VPNFilter hakkında yapılan yeni araştırmalar, ilk sonuçlardan daha da fazla cihazın zararlı yazılımlar tarafından etkilendiğini gösteriyor. Bu da yönlendiricilerin yeniden başlatılmasını ve sıfırlanmasını daha acil hale getiriyor.
Cisco Talos İstihbarat Grubunun devam eden araştırmasına göre, VPNFilter olarak bilinen zararlı koddan etkilenen ve özellikle risk altında olduğuna inanılan yönlendiriciler listesi makalenin altında sıralanmıştır. Bu son bulgular, şuradaki WeLiveSecurity makalesindede anlatıldığı gibi yönlendiricilerin yeniden başlatılmasının önemini vurgulamaktadır.
56 ek model ve etkilenen beş yeni üretici, daha da fazla tespit edilecek olması muhtemeldir. Kullandığınız yönlendiricinin marka ve modeline bakılmaksızın harekete geçmelisiniz (Internet Servis Sağlayıcınızdan veya satıcınızdan sizin yönlendiricinizin savunmasız olmadığı konusunda güvence almadığınız sürece).
Neler oluyor?
50'den fazla ülkede yüz binlerce yönlendirici, VPNFilteradlı zararlı yazılım tarafından tehdit ediliyor. Bu zararlı kod yönlendiriciye yerleştirildiğinde, yönlendiriciden geçen trafik üzerinde casusluk yapabiliyor. Zararlı yazılım aynı zamanda cihazı da çalışamaz hale getirebiliyor.
Birçok kötü amaçlı yazılım gibi, VPNFilter'da modülerdir ve ek modüller indirmek için bir Komuta ve Kontrol (C2) sistemi ile internet üzerinden iletişim kurar. VPNFilter'in yeteneklerihakkındaki araştırmalar devam ediyor.
Yönlendiriciler, örneğin ofisinizdeki ağ ve internet olarak bilinen global ağ arasındaki trafiği yöneten özel cihazlardır. Yönlendiricilerin kod ve bilgileri depolamak için üç yeri vardır: “volatile” olarak bilinen ve güç gittiğinde içeriğini de kaybeden normal bellek; güç kapatıldığında bile içeriğini koruyan geçici olmayan bellek ve içeriğinin değiştirilmesi nispeten zor olan firmware.
VPNFilter'ın kodunun büyük bir kısmı, geçici bellekte duruyor ve bir yeniden başlatma ile siliniyor (yani gücü kapatıp 30 saniye bekleyin sonra tekrar açın). Bu yüzden güvenlik uzmanları ve FBI yönlendiricinizi yeniden başlatmanızı tavsiye ediyor.
Ancak, yeniden başlatmak, VPNFilter'ın kalıcı belleğe yazmış olabileceği kodu kaldırmaya yetmez. Uçucu olmayan hafızanın silinmesi bir cihazın sıfırlanmasını gerektirir, ancak ne yaptığınızı bilmedikçe bir sıfırlama yapmamalısınız ( ilgili WeLiveSecurity makalesinde yeralan talimatlara ve tavsiyelere bakın).
Yönlendiriciniz ISS'iniz tarafından sağlanıyorsa, sizi önceden uyarmamış ve durumu size bildirmemişse, talimatlar için onlara başvurmalısınız.
Göz önünde bulundurulması gereken diğer önlemler, yönlendiricinizi en son firmware'e yükseltmek, varsayılan yönetim parolasını değiştirmek ve uzaktan yönetimi devre dışı bırakmaktır. Bunları gerçekleştirmek için talimatlar, yönlendirici üreticisinin web sitesinde bulunabilir.
Evet, muhtemelen bir yönlendiriciniz var
Gelecek günlerde WeLiveSecurity'de VPNFilter ve yönlendirici güvenliği ile ilgili daha fazla makale olacağından eminiz. Şu ana kadar okuyuculardan gelen sorulara dayanarak, yönlendirici bilgilerinin ve bunların nasıl güvence altına alınacağının kullanıcılar arasında önemli ölçüde değiştiğini anlamıştık.
Tek bir temel soru “Bir yönlendiricim var mı?” - Cevap düşünebildiğinizden daha zor. Birçok ev ve küçük ofis, interneti bilgisayarlarına, akıllı telefonlarına, tabletlerine, akıllı TV'lere, akıllı termostatlara ve benzerlerine sunmak için birlikte çalışan çeşitli kutulara sahiptir.
Bu akış bir Wi-Fi erişim noktası üzerinden kablosuz olabilir veya bir switch üzerinden Ethernet kablolarıyla bağlanabilir. ISS'nizden gelen sinyalin, yönlendiriciden önce bir modeme gelmesi gerekebilir. Aşağıdaki şema bunu görselleştirmeye yardımcı olacaktır:
Ama özellikle ev ve küçük ofislerde çoğu zaman tüm bu dağıtım, yönlendirici özelliklerine sahip olsa bile yönlendirici olarak adlandırılmayan tek bir kutu tarafından sağlanabilir (ve örnekte olduğu gibi antene sahip olmamasına rağmen kablosuz özelliği olabilir). Bu cihazlara genellikle modem deriz fakat aslında yönlendirici özellikleri barındırmaktadırlar.
Umarız bu temel açıklamalar mevcut cihazınızı tanımlamanıza yardımcı olur ve yönlendirmeyi yapan kutuyu yeniden başlatabilirsiniz. Açıkçası, tek bir kutu yerine birden fazla kutunuz varsa bile hepsini kapatıp tekrar açmanızın bir zararı yok. Aslında, ISS'inize bağlantı yavaşlığı ile şikâyette bulunduğunuzda da ilk yapmanızı istedikleri şey budur.
Yine de hafife almayalım, VPNFilter, şu anda ortadaki-adam olarak adlandırdığımız (MITM) saldırı yeteneklerine sahip oldukça kötü amaçlı bir yazılımdır ( bkz. Talos güncellemesi). Bu, yalnızca çevrimiçi banka hesabınıza giriş yapmak için kullandığınız parola gibi şeyler de dahil olmak üzere, güvenliği ihlal edilmiş bir yönlendiriciden geçen trafiği yakalamakla kalmaz, aynı zamanda size gönderilen bilgileri de değiştirebilir, örneğin hesabınızda yanlış bir bakiye bile görüntüleyebilir. Bu yüzden, yönlendiricinin yeniden başlatılmasını geciktirmeyin ve güvenli bir şekilde nasıl yapılacağınıöğrendikten sonra sıfırdan kurulum yapın.
İşletmeler için önemli not
Bu çok güçlü ve çok kötü VPNFilter zararlı yazılımı hakkındaki araştırmalar, özellikle ev ve küçük ofis yönlendiricilerinin “risk altında” olduğunu vurguladı, ancak bu, işletmelerin korkacak bir şeyi olmadığı anlamına gelmez. Tecrübe, bu küçük cihazlardan bazılarının büyük şirket ağlarında bile kullanılma olasılığının olduğunu gösteriyor. Her işletmede bulunabilen ve bilgisayardan iyi anladığını iddia eden biri tarafından ağa bağlanmış veya politikaların sıkı takip edilmediği uzak şubelere bunlardan biri kurulmuş olabilir.
Veya ağınıza bağlanan, sunuculara kurulum yapabilen uzaktan çalışan insanların varlığı da unutulmamalı. Şimdi siber güvenlik uzmanlarının VPNFilter zararlı yazılımını ayrıntılı incelemeleri ve bu bağlantıların gizliliği ve bütünlüğü açısından bir risk teşkil edip etmediğini belirlemek için iyi bir zaman olacaktır.
Risk altında olduğu bilinen cihazlar.
Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U.
D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
Huawei: HG8245
Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5
Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
QNAP: TS251, TS439 Pro, diğer QNAP NAS, QTS yazılımı çalıştıran cihazlar
TP-Link: R600VPN, TL-WR741ND, TL-WR841N
Ubiquiti: NSM2, PBE M5
Upvel: Talos'a göre, bir üretici olarak Upveli hedefleyen zararlı yazılım olduğu biliniyor, ancak araştırmacılar hangi cihazların hedeflendiğini henüz belirlemedi.