VPNFilter – Framkomi álop í gongd í løtuni

Posted on by Bárður

Meir enn hálv millión eindir raktar

Tann 23. maj kunngjørdi KT-trygdareindin “Talos”, at teir vórðu í ferð við at kannað eitt ógvuliga álvarsamt og framkomi álop á neteindir, t.v.s beinarar, NAS’ar og líknandi.

Álopið, sum verður nevnt VPNFilter, var í maj mett, at hava rakt meir enn eina hálva millión eindir í meir enn 50 ymiskum londum.

Enn er óvist, hvør tað er, sum stendur aftan fyri álopið, men tað er eingin ivi um, at tað eru ógvuliga dugnalig fólk. Amerikansk rættarskjøl vísa, at amerikanska samveldisløgreglan, FBI, mistonkir at bólkurin “Sofacy Group” stendur aftanfyri. Hetta er ein bólkur, sum eisini verður nevndur “apt28” og “Fancy Bear”, og verður mettur at hava samband við russisku fregnartænastuna. Hetta er tó ikki váttað enn.

Tá álop verða framd, gongur ofta ikki long tíð, til KT-trygdarfyritøkur vita, hvussu álopið verður framt, og hvussu ein kann verja seg móti tí. Í hesum førum er tað tó enn óvist, hvussu teldusníkarnir fáa atgongd til tær ymsu neteindirnar. Tað er tí heldur ikki lætt, at verja seg móti álopinum, sum framvegis er í gongd.

 

Vandin størri enn fyrst hildið

Í maj upplýsti Talos, at VPNFilter kundi m.a. avlurta data, sum bleiv sent ígjøgnum neteindina, oyðileggja neteindina ella nýta hana sum millumlið, í samband við onnur álop.

Tann 6. juni komu nýggir upplýsingar frá Talos um, at vandin frá VPNFilter var nógv størri enn fyrst hildið.

Eitt tað mest álvarsama er avbrongling av samskifti við heimasíður, við at lumpa internetkagan til at nýta http í staðin fyri https. Eg havi áður víst á, hvussu umráðandi tað er at heimasíður brongla samskiftið við at nýta https. Eisini skrivaði eg um, hvussu danin, Thomas Kobber Panum, megnaði at stjala loginupplýsingar frá skat.dk, av tí at tann heimasíðan ikki nýtti https allastaðni.

Hátturin, sum Thomas Kobber Panum nýtti var, at hann útnyttaði tað, at skat.dk loyvdi at man kundi samskifta við heimasíðuna via http, t.v.s. uttan brongling. Skat.dk tvingaði soleiðis ikki internetkagan at nýta https. VPNFilter ger brúk av hesum sama veikleikanum, og hevur tí møguleika fyri at lumpa internetkagan til ikki at nýta brongling.

Fyri at fáa mest møguligar loginupplýsingar, hevur VPNFilter eisini tann eginleikan, at tað automatiskt goymir allar upplýsingar í samband við allar innritanir, t.v.s. at tað automatiskt goymir brúkaranavn og loyniorð, og sendir tað aftur til bakmenninar.

 

Tey, sum varða av heimasíðuni kunnu verja teg

Tað er tíbetur møguligt at tryggja samskiftið ímóti at blíva avbronglaða við at tvinga internetkagan at nýta https. Tann, sum varðar av heimasíðuni, kann seta upp eina funku, sum kallast HSTS (HTTP Strict-Transport-Security). Hetta ger, at internetkagin fær boð frá heimasíðuni um, at hann einans kann samskifta við heimasíðuna, um hann nýtur https. Um internetkagin tí roynir at nýta einans http og ikki https, verður hann avvístur.

Ein kanning av 12 føroyskum heimasíðum, sum allar eru settar upp til at brongla samskiftið við https vísti, at einans 2 av heimasíðunum nýttu HSTS. Hinar 10 verja soleiðis ikki sínar brúkarar móti at VPNFilter avbronglar títt samskifti við tær heimasíður.

Hevur tú sjálv/sjálvur hug at kannað um ein ávís heimasíða nýtur HSTS, kanst tú nýta hetta tólið frá Geek Flare.

Varðar tú av eini heimasíðu og ynskir at seta HSTS upp, hevur Geek Flare eina vegleiðing til uppsetan av HSTS.

 

Hesar neteindir eru raktar

Í løtuni er Talos vitandi um yvir 70 eindir frá 11 ymiskum veitarum, sum eru raktar av VPNFilter. Tær framganga herundir:

Asus:

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N56U
  • RT-N66U

D-LINK:

  • DES-1210-08P
  • DIR-300
  • DIR-300A
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

HUAWEI:

  • HG8245

LINKSYS:

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

MIKROTIK:

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  • RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5

NETGEAR:

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

QNAP:

  • TS251
  • TS439 Pro

TP-LINK:

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

UBIQUITI:

  • NSM2
  • PBE M5

UPVEL:

  • Ókend eindarnummar

ZTE:

  • ZXHN H108N

 

Eg hevði gjarna vilja kunna givið tær eina stutta og greiða vegleiðing um, hvussu tú kanst tryggja teg móti VPNFilter, men av tí, at tað er óvist, hvussu VPNFilter kemur inn á eindirnar, er hetta tíverri ikki møguligt. Tó kann sigast, at um tú nýtur eina av oman fyri nevndu eindum, so verður tað rátt til at tú nullstillar eindina fullkomiliga. Áðrenn tú tekur eindina aftur í nýtslu, verður rátt til, at tú tryggjar tær, at eindin er uppdatera við nýggjastu stýriskipan og at tú broytir standard loyniorðið til eindina.

Um tú er eitt sindur meir tekniskur, hevur Talos kunngjørt ein lista av IOC’s (Indicators Of Compromise), sum hava samband við VPNFilter.

Published by Bárður