Gần đây có một thông báo dịch vụ công cộng hơi đáng lo ngại từ FBI rằng mọi người nên khởi động lại bộ định tuyến của họ. Họ khuyên bạn nên làm điều này để ngăn chặn một phần mềm độc hại khó chịu của bộ định tuyến xâm nhập vào phần cứng của bạn. Với cách thức này đủ lớn để FBI đưa ra thông báo về dịch vụ công, có thể khiến bạn lo lắng khi nghĩ về những gì có thể ẩn nấp bên trong bộ định tuyến của bạn. Vì vậy, nó là gì, và bạn có thể làm gì? Hãy phân tích mối đe dọa mới này để xem nó là gì, nó hoạt động như thế nào và bạn có thể làm gì để bảo vệ mình khỏi nó.
Nó là gì?
Phần mềm độc hại được đề cập có tên là “VPNFilter”. Mặc dù cái tên nghe có vẻ ngây thơ, nhưng nó chẳng khác gì! Vectơ tấn công chính của nó liên quan đến việc đào sâu vào các bộ định tuyến của gia đình và các doanh nghiệp nhỏ. Nó cũng được thiết kế để ở trong bộ định tuyến sau khi khởi động lại, khiến nó trở thành một ví dụ đặc biệt cứng đầu về phần mềm độc hại.
VPNFilter được lan truyền bằng cách nhắm mục tiêu vào các bộ định tuyến có các lỗi và điểm yếu đã biết, và các thiết bị có trụ sở tại Ukraina là đối tượng được nhắm mục tiêu nhiều nhất trong số tất cả các quốc gia. Nguồn gốc của VPNFilter đều hướng đến một nhóm có tên “Sofacy” đã phát triển mã và phổ biến nó trên toàn thế giới.
Nó làm gì?
Vậy một khi phần mềm độc hại mới này xâm nhập vào một bộ định tuyến, nó sẽ làm gì? VPNFilter khá tiên tiến và triển khai tải trọng của nó qua ba giai đoạn:
- Giai đoạn đầu tiên là phần mềm độc hại tự cài đặt trên một bộ định tuyến dễ bị tấn công và tự thiết lập để tồn tại ngay cả khi bộ định tuyến đã được tắt.
- Khi giai đoạn đầu tiên được cài đặt đúng cách, giai đoạn thứ hai sẽ bắt đầu. Điều này liên quan đến việc cài đặt dung lượng cho VPNFilter để thực thi các lệnh, thu thập tệp và quản lý bộ định tuyến. Nó có đủ quyền kiểm soát bộ định tuyến đến mức có thể làm hỏng vĩnh viễn các tệp hệ thống của bộ định tuyến (được gọi là "bricking") theo lệnh, nếu cần.
- Khi giai đoạn 2 đã được triển khai đúng cách, giai đoạn 3 hoạt động như một cài đặt plugin ở đầu giai đoạn 2. Giai đoạn 3 cho phép tin tặc xem xét bên trong các gói được truyền qua bộ định tuyến, nơi dữ liệu đang được truyền. Nó cũng cấp cho giai đoạn 2 khả năng giao tiếp qua Tor.
Khi bật và tắt bộ định tuyến, giai đoạn 2 và 3 sẽ bị xóa, nhưng "hạt giống" được thiết lập trong giai đoạn 1 vẫn còn. Bất chấp điều đó, phần nguy hại nhất của phần mềm độc hại VPNFilter đã được đặt lại, đó là lý do tại sao mọi người được yêu cầu khởi động lại trên bộ định tuyến của họ.
Nó có ảnh hưởng đến tất cả các bộ định tuyến không?
Không phải mọi bộ định tuyến đều có thể bị VPNFilter tấn công. Symantec đi vào chi tiết về những bộ định tuyến nào dễ bị tấn công.
Cho đến nay, VPNFilter được biết là có khả năng lây nhiễm các bộ định tuyến văn phòng / văn phòng gia đình và văn phòng nhỏ từ Linksys, MikroTik, Netgear và TP-Link, cũng như các thiết bị lưu trữ gắn liền với mạng QNAP (NAS). Chúng bao gồm:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS dành cho Bộ định tuyến lõi đám mây:Phiên bản 1016, 1036 và 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Các thiết bị NAS QNAP khác chạy phần mềm QTS
- TP-Link R600VPN ”
Nếu bạn sở hữu bất kỳ thiết bị nào ở trên, hãy xem trang hỗ trợ của nhà sản xuất để biết các bản cập nhật và lời khuyên về cách đánh bại VPNFilter. Hầu hết đều phải có bản cập nhật chương trình cơ sở để bảo vệ bạn hoàn toàn khỏi các vectơ tấn công của VPNFilter.
Có phải là không sửa được không?
May mắn thay, mặc dù thực tế có vẻ như VPNFilter sẽ ở trong bộ định tuyến mãi mãi, nhưng vẫn có cách để loại bỏ nó. Mặc dù VPNFilter đảm bảo nó vẫn tồn tại thông qua bộ định tuyến bị tắt nguồn, nó không thể tồn tại khi khôi phục cài đặt gốc. Nếu bạn đặt bộ định tuyến của mình qua một trong những bộ định tuyến đó, phần mềm độc hại sẽ bị cuốn vào quá trình xóa và bị quét sạch khỏi bộ định tuyến của bạn một cách hiệu quả.
Sau khi hoàn tất, hãy đảm bảo thay đổi thông tin đăng nhập mạng của bạn và tắt cài đặt quản lý từ xa. Thông tin chi tiết của bạn có thể đã bị lộ ra ngoài trong cuộc tấn công và việc ngăn truy cập từ xa có thể ngăn một cuộc tấn công trong tương lai tiếp cận các thiết bị và máy tính gia đình của bạn.
Bộ lọc VPN tạo hơi
Mặc dù VPNFilter là một bộ công cụ khó chịu đã tự nâng mình lên thu hút sự quan tâm của FBI, nhưng nó không phải là không thể đánh bại! Bằng cách khôi phục cài đặt gốc, bạn có thể xóa mọi phần mềm độc hại trên bộ định tuyến của mình. Ngoài ra, nếu nhà sản xuất của bạn đã đưa ra bản cập nhật, bạn có thể tránh bị nhiễm lại sau này.
VPNFilter có ảnh hưởng đến bạn theo bất kỳ cách nào không? Hãy cho chúng tôi biết bên dưới.