Nebezpečný počítačový virus se šíří Českem, varuje Národní bezpečnostní tým

„Je to poprvé, kdy byl podobný incident v ČR reportován. Od počátku tohoto roku se ale informace o těchto útocích v zahraničí pravidelně objevují,“ uvedl analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.

Podle něj byly podobné útoky zaznamenány v minulých dnech například v Polsku. Desítky dalších uživatelů se staly oběťmi viru v Německu, Anglii nebo například v Americe, což dokládají i reakce postižených na zahraničních diskuzních fórech.

„Jedná se o velmi nebezpečný útok, neboť postihuje všechna zařízení, která jsou pomocí napadeného routeru připojena. V případě, který byl zaznamenán v ČR, se jednalo konkrétně o zařízení TP-LINK TD-W8901G. Ve světě však byla tímto druhem útoku postižena celá řada routerů různých značek,“ varoval Bašta.

Prakticky všechny zaznamenané útoky mají vždy stejný scénář. Sítí se šíří virus, který napadá přímo routery. Ve chvíli, kdy se nezvaný návštěvník zabydlí v routeru, zablokuje na všech připojených počítačích internetové připojení a automaticky vyzývá uživatele k instalaci aktualizace flash playeru. Snaží se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti pluginů.

Výzvy k aktualizaci se přitom zobrazují i po zadání regulérních webů, jako jsou například Seznam.cz a Google.com, což může některé uživatele uvést v omyl. Zobrazování hlášek i na regulérních webech je možné právě kvůli tomu, že kyberzločinci ovládají přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahují.

Místo aktualizace flash playeru uživatelé stáhnou do počítače a případně do všech dalších připojených sestav pouze dalšího nezvaného návštěvníka. Podle ohlasů na diskuzních fórech se jedná o trojského koně, kterého naštěstí většina antivirových programů rozpozná.

Uživatelé přesto nemají vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru. A k němu nemá drtivá většina bezpečnostních aplikací vůbec žádný přístup. [celá zpráva]

Podle prvních ohlasů z minulého týdne se virus měl zaměřovat pouze na routery se slabým zabezpečením, do jiných se dostat neměl. Útok zaznamenaný v Česku je ale alarmující, protože na rozdíl od předchozích případů na něm postižený uživatel nepoužíval tovární nastavení – tedy změnil přístupová hesla ke konfiguraci a bezdrátové síti, což mělo přístupu kyberzločinců zamezit.

„Na routeru uživatele bylo nastavené netriviální heslo a není tak zatím zřejmé, jakým způsobem byl útok proveden. CSIRT.CZ má však přislíbeno zapůjčení tohoto konkrétního napadeného kusu routeru k analýze. Pokud se nám tedy podaří zjistit, jakým způsobem byl útok proveden, budeme o tom informovat uživatele a výrobce routeru,“ konstatoval Bašta s tím, že uživatelé by neměli hrozbu v žádném případě podceňovat.

Bezpečnostní doporučení z minulého týdne i přes alarmující případ z Česka stále platí. Nezvaného návštěvníka je možné odstranit uvedením routeru do továrního nastavení. Jak na to, se lidé dozvědí z návodů dodávaných k zařízení. Zpravidla se však na síťovém prvku nachází malé tlačítko nazvané reset (většinou je tak malé, že jde stisknout pouze špendlíkem nebo hrotem tužky), stačí jej chvilku držet, dokud nezačnou kontrolky na routeru blikat.

Aby se kyberzločincům nepodařilo znovu nezvaného návštěvníka tímto způsobem do systému propašovat, je nutné u routeru nastavit silné přístupové heslo k jeho konfiguraci. U bezdrátových modelů to samé platí u hesla k wi-fi síti, vhodné je také používat silnější bezpečnostní standard, například WPA 2.

Vhodné je také pravidelně sledovat, zda nejsou pro router dostupné nějaké aktualizace přímo od výrobce. Právě v případě zaznamenaném v Česku se totiž škodlivý kód mohl do routeru dostat kvůli chybě softwaru, přestože byl dostatečně zabezpečen. „Mohlo by se jednat například o již dříve popsanou CSRF zranitelnost TP-LINK routerů, to však v tuto chvíli nemůžeme stoprocentně říci,“ uzavřel Bašta.

Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.