Την περασμένη Παρασκευή, το FBI εξέδωσε μια έκθεση που συνιστούσε να επανεκκινήσουν όλοι οι δρομολογητές τους. Ο λόγος? "Οι ξένοι κυβερνοχώροι έχουν θέσει σε κίνδυνο εκατοντάδες χιλιάδες δρομολογητές οικιακών συσκευών και γραφείων και άλλες δικτυωμένες συσκευές παγκοσμίως".

Αυτό είναι ένα αρκετά ανησυχητικό PSA, αλλά και ένα κάπως ασαφές. Πώς ξέρετε αν ο δρομολογητής σας είναι μολυσμένος; Τι μπορείτε να κάνετε για να αποφύγετε το κακόβουλο λογισμικό; Και, ίσως το πιο σημαντικό από όλα, μπορεί μια απλή επανεκκίνηση να εξαλείψει πραγματικά την απειλή;

Ποια είναι η απειλή;

Η σύσταση του FBI έρχεται στα ύψη μιας πρόσφατα ανακαλυφθείσας απειλής κακόβουλου λογισμικού που ονομάζεται VPNFilter, η οποία έχει μολύνει πάνω από μισό εκατομμύριο δρομολογητές και συσκευές δικτύου, σύμφωνα με ερευνητές της Talos Intelligence Group της Cisco.

Το VPNFilter είναι "σε θέση να καταστήσει τους δρομολογητές μικρών γραφείων και γραφείων στο σπίτι μη λειτουργικό", δήλωσε το FBI. "Το κακόβουλο λογισμικό μπορεί επίσης να συλλέγει πληροφορίες που περνούν μέσω του δρομολογητή."

Ποιος διανείμει το VPNFilter και σε ποιο σκοπό; Το Υπουργείο Δικαιοσύνης πιστεύει ότι οι ρώσοι χάκερ, που εργάζονται με την επωνυμία Sofacy Group, χρησιμοποιούσαν το κακόβουλο λογισμικό για τον έλεγχο μολυσμένων συσκευών.

Πώς ξέρετε εάν έχετε μολυνθεί;

Δυστυχώς, δεν υπάρχει εύκολος τρόπος να διαπιστώσετε αν ο δρομολογητής σας έχει υποστεί βλάβη από το VPNFilter. Το FBI σημειώνει μόνο ότι "το κακόβουλο λογισμικό έχει ως στόχο τους δρομολογητές που παράγονται από πολλούς κατασκευαστές και συσκευές αποθήκευσης που συνδέονται με το δίκτυο από τουλάχιστον έναν κατασκευαστή".

Αυτοί οι κατασκευαστές έχουν ως εξής: Linksys, Mikrotik, Netgear, QNAP και TP-Link. Ωστόσο, η έκθεση της Cisco αναφέρει ότι μόνο ένας μικρός αριθμός μοντέλων - λίγο περισσότερο από δώδεκα συνολικά - από αυτούς τους κατασκευαστές είναι γνωστό ότι έχουν επηρεαστεί από το κακόβουλο λογισμικό και είναι κυρίως παλαιότεροι:

Linksys: E1200, E2500, WRVS4400N

Mikrotik: 1016, 1036, 1072

Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000

QNAP: TS251, S439 Pro, άλλες συσκευές QNAP NAS που εκτελούν λογισμικό QTS

TP-Link: R600VPN

Συνεπώς, υπάρχει μια σχετικά μικρή πιθανότητα να χρησιμοποιείτε έναν μολυσμένο δρομολογητή. Φυσικά, ποτέ δεν μπορείς να είσαι πολύ προσεκτικός, οπότε ας μιλήσουμε για τρόπους για να διορθώσουμε το πρόβλημα και, ελπίζουμε, να το αποφύγουμε.

Θα λειτουργήσει πραγματικά μια επανεκκίνηση;

Σίγουρα δεν μπορεί να βλάψει. Επανεκκίνηση - ή ποδηλασία - ο δρομολογητής σας είναι μια ακίνδυνη διαδικασία και στην πραγματικότητα είναι συχνά ένα από τα πρώτα βήματα αντιμετώπισης προβλημάτων όταν αντιμετωπίζετε προβλήματα δικτύου ή συνδεσιμότητας. Εάν κάνατε ποτέ μια κλήση τεχνικής υποστήριξης λόγω προβλήματος στο διαδίκτυο, πιθανόν να σας συμβουλεύαμε να το κάνετε ακριβώς αυτό.

Ωστόσο, σύμφωνα με αυτό το άρθρο της Krebs για την Ασφάλεια, το οποίο αναφέρει την προαναφερθείσα έκθεση Cisco, η επανεκκίνηση από μόνη της δεν θα κάνει το τέχνασμα: "Μέρος του κώδικα που χρησιμοποιείται από το VPNFilter μπορεί να παραμείνει μέχρις ότου η επηρεαζόμενη συσκευή επαναφερθεί στις εργοστασιακές ρυθμίσεις.

Έτσι είναι δυνατόν το FBI να παρερμήνευσε τη σύσταση "reset" ως "επανεκκίνηση"; Ίσως, αλλά η κατώτατη γραμμή είναι ότι ένα εργοστάσιο- reset είναι ο μόνος σίγουρος τρόπος φωτιά για να καθαρίσει το VPNFilter από ένα δρομολογητή.

Τα καλά νέα: Είναι μια αρκετά εύκολη διαδικασία, που συνήθως απαιτεί κάτι παραπάνω από το να κρατάς κάτω ένα κουμπί επαναφοράς στο ίδιο το δρομολογητή. Τα κακά νέα: Είναι ένας πόνος στο άκρο γιατί όταν τελειώσει, θα πρέπει να ξαναμορφώσετε όλες τις ρυθμίσεις δικτύου. Ελέγξτε το εγχειρίδιο οδηγιών του μοντέλου σας για βοήθεια και με τα δύο βήματα.

Ποια άλλα βήματα πρέπει να πάρετε;

Έχουμε φτάσει σε μερικούς από τους προαναφερθέντες κατασκευαστές για να ζητήσουν τις συμβουλές τους για την καταπολέμηση του VPNFilter. Η Linksys απάντησε πρώτα, σημειώνοντας ότι το VPNFilter "πολλαπλασιάζεται χρησιμοποιώντας γνωστά ευπάθειες σε παλαιότερες εκδόσεις του firmware του δρομολογητή (που οι πελάτες δεν έχουν ενημερωθεί) καθώς και χρησιμοποιώντας κοινά προεπιλεγμένα διαπιστευτήρια".

Οι συμβουλές τους: Εφαρμόστε το πιο πρόσφατο υλικολογισμικό (κάτι που συμβαίνει αυτόματα στους νεότερους δρομολογητές της Linksys) και στη συνέχεια πραγματοποιήστε επαναφορά εργοστασιακών ρυθμίσεων. Η Linksys συνιστά επίσης να αλλάξετε τον προεπιλεγμένο κωδικό πρόσβασης.

Αυτές είναι και οι συμβουλές μας. Διατηρώντας τον δρομολογητή σας ενημερωμένο με το πιο πρόσφατο υλικολογισμικό και χρησιμοποιώντας έναν μοναδικό κωδικό πρόσβασης (και όχι αυτόν που παρέχεται από το κουτί), θα πρέπει να είστε σε θέση να κρατάτε μπροστά από το VPNFilter και άλλα είδη κακόβουλου λογισμικού στόχευσης στο δρομολογητή.

Δημοσιεύθηκε για πρώτη φορά στις 29 Μαΐου στις 11:33 π.μ. PT.

Ενημέρωση στις 30 Μαΐου στις 8:27 π.μ. PT: Σύμφωνα με το PSA του FBI σχετικά με το VPNFilter, η σύσταση επανεκκίνησης δεν αποσκοπεί στην απομάκρυνση του κακόβουλου λογισμικού, αλλά στην "προσωρινή διάρρηξη και ενίσχυση της πιθανής αναγνώρισης μολυσμένων συσκευών". Με άλλα λόγια, το FBI σας φέρνει σε αναζήτηση και καταστροφή. Περιττό να αναφέρουμε ότι σας συνιστούμε την προαναφερθείσα ενημέρωση υλικολογισμικού και την επαναφορά εργοστασιακών ρυθμίσεων εάν διαθέτετε ένα από τα μοντέλα των δρομολογητών που επηρεάζονται.