มัลแวร์ Vpnfilter ติดไวรัสเราเตอร์นับล้านตัว - นี่คือสิ่งที่คุณต้องรู้

การค้นพบเมื่อเร็ว ๆ นี้ว่ามัลแวร์ที่ใช้เราเตอร์ตัวใหม่ซึ่งรู้จักกันในชื่อ VPNFilter ติดไวรัสมากกว่า 500, 000 ตัวเราเตอร์ก็กลายเป็นข่าวที่เลวร้ายยิ่งกว่าเดิม ในรายงานที่คาดว่าจะวางจำหน่ายวันที่ 13 มิถุนายนซิสโก้ระบุว่ามีเราเตอร์มากกว่า 200, 000 ตัวติดไวรัสและความสามารถของ VPNFilter นั้นแย่กว่าที่เราคิดไว้มาก Ars Technica รายงานเกี่ยวกับสิ่งที่คาดหวังจาก Cisco ในวันพุธ

VPNFilter เป็นมัลแวร์ที่ติดตั้งบนเราเตอร์ Wi-Fi มีการติดเชื้อเราเตอร์เกือบหนึ่งล้านรายใน 54 ประเทศและรายการอุปกรณ์ที่ทราบว่าได้รับผลกระทบจาก VPNFilter มีโมเดลผู้บริโภคจำนวนมากที่ได้รับความนิยม สิ่งสำคัญคือต้องทราบว่า VPNFilter ไม่ใช่ เราเตอร์ที่ใช้ประโยชน์จากการที่ผู้โจมตีสามารถค้นหาและใช้เพื่อเข้าถึง - เป็นซอฟต์แวร์ที่ติดตั้งบนเราเตอร์โดยไม่ได้ตั้งใจซึ่งสามารถทำสิ่งที่อาจเป็นอันตรายได้

VPNFilter เป็นมัลแวร์ที่ได้รับการติดตั้งบนเราเตอร์ของคุณไม่ใช่ช่องโหว่ที่ผู้โจมตีสามารถใช้เพื่อเข้าถึง

การโจมตีครั้งแรกของ VPNFilter ประกอบด้วยการใช้คนในการโจมตีกลางในการรับส่งข้อมูลที่เข้ามา จากนั้นพยายามเปลี่ยนเส้นทางทราฟฟิกที่เข้ารหัส HTTPS ที่ปลอดภัยไปยังแหล่งที่ไม่สามารถยอมรับได้ซึ่งทำให้ทราฟฟิกนั้นกลับมาเป็นปกติทราฟฟิก HTTP ที่ไม่ได้เข้ารหัส ซอฟต์แวร์ที่ทำสิ่งนี้ชื่อ ssler โดยนักวิจัยทำข้อกำหนดพิเศษสำหรับไซต์ที่มีมาตรการเพิ่มเติมเพื่อป้องกันไม่ให้เกิดเหตุการณ์เช่น Twitter.com หรือบริการใด ๆ ของ Google

เมื่อการรับส่งข้อมูลไม่มีการเข้ารหัส VPNFilter จะสามารถตรวจสอบการรับส่งข้อมูลขาเข้าและขาออกทั้งหมดที่ต้องผ่านเราเตอร์ที่ติดไวรัส แทนที่จะเก็บเกี่ยวทราฟฟิกทั้งหมดและเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ระยะไกลเพื่อดูในภายหลังโดยเฉพาะเป้าหมายการรับส่งข้อมูลที่ทราบว่ามีเนื้อหาที่ละเอียดอ่อนเช่นรหัสผ่านหรือข้อมูลธนาคาร ข้อมูลที่ดักจะถูกส่งกลับไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮกเกอร์ที่มีความสัมพันธ์ที่รู้จักกับรัฐบาลรัสเซีย

VPNFilter ยังสามารถเปลี่ยนทราฟฟิกขาเข้าเพื่อปลอมแปลงการตอบสนองจากเซิร์ฟเวอร์ สิ่งนี้จะช่วยครอบคลุมแทร็กของมัลแวร์และอนุญาตให้มันทำงานได้นานขึ้นก่อนที่คุณจะสามารถบอกได้ว่ามีบางอย่างผิดปกติ ตัวอย่างของสิ่งที่ VPNFilter สามารถทำได้กับปริมาณข้อมูลขาเข้าที่มอบให้กับ ARS Technica โดย Craig Williams ผู้นำด้านเทคโนโลยีอาวุโสและผู้จัดการฝ่ายประชาสัมพันธ์ทั่วโลกที่ Talos กล่าวว่า:

แต่ดูเหมือนจะมีวิวัฒนาการที่ผ่านมาอย่างสมบูรณ์และตอนนี้ไม่เพียง แต่จะอนุญาตให้พวกเขาทำเช่นนั้น แต่พวกเขาสามารถจัดการทุกอย่างผ่านอุปกรณ์ที่ถูกบุกรุก พวกเขาสามารถแก้ไขยอดเงินในบัญชีธนาคารของคุณเพื่อให้ดูเป็นปกติในขณะเดียวกันพวกเขากำลังดูดเงินและกุญแจ PGP และสิ่งต่าง ๆ เช่นนั้น พวกเขาสามารถจัดการทุกอย่างที่เข้าและออกจากอุปกรณ์

เป็นเรื่องยากหรือเป็นไปไม่ได้ (ขึ้นอยู่กับชุดทักษะและรุ่นเราเตอร์) เพื่อบอกว่าคุณติดไวรัสหรือไม่ นักวิจัยแนะนำผู้ที่ใช้เราเตอร์ที่รู้ว่าไวต่อ VPNFilter ถือว่าพวกเขาติดไวรัสและทำตามขั้นตอนที่จำเป็นเพื่อควบคุมการรับส่งข้อมูลเครือข่าย

เราเตอร์ที่รู้จักกันว่ามีความเสี่ยง

รายการแบบยาวนี้ประกอบด้วยเราเตอร์ผู้บริโภคที่ทราบว่าไวต่อ VPNFilter หากแบบจำลองของคุณปรากฏในรายการนี้ขอแนะนำให้คุณทำตามขั้นตอนในส่วนถัดไปของบทความนี้ อุปกรณ์ในรายการที่ระบุว่า "ใหม่" เป็นเราเตอร์ที่เพิ่งพบว่ามีความเสี่ยง

อุปกรณ์ Asus:

• RT-AC66U (ใหม่)
• RT-N10 (ใหม่)
• RT-N10E (ใหม่)
• RT-N10U (ใหม่)
• RT-N56U (ใหม่)

อุปกรณ์ D-Link:

• DES-1210-08P (ใหม่)
• DIR-300 (ใหม่)
• DIR-300A (ใหม่)
• DSR-250N (ใหม่)
• DSR-500N (ใหม่)
• DSR-1000 (ใหม่)
• DSR-1000N (ใหม่)

อุปกรณ์ Huawei:

• HG8245 (ใหม่)

อุปกรณ์ Linksys:

• E1200
• E2500
• E3000 (ใหม่)
• E3200 (ใหม่)
• E4200 (ใหม่)
• RV082 (ใหม่)
• WRVS4400N

อุปกรณ์ Mikrotik:

• CCR1009 (ใหม่)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (ใหม่)
• CRS112 (ใหม่)
• CRS125 (ใหม่)
• RB411 (ใหม่)
• RB450 (ใหม่)
• RB750 (ใหม่)
• RB911 (ใหม่)
• RB921 (ใหม่)
• RB941 (ใหม่)
• RB951 (ใหม่)
• RB952 (ใหม่)
• RB960 (ใหม่)
• RB962 (ใหม่)
• RB1100 (ใหม่)
• RB1200 (ใหม่)
• RB2011 (ใหม่)
• RB3011 (ใหม่)
• RB Groove (ใหม่)
• RB Omnitik (ใหม่)
• STX5 (ใหม่)

อุปกรณ์ Netgear:

• DG834 (ใหม่)
• DGN1000 (ใหม่)
• DGN2200
• DGN3500 (ใหม่)
• FVS318N (ใหม่)
• MBRN3000 (ใหม่)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (ใหม่)
• WNR4000 (ใหม่)
• WNDR3700 (ใหม่)
• WNDR4000 (ใหม่)
• WNDR4300 (ใหม่)
• WNDR4300-TN (ใหม่)
• UTM50 (ใหม่)

อุปกรณ์ QNAP:

• TS251
• TS439 Pro
• อุปกรณ์อื่น ๆ ของ QNAP NAS ที่ใช้งานซอฟต์แวร์ QTS

อุปกรณ์ TP-Link:

• R600VPN
• TL-WR741ND (ใหม่)
• TL-WR841N (ใหม่)

อุปกรณ์ Ubiquiti:

• NSM2 (ใหม่)
• PBE M5 (ใหม่)

อุปกรณ์ ZTE:

• ZXHN H108N (ใหม่)

สิ่งที่คุณต้องทำ

ตอนนี้ทันทีที่คุณสามารถคุณควรรีบูตเราเตอร์ของคุณ ในการทำเช่นนี้เพียงถอดปลั๊กออกจากแหล่งจ่ายไฟเป็นเวลา 30 วินาทีจากนั้นเสียบกลับเข้าไปใหม่แอพที่ติดตั้งเราเตอร์จะทำการฟลัชเมื่อมีการใช้พลังงาน

ขั้นตอนต่อไปคือรีเซ็ตเราเตอร์ของคุณเป็นค่าเริ่มต้นจากโรงงาน คุณจะพบข้อมูลเกี่ยวกับวิธีการทำเช่นนี้ในคู่มือที่มาในกล่องหรือจากเว็บไซต์ของผู้ผลิต วิธีนี้มักจะเกี่ยวข้องกับการใส่พินเข้าไปในรูปิดภาคเรียนเพื่อกดไมโคร เมื่อคุณได้รับเราเตอร์สำรองและใช้งานคุณต้องตรวจสอบให้แน่ใจว่าเป็นเฟิร์มแวร์เวอร์ชั่นล่าสุด โปรดอ่านเอกสารที่มาพร้อมกับเราเตอร์ของคุณอีกครั้งเพื่อรับรายละเอียดเกี่ยวกับวิธีอัปเดต

ถัดไปทำการตรวจสอบความปลอดภัยอย่างรวดเร็วว่าคุณใช้เราเตอร์อย่างไร

• อย่า ใช้ชื่อผู้ใช้และรหัสผ่านเริ่มต้นเพื่อจัดการมัน เราเตอร์ทุกรุ่นเดียวกันจะใช้ชื่อและรหัสผ่านเริ่มต้นนั้นและทำให้เป็นวิธีที่ง่ายในการเปลี่ยนการตั้งค่าหรือติดตั้งมัลแวร์
• อย่า เปิดเผยอุปกรณ์ภายในใด ๆ กับอินเทอร์เน็ตโดยไม่มีไฟร์วอลล์ที่แข็งแกร่ง ซึ่งรวมถึงสิ่งต่าง ๆ เช่นเซิร์ฟเวอร์ FTP เซิร์ฟเวอร์ NAS เซิร์ฟเวอร์เพล็กซ์หรืออุปกรณ์อัจฉริยะอื่น ๆ หากคุณต้องเปิดเผยอุปกรณ์ที่เชื่อมต่อใด ๆ นอกเครือข่ายภายในของคุณคุณสามารถใช้การกรองพอร์ตและซอฟต์แวร์ส่งต่อได้ ถ้าไม่ลงทุนในฮาร์ดแวร์หรือซอฟต์แวร์ไฟร์วอลล์ที่แข็งแกร่ง
• อย่า เปิดใช้งานการดูแลระบบระยะไกล อาจสะดวกถ้าคุณอยู่ห่างจากเครือข่ายของคุณ แต่เป็นจุดโจมตีที่แฮ็กเกอร์ทุกคนรู้จักที่จะมองหา
• อยู่ เสมอ ถึงวันที่ นี่หมายถึงการตรวจสอบเฟิร์มแวร์ใหม่เป็นประจำและที่สำคัญอย่าลืม ติดตั้งถ้ามี

สุดท้ายหากคุณไม่สามารถอัปเดตเฟิร์มแวร์เพื่อป้องกันไม่ให้ VPNFilter ติดตั้ง (เว็บไซต์ของผู้ผลิตของคุณจะมีรายละเอียด) เพียงซื้อใหม่ ฉันรู้ว่าการใช้จ่ายเงินเพื่อแทนที่เราเตอร์ที่ดีอย่างสมบูรณ์และการใช้งานนั้นค่อนข้างสุดขีด แต่คุณจะไม่รู้ว่าเราเตอร์ของคุณติดไวรัสหรือไม่ถ้าคุณเป็นคนที่ไม่จำเป็นต้องอ่านเคล็ดลับเหล่านี้

เรารักระบบเครือข่ายเราเตอร์ใหม่ที่สามารถอัปเดตอัตโนมัติเมื่อใดก็ตามที่มีเฟิร์มแวร์ใหม่เช่น Google Wifi เพราะสิ่งต่าง ๆ เช่น VPNFilter สามารถเกิดขึ้นได้ทุกที่ทุกเวลาและกับทุกคน มันมีค่าดูถ้าคุณอยู่ในตลาดสำหรับเราเตอร์ใหม่