Veszélyesebb a VPNFilter, mint gondolták. A károkozó, amit pár hete fedezett fel a Cisco Talos, akár itthon is pusztíthat és kémkedhet. Még a TLS titkosítással is elbánik. A Cisco biztonsági kutatói mintegy két hete tették közzé, hogy kutatásaik szerint több mint félmillió routert és tároló eszközt fertőztek meg orosz hackerek. A támadásban használt, VPNFilternek nevezett károkozó nyomait 54 országban találták meg.

A fertőzés jellegéből arra következtettek, hogy az egy nagyobb szabású, Ukrajna ellen irányuló kibertámadás előkészítése. Azt, hogy itt az orosz kormány lehet a háttérben, abból szűrték le, hogy a VPNFilter kódja sok ponton mutat rokonságot olyan korábbi károkozók kódjával, amit nagy valószínűséggel az oroszoknak indítottak útjára.

Lehallgat, botnetet épít, rombol

A malware elsősorban otthoni és kisvállalati routereket támad (például Linksys, TP-Link, Netgear, MikroTik), de a QNAP NAS-okat is veszélyezteti. Később kiderült, hogy olyan routerek is veszélyben vannak, melyeket magyar szolgáltatók is használnak (ZTE, Huawei).

A támadás két lépcsőben történik. Az első lépcsőt képviselő modul feladata csupán az, hogy segítse a második – végrehajtó – modul elindulását. Újraindításkor ez utóbbi törlődik, de az első modul ott marad, és így kezdődik az egész folyamat elölről.

A malware képes az adatforgalom lehallgatására, fájlok ellopására, sőt a router használhatatlanná tételére is. Ha arra parancsot kap a vezérlő szervertől, felülírja a router firmware-ét, így az az újraindítás után használhatatlanná válik.

Ennél is fontosabb, hogy a VPNFilterrel botnetet lehet létrehozni, amivel célzott támadásokat lehet indítani.

Még annál is rafináltabb, mint amilyennek elsőre látszott

A Cisco Talos kutatói azóta a malware újabb képességeit is felfedezték. Egyik modulja bele tud épülni a fertőzött routerekek áthaladó adatcsomagokba – ún. közbeékelődéses támadást (man-in-the-middle attack) hajt végre –, és így a fertőzést szét tudja teríteni a router mögötti összes eszközre. Emellett a routeren áthaladó webes tartalmakat is képes módosítani. A VPNFilter azért különösen veszélyes, mert az oldalak TLS-titkosításását is képes kicselezni azzal, hogy ráveszi az adott oldalt titkosítatlan kapcsolat használatára.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A Talos szerint a támadók lényegében bármit módosíthatnak, ami egy fertőzött routeren átmegy. A támadók például úgy csapolhatják meg az áldozat bankszámláját, hogy ő nem látja a változást, amikor lekéri online az egyenlegét.

A Talos az új eredmények tükrében már azt mondja, hogy világszerte legalább 700 ezer eszköz van kitéve a támadásnak. A veszélyeztetett eszközök listája a Cisco Talos oldalán tanulmányozható.