VPNFilter celuje w kolejne urządzenia! Czy powinniśmy się bać?
Sprawdź darmową edukację z cyberbezpieczeństwa ↓
Tagi:  wifiaccess-point

VPNFilter celuje w kolejne urządzenia! Czy powinniśmy się bać?

VPNFilter zdążyło zainfekować już ponad pół miliona urządzeń sieciowych. Przeczytaj, w jaki sposób przeprowadzany jest atak oraz jak się uchronić.

Odkryte ponad dwa tygodnie temu przez grupę Talos z firmy Cisco, złośliwe oprogramowanie o niewinnej nazwie VPNFilter, zdążyło zainfekować do tej pory już ponad 500 tyś. routerów. Jak wynika z najnowszych aktualizacji grupy Talos, malware stanowi poważniejsze zagrożenie niż początkowo przypuszczano. Naukowcy zidentyfikowali jeszcze więcej zainfekowanych wirusem marek i modeli urządzeń sieciowych. Odkryli także dodatkowe moduły ujawniające się podczas trzeciego etapu instalacji wirusa. Jeden z nich może zagrażać nie tylko urządzeniom sieciowym, ale także punktom końcowym z nimi połączonymi!

Jak atakuje malware?

Infekcja VPNFilter przebiega w trzech etapach. W wielkim skrócie, pierwsza faza instalacji polega na załadowaniu złośliwego pliku z malwarem do listy zadań uruchamianych wraz z urządzeniem sieciowym. Wirus jest na tyle przebiegły, że potrafi przeżyć nawet restart routera. Modyfikuje on pamięć NVRAM i niepostrzeżenie dodaje się do listy crontaba. Kiedy szkodnik przetrwa, rozpoczyna się etap drugi. Opiera się on na pobraniu modułu głównego – wykorzystywanego do zarządzania wirusem i ściągnięcia specjalnej wtyczki służącej stricte realizacji planów hakerów. Jest to ostatni i zarazem najbardziej rozbudowany etap przejęcia routera przez VPNFilter.
Schemat działania VPNFilter (źródło: Talos)

Możliwości znalezione w nowo odkrytym przez Talos module “ssler” trzeciego etapu, polegają na dostarczeniu szkodliwej zawartości nie tylko na urządzenia sieciowe, ale także do punktów końcowych. Infekujące pliki mogą przechwytywać ruch sieciowy i wprowadzać do niego złośliwy kod bez wiedzy użytkownika. Poza zupełnie niewidocznym dla użytkownika manipulowaniem ruchu dostarczanym do punktów końcowych w zainfekowanej sieci, moduł ssler ma również za zadanie wykraść wrażliwe dane, przekazywane  pomiędzy połączonymi punktami końcowymi, a zewnętrznym Internetem. Szkodnik aktywnie sprawdza adresy internetowe pod kątem danych, głównie loginy, hasła oraz inne poufne informacje. Wszystko po to, aby następnie skopiować je i wysłać na serwery całodobowo kontrolowane przez hakerów. 

Jak można zauważyć, zagrożenie ewidentnie rozszerza się i wykracza poza granicę dotychczasowego działania VPNFilter, które miało dotyczyć tylko ataków na urządzenia sieciowe. Pozostaje pytanie, czy faktycznie powinniśmy się obawiać ataku ze strony VPNFilter?

Jakie urządzenia zainteresowały do tej pory hakerów?

Na celowniku VPNFilter znalazły się m.in.: urządzenia takich firm jak: ASUS, D-Link, Huawei, Ubiquiti, UPVEL i ZTE, a także wiele więcej rozwiązań z wcześniej wymienianych, m.in.: Linksys, MikroTik, Netgear i TP-Link.

Obecnie na liście opublikowanej przez Cisco, zagrożonymi modelami są:

  • Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
  • D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N Huawei: HG8245
  • Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
  • Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5
  • Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
  • QNAP:TS251, TS439 Pro, NAS-y z oprogramowaniem QTS
  • ZTE: ZXHN H108N
  • Ubiquiti: NSM2, PBE M5
  • Upvel: modele nie są znane
  • TP-Link: R600VPN, TL-WR741ND, TL-WR841N

Jak nie paść ofiarą VPNFilter?

Na chwilę obecną, badacze wciąż nie są pewni, które luki w zabezpieczeniach zostały wykorzystane przez atakujących do zainstalowania złośliwego oprogramowania na urządzeniach. Sugerują natomiast wykonanie natychmiastowej aktualizacji urządzenia, ponieważ każda luka może być potencjalnie podatna na atak. Eksperci apelują również o zresetowanie routerów i przywrócenie ich funkcji do ustawień fabrycznych. Nie ma jednak 100% pewności, że

Zaleca się, aby:

  • Użytkownicy routerów SOHO i / lub NAS zresetowali swoje urządzenia do domyślnych ustawień fabrycznych w celu usunięcia potencjalnie destrukcyjnego, trwałego złośliwego oprogramowania na drugim i trzecim etapie instalacji;
  • Dostawcy usług internetowych, którzy udostępniają routery SOHO swoim użytkownikom, uruchomili ponownie routery w imieniu swoich Klientów
  • Upewnić się, że obecnie używane urządzenie jest aktualne z najnowszą wersją, jeśli nie, niezwłocznie należy wykonać aktualizację
  • Zabezpieczyć dane przechowywane na komputerze. Warto w tym celu zainwestować w odpowiednie oprogramowanie do ochrony punktów końcowych oraz brzegu sieci, m.in.: takie jak: ESET, Trend Micro, czy WatchGuard.

WatchGuard poinformował i uspokoił swoich Klientów, że VPNFilter nie zagraża ich urządzeniom. Producent zaleca natomiast ustawianie silnych, unikalnych haseł na kontach administracyjnych urządzeń i regularne sprawdzanie wszelkich dostępnych aktualizacji i ich instalowanie.

Oceń blog:
Czas czytania: 6 min
Data: 11.06.2018

Terminarz

prev

next

Lista najbliższych webinariów

25.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel Endpoint Detection and Response (EDR)

case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel

Czytaj więcej
case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline Next Generation Firewall (NGFW)

case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline

Czytaj więcej
WatchGuard MDR - co to jest i który wariant wybrać? Managed Detection and Response (MDR)

WatchGuard MDR - co to jest i który wariant wybrać?

Czytaj więcej
WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026 Endpoint Detection and Response (EDR)

WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026

Czytaj więcej
Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności Usługi i szkolenia

Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności

Czytaj więcej
WatchGuard Access Point AP332CR

WatchGuard Access Point AP332CR

Oferuje wysoką wydajność sieci bezprzewodowej, niezawodną łączność oraz rozbudowane funkcje bezpieczeństwa. Idealny do firm, biur i obiektów wymagających stabilnego oraz bezpiecznego dostępu do sieci Wi-Fi.

Wycena indywidualna
Zobacz więcej
WatchGuard Access Point AP230W Nowość

WatchGuard Access Point AP230W

Access Points AP432 z możliwością zarządzania w chmurze - USP Wi-Fi Management License

Wycena indywidualna
Zobacz więcej
Fudo Security Zero Trust Network Access

Fudo Security Zero Trust Network Access

Głównym założeniem ZTNA jest to, że użytkownikom w systemie przyznaje się początkowo najniższe uprawnienia (z poziomu autoryzacji). Dzięki temu mamy zapewnienie, że wszystko zostaje poddane weryfikacji na każdym kroku.

Wycena indywidualna
Zobacz więcej