Onderzoekers van Cisco waarschuwen voor nieuwe malware genaamd VPNFilter die meer dan 500.000 routers en NASsen in meer dan 54 landen heeft geïnfecteerd en systemen onbruikbaar kan maken. Het gaat om routers van Linksys, MikroTik, NETGEAR en TP-Link en NASsen van fabrikant Qnap.
De malware kan inloggegevens voor websites stelen en Modbus-SCADA-protocollen monitoren. Ook kan de malware een besmet apparaat onbruikbaar maken. Volgens de onderzoekers van Cisco heeft de code van VPNFilter overeenkomsten met de BlackEnergy-malware, die eerder tegen de Oekraïne werd ingezet. VPNFilter zou daarnaast Oekraïense systemen met een "alarmerende snelheid" infecteren. Hoewel het onderzoek naar de malware nog niet is afgerond heeft Cisco besloten om details al openbaar te maken.
VPNFilter wordt omschreven als een "multi-stage, modulair platform" dat zowel het verzamelen van inlichtingen als destructieve cyberaanvallen ondersteunt. In tegenstelling tot de meeste malware die Internet of Things-apparaten infecteert kan de eerste fase van VPNFilter een herstart van het systeem overleven. Dat geldt echter niet voor de tweede fase, die wordt gebruikt om informatie te verzamelen. Sommige versies van deze tweede fase beschikken echter ook over een "self destruct" die een deel van de firmware overschrijft en daarna het systeem herstart, waarna het apparaat onbruikbaar achterblijft.
"In de meeste gevallen kunnen de meeste slachtoffers deze actie niet ongedaan maken, en vereisen technische kennis, mogelijkheden en tools waarvan je niet kan verwachten dat eindgebruikers die hebben. We maken ons ernstig zorgen over deze mogelijkheid en het is de voornaamste reden dat we deze dreigingen de afgelopen maanden stilletjes hebben onderzocht", aldus William Largent van Cisco. De onderzoekers vermoeden dat er ook nog een derde fase van de malware bestaat, maar hebben die niet weten te bemachtigen.
Hoe de apparaten precies besmet raken is nog onbekend, maar ze bevatten allemaal bekende kwetsbaarheden die op afstand zijn aan te vallen. Er wordt dan ook niet aan het gebruik van zeroday-exploits gedacht. Volgens Largent is het lastig om tegen de malware te beschermen, aangezien het lastig voor eindgebruikers is om de kwetsbaarheden te patchen.
Afsluitend geeft Cisco gebruikers het advies om de fabrieksinstellingen van hun routers of NASsen te herstellen, aangezien dit de malware verwijdert. Providers wordt gevraagd om de routers van hun klanten te resetten. "Uit voorzorg adviseren we dat deze maatregelen voor alle SOHO-routers en NASsen worden genomen, ongeacht of ervan bekend is dat ze kwetsbaar voor deze dreiging zijn", besluit Largent.
Deze posting is gelocked. Reageren is niet meer mogelijk.