Malware Vpnfilter telah menginfeksi jutaan router - inilah yang perlu Anda ketahui

Sebuah penemuan baru-baru ini bahwa malware berbasis router baru, yang dikenal sebagai VPNFilter, telah menginfeksi lebih dari 500.000 router hanya menjadi berita yang lebih buruk. Dalam sebuah laporan yang diharapkan akan dirilis 13 Juni, Cisco menyatakan bahwa lebih dari 200.000 router tambahan telah terinfeksi dan bahwa kemampuan VPNFilter jauh lebih buruk daripada yang diperkirakan sebelumnya. Ars Technica telah melaporkan apa yang diharapkan dari Cisco Rabu.

VPNFilter adalah malware yang diinstal pada router Wi-Fi. Ini telah menginfeksi hampir satu juta router di 54 negara, dan daftar perangkat yang diketahui terpengaruh oleh VPNFilter berisi banyak model konsumen populer. Penting untuk dicatat bahwa VPNFilter bukan eksploit router yang dapat ditemukan dan digunakan penyerang untuk mendapatkan akses - itu adalah perangkat lunak yang diinstal pada router tanpa disengaja yang mampu melakukan beberapa hal yang berpotensi mengerikan.

VPNFilter adalah malware yang entah bagaimana terinstal di router Anda, bukan kerentanan yang dapat digunakan penyerang untuk mendapatkan akses.

Serangan pertama VPNFilter terdiri dari seorang pria di serangan tengah pada lalu lintas masuk. Kemudian mencoba mengarahkan lalu lintas terenkripsi HTTPS aman ke sumber yang tidak dapat menerimanya, yang menyebabkan lalu lintas kembali ke lalu lintas HTTP normal yang tidak terenkripsi. Perangkat lunak yang melakukan ini, dinamai ssler oleh peneliti, membuat ketentuan khusus untuk situs yang memiliki tindakan ekstra untuk mencegah hal ini terjadi seperti Twitter.com atau layanan Google apa pun.

Setelah lalu lintas tidak terenkripsi, VPNFilter kemudian dapat memantau semua lalu lintas masuk dan keluar yang melewati router yang terinfeksi. Alih-alih memanen semua lalu lintas dan mengarahkan ulang ke server jarak jauh untuk dilihat nanti, ia secara khusus menargetkan lalu lintas yang diketahui mengandung materi sensitif seperti kata sandi atau data perbankan. Data yang dicegat kemudian dapat dikirim kembali ke server yang dikendalikan oleh peretas yang memiliki ikatan dengan pemerintah Rusia.

VPNFilter juga dapat mengubah lalu lintas masuk untuk memalsukan tanggapan dari server. Ini membantu menutupi jejak malware dan memungkinkannya beroperasi lebih lama sebelum Anda tahu ada masalah. Contoh apa yang dapat dilakukan VPNFilter terhadap lalu lintas masuk yang diberikan kepada ARS Technica oleh Craig Williams, seorang pemimpin teknologi senior dan manajer penjangkauan global di Talos mengatakan:

Tetapi tampaknya telah benar-benar berkembang melewati itu, dan sekarang tidak hanya memungkinkan mereka untuk melakukan itu, tetapi mereka dapat memanipulasi segala sesuatu melalui perangkat yang dikompromikan. Mereka dapat memodifikasi saldo rekening bank Anda sehingga terlihat normal sementara pada saat yang sama mereka menyedot uang dan berpotensi kunci PGP dan hal-hal seperti itu. Mereka dapat memanipulasi semua yang masuk dan keluar dari perangkat.

Sulit atau tidak mungkin (tergantung pada keahlian Anda dan model router) untuk mengetahui apakah Anda terinfeksi. Para peneliti menyarankan siapa saja yang menggunakan router yang diketahui rentan terhadap VPNFilter menganggap mereka terinfeksi dan mengambil langkah-langkah yang diperlukan untuk mendapatkan kembali kendali atas lalu lintas jaringan mereka.

Router diketahui rentan

Daftar panjang ini berisi router konsumen yang dikenal rentan terhadap VPNFilter. Jika model Anda muncul di daftar ini, disarankan Anda mengikuti prosedur di bagian selanjutnya dari artikel ini. Perangkat dalam daftar yang ditandai sebagai "baru" adalah router yang baru saja ditemukan rentan.

Perangkat Asus:

• RT-AC66U (baru)
• RT-N10 (baru)
• RT-N10E (baru)
• RT-N10U (baru)
• RT-N56U (baru)

Perangkat D-Link:

• DES-1210-08P (baru)
• DIR-300 (baru)
• DIR-300A (baru)
• DSR-250N (baru)
• DSR-500N (baru)
• DSR-1000 (baru)
• DSR-1000N (baru)

Perangkat Huawei:

• HG8245 (baru)

Perangkat Linksys:

• E1200
• E2500
• E3000 (baru)
• E3200 (baru)
• E4200 (baru)
• RV082 (baru)
• WRVS4400N

Perangkat Mikrotik:

• CCR1009 (baru)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (baru)
• CRS112 (baru)
• CRS125 (baru)
• RB411 (baru)
• RB450 (baru)
• RB750 (baru)
• RB911 (baru)
• RB921 (baru)
• RB941 (baru)
• RB951 (baru)
• RB952 (baru)
• RB960 (baru)
• RB962 (baru)
• RB1100 (baru)
• RB1200 (baru)
• RB2011 (baru)
• RB3011 (baru)
• RB Groove (baru)
• BPR Omnitik (baru)
• STX5 (baru)

Perangkat Netgear:

• DG834 (baru)
• DGN1000 (baru)
• DGN2200
• DGN3500 (baru)
• FVS318N (baru)
• MBRN3000 (baru)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (baru)
• WNR4000 (baru)
• WNDR3700 (baru)
• WNDR4000 (baru)
• WNDR4300 (baru)
• WNDR4300-TN (baru)
• UTM50 (baru)

Perangkat QNAP:

• TS251
• TS439 Pro
• Perangkat QNAP NAS lain yang menjalankan perangkat lunak QTS

Perangkat TP-Link:

• R600VPN
• TL-WR741ND (baru)
• TL-WR841N (baru)

Perangkat Ubiquiti:

• NSM2 (baru)
• PBE M5 (baru)

Perangkat ZTE:

• ZXHN H108N (baru)

Apa yang kamu butuhkan

Saat ini, segera setelah Anda bisa, Anda harus me-reboot router Anda. Untuk melakukan ini cukup cabut dari catu daya selama 30 detik kemudian pasang kembali. Banyak model router flush aplikasi yang diinstal ketika mereka didaur ulang daya.

Langkah selanjutnya adalah mengatur ulang pabrik router Anda. Anda akan menemukan informasi tentang cara melakukan ini di manual yang disertakan dalam kotak atau dari situs web produsen. Ini biasanya melibatkan memasukkan pin ke lubang tersembunyi untuk menekan microswitch. Ketika Anda membuat router Anda kembali dan berjalan, Anda harus memastikan itu pada versi terbaru dari firmware-nya. Sekali lagi, lihat dokumentasi yang menyertai router Anda untuk perincian tentang cara memperbarui.

Selanjutnya, lakukan audit keamanan cepat tentang bagaimana Anda menggunakan router Anda.

• Jangan pernah menggunakan nama pengguna dan kata sandi default untuk mengelolanya. Semua router dari model yang sama akan menggunakan nama dan kata sandi default itu dan itu membuat cara mudah untuk mengubah pengaturan atau menginstal malware.
• Jangan pernah memaparkan perangkat internal apa pun ke internet tanpa firewall yang kuat. Ini termasuk hal-hal seperti server FTP, server NAS, Server Plex atau perangkat pintar apa pun. Jika Anda harus mengekspos setiap perangkat yang terhubung di luar jaringan internal Anda, Anda kemungkinan dapat menggunakan penyaringan port dan perangkat lunak penerusan. Jika tidak, berinvestasi dalam firewall perangkat keras atau perangkat lunak yang kuat.
• Jangan biarkan administrasi jarak jauh diaktifkan. Mungkin nyaman jika Anda sering jauh dari jaringan Anda, tetapi ini merupakan titik serangan potensial yang diketahui oleh setiap peretas.
• Selalu tetap terbarui. Ini berarti memeriksa firmware baru secara berkala, dan yang lebih penting, pastikan untuk menginstalnya jika tersedia.

Terakhir, jika Anda tidak dapat memperbarui firmware untuk mencegah VPNFilter terinstal (situs web produsen Anda akan memiliki detail) cukup beli yang baru. Saya tahu bahwa mengeluarkan uang untuk mengganti router yang benar-benar bagus dan berfungsi agak ekstrem, tetapi Anda tidak akan tahu apakah router Anda terinfeksi kecuali Anda adalah orang yang tidak perlu membaca tip semacam ini.

Kami menyukai sistem router jala baru yang dapat diperbarui secara otomatis kapan pun firmware baru tersedia, seperti Google Wifi, karena hal-hal seperti VPNFilter dapat terjadi kapan saja dan kepada siapa pun. Ada baiknya melihat jika Anda berada di pasar untuk router baru.