500 000 reititintä saastui salakavalasta haittaohjelmasta – hyökkäyksen alkuperä Venäjällä?

Cisco Talos ja Symantec ovat julkaisseet tietoja koti- ja pientoimistojen reitittimissä sekä verkkotallennuslaitteissa havaitusta kehittyneestä haittaohjelmasta, kertoo Viestintävirasto. Talos arvioi, että haittaohjelma on saastuttanut noin 500 000 päätelaitetta 54 maassa.

Havaittu VPNFilter-haittaohjelma on monikäyttöinen. Se voi kuunnella reitittimen läpi menevää liikennettä mukaan lukien salasanat ja sitä voidaan käyttää ponnahduslautana sisäverkkoon suuntautuvissa hyökkäyksissä. Haittaohjelmassa on myös moduuli, jonka avulla voi myös kuunnella laitteen läpi menevää teollisuusautiomaatiossa käytettyä Modbus-liikennettä. Haittaohjelmassa on lisäksi ominaisuuksia, joiden avulla hyökkääjä voi tehdä laitteesta toimimattoman ja sen palauttaminen toimintakuntoiseksi voi olla mahdotonta. Haittaohjelmasta on löydetty yhtäläisyyksiä vuonna 2015 Ukrainan sähköverkkoihin tunkeutumisessa käytetyn BlackEnergy-haittaohjelman kanssa. Tämän takia haittaohjelman on epäilty olevan venäläistä alkuperää.

Viestintävirasto kertoo selvittävänsä mahdollisia haittaohjelman saastuttamia uhreja Suomesta ja ottaa yhteyttä näihin operaattorien kautta.

Haittaohjelma leviää laitteisiin käyttäen laitteiden tunnettuja haavoituuvuuksia, sekä oletustunnuksia ja salasanoja. Haittaohjelman tartunta on moniosainen. Ensimmäisessä vaiheessa laite saastutetaan ohjelmalla, joka hakee laitteeseen varsinaisen haittaohjelmakomponentin. Vaiheen yksi haittaohjelma pysyy laitteessa myös laitteen uudelleenkäynnistyksen jälkeen. Toisen vaiheen haittaohjelmasta saa kuitenkin poistettua laitteesta uudelleenkäynnistämällä sen. Yhdysvaltain viranomaiset (FBI) ovat Viestintäviraston mukaan saaneet haltuunsa haittaohjelman käyttämää infrastruktuuria, joka estää nykyisen variantin toiminnan.

Haittaohjelma pystyy Symantecin mukaan saastuttamaan seuraavia laitteita:

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS Cloud Core Routers: Versiot 1016, 1036, ja 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Muut QNAP NAS laitteet, joissa käytetään QTS ohjelmistoa
• TP-Link R600VPN

Viestintävirasto suosittelee yllä listattujen laitteiden omistajia palauttamaan laitteen tehdasasetuksille. Näin mahdollinen haittaohjelma poistuu laitteesta. Lisäksi samalla laitteeseen tulee asentaa valmistajan uusin saatavilla oleva päivitys.

Lisäksi oletustunnukset ja salasanat kannattaa muuttaa laadukkaisiin salasanoihin, poistaa etähallinta laitteesta mikäli sitä ei tarvita ja mikäli mahdollista, estämään pääsy laitteeseen palomuurilla.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla