Az ArsTechnika beszámolója szerint a Cisco szakemberei hónapok óta figyelik a hackerek tevékenységét. Az elmúlt három hétben egyre aktívabb lett a malware, amely többször is ukrán eszközöket és rendszereket vett célba. Időközben az FBI ügynökei megtalálták a szervert, amely a támadásokban kulcsszerepet játszott. A nyomozók szerint a háttérben az orosz kormány által támogatott hackerek állnak. William Largent, a Cisco kutatója szerint mivel a vírust a civilek és a kisebb cégek routereire telepítették, a támadást tévesen nekik lehetett volna tulajdonítani – holott ők is csupán a hackerek áldozatai. A Cisco mostani jelentése ugyan nem nevezi meg Oroszországot – ellentétben az FBI szakembereivel –, arra viszont kitér, hogy a kódban sok olyan részletet találtak, ami a korábbi, Ukrajna elleni kibertámadásoknál is jelen volt.
A Cisco szerint a VPNFilter nevű kártevő a fogyasztók által kedvelt routergyártók eszközeibe ette be magát: ott van többek között a Linksys, a MikroTik, a Netgear és a TP-Link készülékein is. A vírus ráadásul képes túlélni azt is, ha újraindítják a routert, így a hétköznapi felhasználók számára gyakorlatilag kiirthatatlan. A VPNFilterrel a támadók képesek begyűjteni a bejelentkezési adatokat és figyelni a routeren átmenő forgalmat, de arra is alkalmas, hogy elfedjék vele a támadás kiindulási pontját. Sőt, egyetlen paranccsal le is állíthatják a routert, amivel így akár több százezer embert is képesek lennének elvágni az internettől.
Azt egyelőre a szakemberek sem tudják, maguk az eszközök miként fertőződtek meg. Ettől függetlenül a Cisco és a Symantec kutatói is azt javasolják, a felhasználók a hard reseteléssel indítsák újra az eszközt. Ez a reset gomb 5-10 másodperces megnyomásával érhető el, azonban ez után elvesznek az addig beállítások, így azt gyakorlatilag újra el kell végezni. Tökéletes megoldást azonban ez sem jelent. Emellett változtassák meg az alapértelmezett jelszavakat, győződjenek meg arról, hogy a legfrissebb firmware fut az eszközön, illetve tiltsák le a távoli hozzáférést.
A Symantec szerint az alábbi eszközökről lehet szó:
- Linksys E1200,
- Linksys E2500,
- Linksys WRVS4400N,
- Mikrotik RouterOS for Cloud Core Routers (1016-os, 1036-os és 1072-es verzió),
- Netgear DGN2200,
- Netgear R6400,
- Netgear R7000,
- Netgear R8000,
- Netgear WNR1000,
- Netgear WNR2000,
- QNAP TS251,
- QNAP TS439 Pro,
- Egyéb olyan QNAP NAS eszközök, amelyeken QTS szoftver fut,
- TP-Link R600VPN.
