Hlavní obsah

Nebezpečný počítačový virus se šíří Českem, varuje Národní bezpečnostní tým

Novinky, mif

Český Národní bezpečnostní tým CSIRT varoval v pondělí před počítačovým virem napadajícím routery, o němž Novinky.cz informovaly minulý čtvrtek. Podle zástupců týmu se tato hrozba šíří i českým internetem. Prostřednictvím routeru se útočníci snadno a bohužel často i nepozorovaně dostanou do všech připojených PC.

Foto: Profimedia.cz

Jedná se o velmi nebezpečný útok, neboť postihuje všechna zařízení, která jsou pomocí napadeného routeru připojena.

Článek

„Je to poprvé, kdy byl podobný incident v ČR reportován. Od počátku tohoto roku se ale informace o těchto útocích v zahraničí pravidelně objevují,“ uvedl analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.

Podle něj byly podobné útoky zaznamenány v minulých dnech například v Polsku. Desítky dalších uživatelů se staly oběťmi viru v Německu, Anglii nebo například v Americe, což dokládají i reakce postižených na zahraničních diskuzních fórech.

KOMENTÁŘ DNE:

Lyžařské Nagano -  Nedá se nic dělat, dnešní komentář musí být sportovní, protože jedna mladá dáma přepsala lyžařské dějiny země. Čtěte zde >>

„Jedná se o velmi nebezpečný útok, neboť postihuje všechna zařízení, která jsou pomocí napadeného routeru připojena. V případě, který byl zaznamenán v ČR, se jednalo konkrétně o zařízení TP-LINK TD-W8901G. Ve světě však byla tímto druhem útoku postižena celá řada routerů různých značek,“ varoval Bašta.

Útoky mají vždy stejný scénář

Prakticky všechny zaznamenané útoky mají vždy stejný scénář. Sítí se šíří virus, který napadá přímo routery. Ve chvíli, kdy se nezvaný návštěvník zabydlí v routeru, zablokuje na všech připojených počítačích internetové připojení a automaticky vyzývá uživatele k instalaci aktualizace flash playeru. Snaží se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti pluginů.

Místo aktualizace flash playeru uživatelé stáhnou do všech připojených PC pouze dalšího nezvaného návštěvníka.

Výzvy k aktualizaci se přitom zobrazují i po zadání regulérních webů, jako jsou například Seznam.cz a Google.com, což může některé uživatele uvést v omyl. Zobrazování hlášek i na regulérních webech je možné právě kvůli tomu, že kyberzločinci ovládají přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahují.

Místo aktualizace flash playeru uživatelé stáhnou do počítače a případně do všech dalších připojených sestav pouze dalšího nezvaného návštěvníka. Podle ohlasů na diskuzních fórech se jedná o trojského koně, kterého naštěstí většina antivirových programů rozpozná.

Uživatelé přesto nemají vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru. A k němu nemá drtivá většina bezpečnostních aplikací vůbec žádný přístup. [celá zpráva]

Hrozbu zatím experti analyzují

Podle prvních ohlasů z minulého týdne se virus měl zaměřovat pouze na routery se slabým zabezpečením, do jiných se dostat neměl. Útok zaznamenaný v Česku je ale alarmující, protože na rozdíl od předchozích případů na něm postižený uživatel nepoužíval tovární nastavení – tedy změnil přístupová hesla ke konfiguraci a bezdrátové síti, což mělo přístupu kyberzločinců zamezit.

„Na routeru uživatele bylo nastavené netriviální heslo a není tak zatím zřejmé, jakým způsobem byl útok proveden. CSIRT.CZ má však přislíbeno zapůjčení tohoto konkrétního napadeného kusu routeru k analýze. Pokud se nám tedy podaří zjistit, jakým způsobem byl útok proveden, budeme o tom informovat uživatele a výrobce routeru,“ konstatoval Bašta s tím, že uživatelé by neměli hrozbu v žádném případě podceňovat.

Virus je nutné smazat přímo na routeru

Bezpečnostní doporučení z minulého týdne i přes alarmující případ z Česka stále platí. Nezvaného návštěvníka je možné odstranit uvedením routeru do továrního nastavení. Jak na to, se lidé dozvědí z návodů dodávaných k zařízení. Zpravidla se však na síťovém prvku nachází malé tlačítko nazvané reset (většinou je tak malé, že jde stisknout pouze špendlíkem nebo hrotem tužky), stačí jej chvilku držet, dokud nezačnou kontrolky na routeru blikat.

Aby se kyberzločincům nepodařilo znovu nezvaného návštěvníka tímto způsobem do systému propašovat, je nutné u routeru nastavit silné přístupové heslo k jeho konfiguraci. U bezdrátových modelů to samé platí u hesla k wi-fi síti, vhodné je také používat silnější bezpečnostní standard, například WPA 2.

Vhodné je také pravidelně sledovat, zda nejsou pro router dostupné nějaké aktualizace přímo od výrobce. Právě v případě zaznamenaném v Česku se totiž škodlivý kód mohl do routeru dostat kvůli chybě softwaru, přestože byl dostatečně zabezpečen. „Mohlo by se jednat například o již dříve popsanou CSRF zranitelnost TP-LINK routerů, to však v tuto chvíli nemůžeme stoprocentně říci,“ uzavřel Bašta.

Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.

Související témata:

Výběr článků

Načítám