Pagājušajā piektdienā FBI izdeva ziņojumu, kurā tika ieteikts ikvienam pārstartēt savus maršrutētājus. Iemesls? "Ārvalstu kibernoziegumu dalībnieki ir apdraudējuši simtiem tūkstošu mājas un biroja maršrutētāju un citu tīkla ierīču visā pasaulē."

Tas ir diezgan satraucošs PSA, bet arī nedaudz neskaidrs. Kā jūs zināt, vai jūsu maršrutētājs ir inficēts? Ko jūs varat darīt, lai saglabātu ļaunprātīgu programmatūru no tā? Un, iespējams, vissvarīgākais, vai vienkāršs pārstartēšana tiešām var novērst draudus?

Kāds ir drauds?

FBI ieteikums nāk no jauna atklāta ļaunprātīgas programmatūras apdraudējuma, ko sauc par VPNFilter, kas ir inficējis vairāk nekā pusmiljonu maršrutētāju un tīkla ierīču, pēc Cisco Talos Intelligence Group pētnieku domām.

VPNFilter ir "spēj padarīt mazus biroja un mājas biroja maršrutētājus nederīgus, " norādīja FBI. "Ļaunprātīga programmatūra var arī vākt informāciju, kas iet caur maršrutētāju."

Kas izplata VPNFilter un kādam nolūkam? Tieslietu departaments uzskata, ka krievu hakeri, kas strādā ar nosaukumu Sofacy Group, izmantoja ļaunprātīgu programmatūru, lai kontrolētu inficētās ierīces.

Kā jūs zināt, vai esat inficēts?

Diemžēl nav viegli noteikt, vai VPNFilter ir apdraudējis jūsu maršrutētāju. FBI atzīmē tikai to, ka "ļaunprātīga programmatūra vērš maršrutētāju, ko ražojuši vairāki ražotāji un tīklam pievienotas atmiņas ierīces, vismaz viens ražotājs."

Šie ražotāji ir šādi: Linksys, Mikrotik, Netgear, QNAP un TP-Link. Tomēr Cisco ziņojumā teikts, ka tikai daži modeļi no šiem ražotājiem ir tikai nedaudz vairāk nekā duci - no tiem ir ietekmējusi ļaunprātīga programmatūra, un tie galvenokārt ir vecāki.

Linksys: E1200, E2500, WRVS4400N

Mikrotik: 1016, 1036, 1072

Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000

QNAP: TS251, S439 Pro, citas QNAP NAS ierīces, kurās darbojas QTS programmatūra

TP-Link: R600VPN

Līdz ar to ir diezgan maza iespēja izmantot inficēto maršrutētāju. Protams, jūs nekad nevarat būt pārāk uzmanīgi, tāpēc runāsim par to, kā atrisināt problēmu, un, cerams, izvairīties no tā, ka tā turpināsies.

Vai atsāknēšana tiešām darbosies?

Tas noteikti nesāpēs. Pārstartēšana - vai velosipēds - jūsu maršrutētājs ir nekaitīga procedūra, un faktiski bieži vien tas ir viens no pirmajiem traucējummeklēšanas soļiem, ja rodas problēmas ar tīklu vai savienojumu. Ja interneta problēmas dēļ esat kādreiz bijis tehnoloģiju atbalsta zvans, jums, iespējams, ir ieteikts to darīt tieši.

Tomēr, saskaņā ar šo Krebs par drošības posteni, kas atsaucas uz iepriekšminēto Cisco ziņojumu, atsāknēšana vien nebūs triks: "Daļa no VPNFilter izmantotā koda joprojām var saglabāties, līdz skartā ierīce tiek atiestatīta uz rūpnīcas noklusējuma iestatījumiem."

Tātad, vai ir iespējams, ka FBI nepareizi interpretēja ieteikumu "atiestatīt" kā "reboot"? Varbūt, bet apakšējā līnija ir tāda, ka rūpnīcas iestatījums ir vienīgais drošais veids, kā attīrīt VPNFilter no maršrutētāja.

Labā ziņa: tas ir diezgan vienkāršs process, kas parasti prasa mazliet vairāk, nekā turēt nospiestu atiestatīšanas pogu uz paša maršrutētāja. Sliktās ziņas: tas ir sāpes mucā, jo, kad tas ir paveikts, jums būs jāpārkonfigurē visi tīkla iestatījumi. Pārbaudiet sava modeļa lietošanas pamācību, lai saņemtu palīdzību ar abiem soļiem.

Kādus citus pasākumus vajadzētu veikt?

Mēs nonācām pie pāris iepriekšminētajiem ražotājiem, lai lūgtu viņu padomus, lai cīnītos pret VPNFilter. Vispirms Linksys atbildēja, atzīmējot, ka VPNFilter ir "izplatījies, izmantojot zināmas vecāku versiju maršrutētāju programmaparatūras ievainojamību (ka klienti nav atjauninājušies), kā arī izmanto kopējos noklusējuma akreditācijas datus."

Viņu padomi: lietojiet jaunāko programmaparatūru (kaut kas notiek automātiski Linksys jaunākajos maršrutētājiem) un pēc tam veiciet rūpnīcas atiestatīšanu. Linksys arī iesaka mainīt noklusējuma paroli.

Tas ir arī mūsu padoms. Saglabājot savu maršrutētāju ar jaunāko programmaparatūru un izmantojot unikālu paroli (nevis to, kas ir paredzēts ārpus kastes), jums vajadzētu būt iespējai saglabāt VPNFilter un cita veida maršrutētāju mērķauditorijas atlases ļaunprātīgu programmatūru.

Pirmo reizi publicēts 29. maijā plkst.

Atjauninājums, 30. maijs, plkst. 8:27 PT: Saskaņā ar FBI PSA par VPNFilter, ieteikums par atsāknēšanu nav paredzēts ļaunprātīgas programmatūras novēršanai, bet gan "īslaicīgi traucēt un palīdzēt inficēto ierīču identificēšanai". Citiem vārdiem sakot, FBI piesaista jūs meklēšanas un iznīcināšanas operācijā. Lieki teikt, ka mēs iesakām iepriekš minēto programmaparatūras atjauninājumu un rūpnīcas atiestatīšanu, ja jums pieder viens no ietekmētajiem maršrutētāju modeļiem.