Na vlastní kůži se o tom přesvědčil počítačový programátor Jakub Bouček, který objevil zřejmě první napadený router v České republice. Ten Novinkám popsal, jak celý útok probíhal.

KOMENTÁŘ DNE:

Jak probíhá Zemanova prezidentská nekampaň - se svoláním první schůze Sněmovny čekal až do nejzazšího možného termínu, vláda tak nejspíš požádá o důvěru až těsně před prvním kolem prezidentských voleb, píše Jiří Pehe. Čtěte zde >>

„Před rokem jsem rodině pana Tomáše nainstaloval několik nových počítačů, zajistil připojení k internetu a základní zabezpečení. Minulý týden zavolal, že mu počítač blokuje přístup na Seznam.cz,“ uvedl Bouček s tím, že nejprve si myslel, že chyba bude na straně provozovatele webových stránek.

Po chvíli ale přestal fungovat i Google a programátor zjistil, že problém je jinde – internetové připojení blokoval nainstalovaný firewall, který správně rozpoznal, že se do počítače snaží dostat nezvaný návštěvník.

Podvodná výzva k aktualizaci flash playeru se zobrazuje i na legitimních webech, protože je napaden router, brána do světa internetu.

Prostřednictvím napadených routerů, tedy bran do světa internetu, se totiž útočníci snažili při všech zaznamenaných útocích propašovat do připojených počítačů škodlivý virus. Při snaze o zobrazení nějaké internetové stránky vyskočí hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne virus.

Výzvy k aktualizaci se přitom zobrazují i po zadání regulérních webů, jako jsou například Seznam.cz a Google.com, což může některé uživatele uvést v omyl. To se ale naštěstí v případě pana Tomáše nestalo, protože firewall zafungoval včas a správně.

ČTĚTE TAKÉ:
Nebezpečný počítačový virus se šíří Českem, varuje Národní bezpečnostní tým
Podvodníci zkoušejí nový trik. Obrana není snadná

Doposud se tradovalo, že router může být napaden, pokud nemá uživatel nastaveno silné přístupové heslo k jeho konfiguraci. Tedy zpravidla pokud lidé nechají tovární nastavení. První zaznamenaný případ v České republice však ukázal, že to není tak docela pravda.

„Heslo jsem na routeru nastavoval osobně při instalaci. Sice nebylo hustodémonsky krutopřísné, ale pořád dostatečně silné. Podobné pravidlo platí pro WPA2-TKIP heslo pro WiFi. Útok tedy, předpokládám, byl zaměřen na nějakou technologickou zranitelnost routeru z některého z počítačů v LAN síti,“ konstatoval Bouček.

Ani silná hesla nejsou zárukou bezpečí 

Ani silná přístupová hesla tedy nejsou zárukou toho, že uživatel bude v bezpečí. „Routery mají velkou moc, která se několik generací podceňovala, a bude chvíli trvat, než výrobci stihnou zareagovat a rozšířit stroje schopné aktivně se na zabezpečení podílet,“ podotkl programátor, který má počítačovou bezpečnost jako koníček.

Narážel přitom na automatické aktualizace routerů. Tuto funkci totiž většina síťových prvků na rozdíl od klasických počítačů nenabízí. Pokud se tedy objeví nějaká zranitelnost a uživatel záplatu nenainstaluje manuálně, zadní vrátka routeru jsou otevřena všem případným útočníkům.

Nakaženým přístrojem, kterého se útok týkal, byl TP-LINK TD-W8901G. V posledních dnech se počty případů zaznamenaných v Česku stále množí.

„Máme od dalších uživatelů potvrzen výskyt tohoto problému i na routerech další značky. Dále máme, zatím nepotvrzenou, informaci, že minimálně v jednom případě byl útok proveden ze zavirovaného PC v lokální síti. Znovu tedy vybízíme uživatele ke zvýšené opatrnosti,“ uvedl bezpečnostní analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.

Podle něj byly podobné útoky zaznamenány v minulých dnech například v Polsku. Desítky dalších uživatelů se staly oběťmi viru v Německu, Anglii nebo například v Americe, což dokládají i reakce postižených na zahraničních diskuzních fórech.

Virus je nutné smazat přímo na routeru

Bezpečnostní doporučení z minulého týdne i přes alarmující případ z Česka stále platí. Nezvaného návštěvníka je možné odstranit uvedením routeru do továrního nastavení. Jak na to, se lidé dozvědí z návodů dodávaných k zařízením. Zpravidla se však na síťovém prvku nachází malé tlačítko nazvané reset (většinou je tak malé, že jde stisknout pouze špendlíkem nebo hrotem tužky), stačí jej chvilku držet, dokud nezačnou kontrolky na routeru blikat.

Aby se kyberzločincům nepodařilo znovu nezvaného návštěvníka tímto způsobem do systému propašovat, je nutné u routeru nastavit silné přístupové heslo k jeho konfiguraci. U bezdrátových modelů to samé platí u hesla k WiFi síti, vhodné je také používat silnější bezpečnostní standard, například WPA 2.

Vhodné je také pravidelně sledovat, zda nejsou pro router dostupné nějaké aktualizace přímo od výrobce. Právě v případě zaznamenaném v Česku se totiž škodlivý kód mohl do routeru dostat kvůli chybě softwaru, přestože byl dostatečně zabezpečen.

Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.