is riasztást adott ki. 14 eltérő típusú routeret fertőzhetett a VPNFilter elnevezésű vírus a Symantec emberei szerint. Azonban azóta arra is fény derült, hogy a probléma jóval nagyobb ennél, ugyanis vélhetően a vírus jóval agresszívebb és jóval több típusú eszközön is megjelenhetett.
A már említett VPNFilter vírus ugyanis egy MITM, vagyis man-in-the -middle attack nevű közbeékelődő ostromlást is képes elvégezni az ArsTechnika tájékoztatása szerint. Ez tulajdonképpen annyit tesz, hogy a kártevő a két kapcsolatban lévő fél kontaktcsatornáját megzavarja, szinte éket ütve ezzel közéjük, majd a információkat ő adja tovább a kommunikáló feleknek.
Persze ebből mit sem vesz észre a felhasználó, hiszen a támadó úgy érzékelteti, mintha a két fél egymással továbbra társalogna, pedig ez korántsem így van, mindketten a hacker integrálásába kerültek. És ez még nem minden, ugyanis a hackerek a honlapok tartalmanak megváltoztatására is képesek.
A kártevő a végpontok, és a világháló közt lévő gyengébb adatokat szintén el tudja lopni. Ez úgy működik, hogy kifürkészi azokat a honlapcímeket, ahol fontos, vagy gyenge adatok áramlanak, és ezeket sokszorosítva küldi meg azokat saját szervereire. Gyakorlatilag a HTTPS összeköttetés feladata az adatvédelem, a VPNFilter viszont kijátssza a TLS biztonsági rendszerét, így egy egyszerű HTTP-n haladnak át az adatok.
A VPNFilter a Facebook, a Google, a Twitter és a Youtube alkalmazásoknál teljesen egyedi módon regál, aminek az oka az említett oldalak fokozott biztonsági protokollja. A keresőóriás például a nagyobb biztonság eléréséhez jópár éve HTTP kapcsolatra irányírja a HTTP forgalmat.
Vadászat a felhasználókra
A Cisco tájékoztatása alapján a vírusos routerekre azért van szükség, hogy egységes ostromot indítsanak adott célpontok felé. További elemzésik azonban már azt mutatják, hogy a célpontok valójában maguk az eszközök gazdái. A Talos technikai vezetője, Craig Williams jelentése szerint a hackerek a felhasználók tudta nélkül képesek úgy hozzáférni a bankszámlához, és levenni róla pénzt, hogy az nem tűnik fel a bankszámlabirtokosnak. A szakértő szerint ez a vírus akármit csinálhat azzal az információval, ami a wifi rotereken átmegy.
Craig Williams állítása szerint az előzetes adatok tévesek, hiszen 200.000-re több lelet a fertőzött eszköz, mint azt előzőleg sejtették. A vírus több típust is megtámadhatott, köztük a következőket:
Asus
– RT-AC66U
-RT-N10
-RT-N10E
-RT-N10U
-RT-N56U
-RT-N66U
D-Link
-DES-1210-08P
-DIR-300
-DIR-300A
-DSR-250N
-DSR-500N
-DSR-1000
-DSR-1000N
Huawei
-HG8245
Linksys
-E1200
-E2500
-E3000
-E3200
-E4200
-RV082
-WRVS4400N
Mikrotik
-CCR1009
-CCR1016
-CCR1036
-CCR1072
-CRS109
-CRS112
-CRS125
-RB411
-RB450
-RB750
-RB911
-RB921
-RB941
-RB951
-RB952
-RB960
-RB962
-RB1100
-RB1200
-RB2011
-RB3011
-RB Groove
-RB Omnitik
-STX5
Netgear
-DG834
-DGN1000
-DGN2200
-DGN3500
-FVS318N
-MBRN3000
-R6400
-R7000
-R8000
-WNR1000
-WNR2000
-WNR2200
-WNR4000
-WNDR3700
-WNDR4000
-WNDR4300
-WNDR4300-TN
-UTM50
QNAP
-TS251
-TS439 Pro
-Other QNAP NAS eszközök, amik QTS-t futtatnak
TP-Link
-R600VPN
-TL-WR741ND
-TL-WR841N
Ubiquiti
-NSM2
-PBE M5
Upvel
-Ismeretlen típusok
ZTE
-ZXHN H108N
A Cisco és a Talos szakemberek szerint a VPNFilter nem minden információt sajátít el, közvetlenül a kisebb adatokra vadászik, hiszen ezekben lehetnek a jelszavak, vagy hitelesített információk. Az adatlopás után a hacherek még arra is képesek, hogy egy kiadott utasítással töröljék a kártevőt az összes rá vezető adattal együtt, majd újraindítsák a routert.
A wifi routerek sebezhetőségi forrását továbbra is keresik a szakértők, akik biztosak abban, hogy olyan hibákat aknáztak ki a hackerek, melyek megoldhatók. A Cisco szerint azt sem lehet egész biztosan állítani, melyik eszköz fertőzött, valamint a router modellek vírusmentesítése is típusonként eltérő. Valamelyik eszköznél a rajt lévő gombbal kell gyári visszaállítást végezni, majd feltelepíteni a firmware-t, más modelleken elég egy újraindítás is.
Az is fontos, hogy ilyen esetben történjen jelszómódosítás, valamint lényeges a távoli hozzáférés letiltása is.