Komoly kiberbiztonsági fenyegetésre figyelmeztetnek a szakértők: egy nagyszabású támadási hullám során több mint 14 000 internetes eszközt fertőzhetett meg egy különösen alattomos kártevő. A támadás fő célpontjai az otthoni wifi routerek, különösen az ASUS gyártó egyes modelljei.
A KadNap nevű vírus az elmúlt hónapokban egy hatalmas hálózatot épített ki fertőzött routerekből. A kártevő az úgynevezett botnetek közé tartozik: ezek olyan rendszerek, amelyekben a támadók több ezer eszközt kapcsolnak össze, és azokat saját céljaikra használják fel anélkül, hogy a tulajdonosok tudnának róla.
A biztonsági kutatók szerint a fertőzött routerekből álló hálózatot elsősorban titkos adatforgalom továbbítására használják, vagyis a bűnözők mások internetkapcsolatán keresztül bonyolítanak le online tevékenységeket.
Így működik a különleges router-vírus
A KadNap működése azért különösen aggasztó, mert eltér a klasszikus hackerhálózatoktól. A legtöbb botnet egy központi szerverről kap utasításokat, amelyet ha a hatóságok leállítanak, az egész hálózat összeomlik.
A KadNap azonban egy teljesen más módszert használ: peer-to-peer kommunikációt. Ez azt jelenti, hogy a fertőzött routerek egymással kommunikálnak, és egymásnak adják tovább az információkat.
Ez a működési elv hasonló ahhoz, ahogyan a torrent hálózatok működnek. Ha egy fertőzött eszközt sikerül lekapcsolni, a rendszer többi része akkor is működőképes marad.
A módszernek komoly előnye van a támadók számára: nagyon nehéz azonosítani és felszámolni a hálózatot, mert nincs egyetlen központi irányító szerver.
Mire használják a fertőzött routereket?
A szakértők szerint a támadás egyik legfontosabb célja az, hogy a bűnözők névtelen internetkapcsolatot biztosítsanak mások számára.
A rendszer lényege, hogy a fertőzött routereken keresztül más felhasználók – például kiberbűnözők – is internetezhetnek. Így a hálózati forgalom az áldozatok internetkapcsolatán keresztül halad, miközben a valódi felhasználók kiléte rejtve marad.
Ez azt jelenti, hogy egy fertőzött router segítségével akár:
-
illegális adatforgalmat
-
spam kampányokat
-
kibertámadásokat
-
tiltott tartalmak letöltését
is lebonyolíthatják.
Mindez úgy történik, hogy az otthoni felhasználó semmit sem vesz észre az egészből.
A KadNap trükkös kommunikációs rendszere
A hálózatot felfedező kutatók szerint a vírus rendkívül ravasz módszerrel keresi meg a következő utasításokat.
A fertőzött router először egy titkos azonosító kóddal „megszólít” más közeli eszközöket a hálózaton. Ezek az eszközök információt adnak arról, hogy merre található az a szerver vagy csomópont, amely a következő feladatot kiadja.
A router ezután lépésről lépésre követi ezeket az információkat, míg eljut egy olyan ponthoz, ahol megkapja az utasításokat. Ezek lehetnek például:
-
bizonyos tűzfalportok megnyitása vagy lezárása
-
titkos adatforgalom továbbítása
-
más fertőzött eszközök felkutatása
A rendszert felfedező kutatók a Black Lotus Labs szakértői voltak, akik szerint a vírus különösen szívós és nehezen eltávolítható.
Miért veszélyes ez a támadás?
A legnagyobb probléma az, hogy a routerek sok esetben elhanyagolt biztonsági frissítésekkel működnek. Sok felhasználó évekig nem frissíti a router szoftverét, így a támadók könnyen kihasználhatják a régi biztonsági hibákat.
A routerek ráadásul az otthoni hálózat központi elemei. Ha egy ilyen eszközt sikerül kompromittálni, a támadók hozzáférhetnek az internetforgalomhoz, vagy akár más eszközöket is megfigyelhetnek.
A kutatók szerint a KadNap különösen veszélyes azért is, mert a fertőzés újraindítás után is aktív marad.
A vírus túléli az újraindítást is
Sokan azt gondolják, hogy egy router egyszerű ki- és bekapcsolása megszünteti a fertőzést. A KadNap azonban ennél sokkal kifinomultabb.
A kártevő egy rejtett indítófájlt helyez el a router memóriájában. Ez a fájl minden egyes újraindítás után automatikusan aktiválja a vírust.
Ezért a fertőzés megszüntetéséhez nem elegendő az újraindítás.
Hol terjed a vírus?
A biztonsági szakértők szerint a fertőzés elsősorban:
-
az Egyesült Államokban
-
Oroszországban
-
több ázsiai országban
jelent meg nagy számban.
Ugyanakkor Európában sem példa nélküli a fertőzés, ezért a szakértők minden felhasználót arra figyelmeztetnek, hogy ellenőrizze routerének biztonságát.
Így ellenőrizheted, hogy érintett vagy-e
A kutatók nyilvánosságra hozták azokat az IP-címeket és fájlazonosítókat, amelyek alapján ellenőrizhető, hogy egy eszköz fertőzött-e.
Ha kiderül, hogy a router érintett, a következő lépéseket javasolják:
Gyári visszaállítás
A router teljes Factory Reset visszaállítása az egyetlen biztos módja a vírus eltávolításának.
Firmware frissítés
A gyári visszaállítás után azonnal telepíteni kell a router legújabb szoftverfrissítését a gyártó hivatalos weboldaláról.
Biztonsági beállítások
Fontos lépések még:
-
erős jelszó beállítása
-
a távoli elérés (remote access) kikapcsolása
-
a rendszeres frissítések telepítése
Egyre fontosabb a hálózati biztonság
A szakértők szerint a routerek elleni támadások az elmúlt években jelentősen megszaporodtak. Ennek oka, hogy ezek az eszközök gyakran folyamatosan online vannak, és sok esetben gyenge védelemmel rendelkeznek.
A KadNap esete jól mutatja, hogy a kiberbűnözők ma már nemcsak számítógépeket vagy telefonokat támadnak, hanem az otthoni hálózatok teljes infrastruktúráját.
Ezért egyre fontosabb, hogy a felhasználók rendszeresen frissítsék eszközeiket, és odafigyeljenek a hálózatuk biztonságára.
