Миналия петък ФБР издаде доклад, който препоръчва на всички да рестартират рутерите си. Причината? "Чуждестранните кибернетични актьори са компрометирали стотици хиляди домашни и офис рутери и други мрежови устройства по целия свят."

Това е доста тревожна PSA, но също така и малко неясна. Как да разберете дали вашият рутер е заразен? Какво можете да направите, за да пазите от него зловреден софтуер? И може би най-важното от всичко, може ли простото рестартиране наистина да елиминира заплахата?

Каква е заплахата?

Препоръката на ФБР идва наскоро след наскоро открита злонамерена заплаха, наречена VPNFilter, която е заразила повече от половин милион маршрутизатора и мрежови устройства, според изследователи от Talos Intelligence Group на Cisco.

VPNFilter е "в състояние да направи малки офиси и домашни офиси рутери неработещи", заяви ФБР. "Зловредният софтуер може потенциално да събира информация, минаваща през маршрутизатора."

Кой е разпространил VPNFilter и до каква степен? Министерството на правосъдието вярва, че руските хакери, работещи под името Sofacy Group, са използвали зловредния софтуер за контрол на заразените устройства.

Откъде знаеш, че си заразен?

За съжаление няма лесен начин да разберете дали вашият рутер е бил компрометиран от VPNFilter. ФБР отбелязва само, че "зловредният софтуер е насочен към маршрутизатори, произведени от няколко производители и свързани с мрежата устройства за съхранение от поне един производител."

Тези производители са следните: Linksys, Mikrotik, Netgear, QNAP и TP-Link. В доклада на Cisco обаче се посочва, че само малък брой модели - малко повече от десетина - от тези производители са известни, че са засегнати от зловредния софтуер и те са предимно по-стари:

Linksys: E1200, E2500, WRVS4400N

Mikrotik: 1016, 1036, 1072

Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000

QNAP: TS251, S439 Pro, други QNAP NAS устройства, работещи с QTS софтуер

TP-Link: R600VPN

Следователно има доста малък шанс да управлявате заразения маршрутизатор. Разбира се, никога не можете да бъдете прекалено внимателни, така че нека поговорим за начините за решаване на проблема и, да се надяваме, да го избегнем напред.

Ще рестартира ли наистина?

Определено не може да навреди. Рестартиране - или зареждане с мощност - вашият рутер е безвредна процедура и всъщност често е сред първите стъпки за отстраняване на неизправности, когато имате проблеми с мрежата или свързването. Ако някога сте били на повикване за техническа поддръжка поради проблем с интернет, вероятно ви е било посъветвано да направите точно това.

Въпреки това, според този пост на Krebs on Security, който цитира гореспоменатия доклад на Cisco, самото рестартиране няма да свърши работа: "Част от кода, използван от VPNFilter, все още може да се запази, докато засегнатото устройство не се върне към фабричните настройки по подразбиране."

Възможно ли е ФБР да е изтълкувал погрешно препоръката за "нулиране" като "рестартиране"? Може би, но най-важното е, че фабричната настройка е единственият сигурен начин за прочистване на VPNFilter от рутер.

Добрата новина: Това е доста лесен процес, който обикновено изисква малко повече от натискане на бутона за нулиране на самия рутер. Лошата новина: Това е болка в задника, защото когато се направи, ще трябва да преконфигурирате всичките си мрежови настройки. Проверете ръководството за инструкции на вашия модел за помощ с двете стъпки.

Какви други стъпки трябва да предприемете?

Стигнахме до няколко от гореспоменатите производители, за да поискаме техните съвети за борба с VPNFilter. Отговорът на Linksys е първият, отбелязвайки, че VPNFilter "се разпространява чрез известни уязвимости в по-старите версии на фърмуера на рутера (които клиентите не са актуализирали), както и с използването на общи идентификационни данни по подразбиране."

Техните съвети: Приложете най-новия фърмуер (нещо, което се случва автоматично в по-новите маршрутизатори на Linksys) и след това извършете нулиране на фабриката. Linksys препоръчва и промяна на паролата по подразбиране.

Това е и нашият съвет. Като поддържате маршрутизатора поправен с най-новия фърмуер и използвате уникална парола (вместо тази, предоставена от кутията), би трябвало да можете да поддържате преди VPNFilter и други видове насочващи към зловреден софтуер рутери.

Първо публикувано на 29 май в 11:33 ч. PT.

Актуализация, 30 май в 8:27 ч. PT: Според PSA на ФБР относно VPNFilter, препоръката за рестартиране не е предназначена за премахване на зловредния софтуер, а по-скоро за "временно прекъсване" и подпомага потенциалната идентификация на заразените устройства. " С други думи, ФБР ви привлича в операция за търсене и унищожаване. Излишно е да споменаваме, че препоръчваме гореспоменатата актуализация на фърмуера и фабричните нулиране, ако притежавате един от засегнатите модели рутери.