Beberapa minggu yang lalu, pakar keamanan informasi
memperingatkan tentang malware berbahaya yang disebut VPNFilter. Ternyata, tujuan utama malware ini adalah router dari berbagai produsen. Salah satu yang pertama di VPNFilter adalah tim pakar keamanan info
Cisco Talos .
Malware ini terus diperbaiki oleh pengembang. Baru-baru ini, sebuah modul baru telah ditemukan yang menggunakan
tipe serangan man-in-the-middle sehubungan dengan lalu lintas masuk. Penyerang dapat memodifikasi lalu lintas yang melewati router. Mereka juga dapat mengarahkan data ke server mereka tanpa masalah. Modul virus disebut ssler.
Selain memodifikasi lalu lintas masuk, ssler juga dapat mentransfer data pribadi korban ke penciptanya. Ini bisa berupa kata sandi untuk berbagai sumber yang kemudian digunakan penjahat cyber untuk tujuan yang berbeda.
Untuk mencegah pencurian informasi pribadi, enkripsi TLS biasanya digunakan, yang dapat dilewati oleh malware. Ini dilakukan dengan "menurunkan" koneksi HTTPS ke lalu lintas HTTP, yang tidak dilindungi oleh apa pun. Kemudian header permintaan diganti, yang berfungsi sebagai sinyal bahwa titik akses rentan. Ssler secara khusus memodifikasi lalu lintas berbagai sumber, termasuk Google, Facebook, Twitter, dan Youtube. Faktanya adalah bahwa layanan ini memberikan perlindungan tambahan. Misalnya, Google mengalihkan lalu lintas HTTP ke server HTTPS. Tetapi modul ini memungkinkan Anda untuk melewati perlindungan ini, sehingga penyerang menerima lalu lintas yang tidak dienkripsi.
Dari saat virus ditemukan, para pakar keamanan informasi
sedang mengeksplorasi kemampuannya . Sekarang ternyata dia lebih berbahaya daripada yang diperkirakan. Sebelumnya, misalnya, para ahli Cisco mengklaim bahwa tugas utama penyerang adalah menginfeksi perangkat jaringan di kantor perusahaan dan rumah para korban. Mungkin untuk membentuk botnet. Tapi sekarang ternyata itu adalah pengguna, atau lebih tepatnya, data mereka - tujuan utama.
“Awalnya, ketika kami menemukan virus, kami percaya bahwa itu dibuat untuk mengimplementasikan berbagai jenis serangan jaringan. Tetapi ternyata ini sama sekali bukan tugas utama dan kemungkinan malware. Itu dibuat terutama untuk mencuri data pengguna dan memodifikasi lalu lintas. Misalnya, virus dapat mengubah lalu lintas sedemikian rupa sehingga pengguna bank klien akan melihat jumlah yang sama di akunnya. Tetapi pada kenyataannya, uang belum ada di sana untuk waktu yang lama, "kata laporan para pakar keamanan siber.
Menariknya, sebagian besar perangkat yang terinfeksi berada di / di Ukraina. Tindakan perlindungan seperti
HTTP Strict Transport Security tidak terlalu umum di sini, sehingga data pengguna berisiko. Tetapi di negara lain ada masalah - misalnya, di AS dan Eropa Barat, banyak perangkat yang secara moral usang tidak mendukung bekerja dengan HTTPS, sambil terus menggunakan HTTP.
Sebelumnya dilaporkan bahwa model router yang paling rentan untuk virus ini adalah perangkat yang diproduksi oleh ASUS, D-Link, Huawei, Ubiquiti, UPVEL, dan ZTE. Bahkan, rentang perangkat yang rentan terhadap virus jauh lebih luas. Ini, termasuk model dari Linksys, MikroTik, Netgear dan TP-Link.
Daftar lengkap perangkat rentanAsus:
RT-AC66U (baru)
RT-N10 (baru)
RT-N10E (baru)
RT-N10U (baru)
RT-N56U (baru)
RT-N66U (baru)
D-Link:
DES-1210-08P (baru)
DIR-300 (baru)
DIR-300A (baru)
DSR-250N (baru)
DSR-500N (baru)
DSR-1000 (baru)
DSR-1000N (baru)
Huawei:
HG8245 (baru)
Linksys:
E1200
E2500
E3000 (baru)
E3200 (baru)
E4200 (baru)
RV082 (baru)
WRVS4400N
Mikrotik:
CCR1009 (baru)
CCR1016
CCR1036
CCR1072
CRS109 (baru)
CRS112 (baru)
CRS125 (baru)
RB411 (baru)
RB450 (baru)
RB750 (baru)
RB911 (baru)
RB921 (baru)
RB941 (baru)
RB951 (baru)
RB952 (baru)
RB960 (baru)
RB962 (baru)
RB1100 (baru)
RB1200 (baru)
RB2011 (baru)
RB3011 (baru)
RB Groove (baru)
BPR Omnitik (baru)
STX5 (baru)
Netgear:
DG834 (baru)
DGN1000 (baru)
DGN2200
DGN3500 (baru)
FVS318N (baru)
MBRN3000 (baru)
R6400
R7000
R8000
Wnr1000
Wnr2000
WNR2200 (baru)
WNR4000 (baru)
WNDR3700 (baru)
WNDR4000 (baru)
WNDR4300 (baru)
WNDR4300-TN (baru)
UTM50 (baru)
QNAP:
TS251
TS439 Pro
NAS QNAP lainnya dengan QTS
TP-Link:
R600VPN
TL-WR741ND (baru)
TL-WR841N (baru)
Ubiquiti:
NSM2 (baru)
PBE M5 (baru)
Naik:
Model Tidak Dikenal * (baru)
ZTE:
ZXHN H108N (baru)
Dan itu belum semuanya
Selain semua yang diumumkan di atas, Talos melaporkan penemuan modul sniffer. Ini menganalisis lalu lintas dalam mencari data dari jenis tertentu yang terkait dengan pengoperasian sistem industri. Lalu lintas ini melewati TP-Link R600, yang ditentukan oleh modul. Selain itu, modul mencari akses IP dari rentang tertentu, serta paket data yang berukuran 150 byte atau lebih.
“Pencipta virus mencari hal-hal yang sangat spesifik. Mereka tidak berusaha mengumpulkan informasi sebanyak mungkin, tidak sama sekali. Mereka membutuhkan kata sandi, login, akses ke rentang IP tertentu dan sejenisnya. Kami berusaha memahami siapa yang mungkin membutuhkan semua ini, ”kata para peneliti.
Tapi ini tidak semua, karena sekarang virus sedang diperbarui, modul penghancuran diri telah muncul dalam fungsinya. Ketika modul diaktifkan, virus dihapus dari perangkat tanpa jejak.
Terlepas dari kenyataan bahwa FBI menemukan dan merebut server utama sekitar seminggu yang lalu, botnet masih aktif, langkah-langkah yang diambil jelas tidak cukup.