Инструкция: как защитить свой роутер от VPNFilter

2018-06-07 19546 комментарии
Ботнет VPNFilter, состоящий из более 500 тысяч роутеров и хранилищ NAS был недавно обнаружен американским спецслужбами. В данном руководстве собраны все необходимые действия для удаления угрозы и защиты вашего маршрутизатора

Обновлено: Cisco сообщила о новых уязвимых устройствах, включая ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE

ФБР выпустила ряд рекомендаций для владельцев маршрутизаторов с целью нарушения работы вредоносной программы. Пользователям рекомендуется перезагрузить маршрутизатор, отключить удаленное администрирование, изменить пароль и установить новейшую прошивку. Однако один из шагов не был упомянут агентством - чтобы полностью удалить VPNFilter, нужно выполнить сброс роутера к заводским настройкам.

В данном руководстве собраны все необходимые действия для удаления угрозы и защиты вашего маршрутизатора.

Что такое VPNFilter?

VPNFilter - вредоносная программа, которая нацелена на маршрутизаторы и сетевые хранилища NAS и предназначена для кражи файлов, информации и “прослушивания” сетевого трафика при его прохождении через устройство. Когда вредоносная программа заражает сетевое устройство, она состоит из трех различный модулей, каждый из которых выполняют свои собственные задачи.

  • Модуль 1 устанавливается первым и позволяет вредоносной программе оставаться на устройстве даже после перезагрузки маршрутизатора.
  • Модуль 2 позволяет злоумышленникам выполнять команды и выполнять кражу данных. Данный модуль также обладает способность к саморазрушению и может нарушать работоспособность роутера и сетевого подключения.
  • Модуль 3 состоит из различных плагинов, которые могут быть установлены во вредоносную программу и предназначены для выполнения определенных задач: прослушивание соединения, мониторинг связи SCADA и передача данных через сеть TOR.

После перезагрузки роутера запускается только первый модуль, а второй и третий модули не выполняются.

Именно по этой причине ФБР предложило перезагрузить роутер. В этом случае можно деактивировать модули 2 и 3 и позволить агентству получить список зараженных устройств и типов уязвимых маршрутизаторов.

Уязвимые роутеры

Согласно отчетам Cisco и Symantec, VPNFilter был обнаружен на следующих устройствах:

Asus

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N56U
  • RT-N66U

D-Link

  • DES-1210-08P
  • DIR-300
  • DIR-300A
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

Huawei

  • HG8245

Linksys

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

Mikrotik (исправлено в RouterOS version 6.38.5)

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  • RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5

Netgear

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

QNAP

  • TS251
  • TS439 Pro
  • Other QNAP NAS devices running QTS software

TP-Link

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

Ubiquiti

  • NSM2
  • PBE M5

UPVEL

  • Неизвестные модели

ZTE Devices:

  • ZXHN H108N

Данный список может быть не полным. Пользователи маршрутизаторов других производителей также могут выполнить рекомендации ниже, чтобы защитить свои устройства от ботнета.

Как определить, что роутер заражен

К сожалению, на данный момент не существует простого способа обнаружения VPNFilter на устройстве.

Компания Symantec предлагает бесплатный онлайн инструмент VPNFilter Check для выполнения быстрой проверки роутера на заражение VPNFilter. Онлайн инструмент проверяет, было ли ваше устройство скомпрометировано компонентом VPNFilter, известным как плагин ssler. Если ваш роутер не заражен плагином ssler, он все еще может быть скомпрометирован другими угрозами или компонентами VPNFilter.

Если вы обеспокоены или подозреваете, что ваш маршрутизатор заражен VPNFilter, вы должны выполнить приведенные ниже рекомендации.

Поможет ли перезагрузка роутер избавиться от заражения VPNFilter?

Если отвечать коротко, то нет. Перезагрузка маршрутизатора приведет к выгрузке компонентов модуля 2 и 3, но модуль 1 снова запуститься после перезагрузки. Поэтому, пока большинство вредоносных компонентов будут отключены, VPNFilter все равно будет присутствовать на вашем устройстве.

Единственный действенный способ полностью удалить вредоносную программу - сбросить маршрутизатор до заводских настроек. Во время выполнения данной операции роутер будет перезагружен. К сожалению, в этом случае вам потребуется снова настроить маршрутизатор, добавить пароль администратора и настроить беспроводные сети.

Ниже перечислены полные шаги, которые необходимо предпринять для удаления VPNFilter и защиты вашего маршрутизатора.

Как удалить VPNFilter и защитить свой роутер или NAS

Чтобы полностью удалить VPNFilter и защитить свой роутер от повторного заражения, выполните следующие действия:

  1. Восстановите заводские настройки устройства: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti
  2. Установите обновление прошивки: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti
  3. Измените стандартный пароль администратора: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti
  4. Отключите удаленное администрирование: Linksys * Netgear * MikroTik * QNAP * TP-Link * Asus * D-Link * Ubiquiti

Примечание: ссылки для Linksys и Netgear ведут на инструкции по включению удаленного администрирования. Ссылки приведены, чтобы можно было проверить статус данной функциональности. Обычно удаленное администрирование по умолчанию отключено.

Рекомендации от производителей роутеров по VPNFilter доступны по следующим ссылкам: Linksys * MikroTik* Netgear * QNAP * TP-Link

Хотя данные шаги удалят VPNFilter и защищают от других известных угроз, они не могут защитить устройство навсегда. По мере обнаружения новых эксплойтов, ваши роутеры могут стать уязвимы снова.

Именно поэтому очень важно проверять обновления прошивки и устанавливать их по мере выхода.

Нужно ли сбрасывать настройки роутера, если мое устройство отсутствует в списке?

Это сложный вопрос. С одной стороны, всегда лучше выполнить профилактические меры, чем столкнуться с реальным ущербом. С другой стороны, у некоторых пользователей могут возникнуть сложности при настройке маршрутизатора с нуля.

Если вы чувствуете уверенность в своих силах, то выполните данные шаги. Обновленная прошивка и другие рекомендации безопасности только усилят защиту вашего устройства.

По материалам Bleeping Computer

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте