image

VPNFilter-malware besmet 500.000 routers en NASsen

woensdag 23 mei 2018, 15:44 door Redactie, 17 reacties

Onderzoekers van Cisco waarschuwen voor nieuwe malware genaamd VPNFilter die meer dan 500.000 routers en NASsen in meer dan 54 landen heeft geïnfecteerd en systemen onbruikbaar kan maken. Het gaat om routers van Linksys, MikroTik, NETGEAR en TP-Link en NASsen van fabrikant Qnap.

De malware kan inloggegevens voor websites stelen en Modbus-SCADA-protocollen monitoren. Ook kan de malware een besmet apparaat onbruikbaar maken. Volgens de onderzoekers van Cisco heeft de code van VPNFilter overeenkomsten met de BlackEnergy-malware, die eerder tegen de Oekraïne werd ingezet. VPNFilter zou daarnaast Oekraïense systemen met een "alarmerende snelheid" infecteren. Hoewel het onderzoek naar de malware nog niet is afgerond heeft Cisco besloten om details al openbaar te maken.

VPNFilter wordt omschreven als een "multi-stage, modulair platform" dat zowel het verzamelen van inlichtingen als destructieve cyberaanvallen ondersteunt. In tegenstelling tot de meeste malware die Internet of Things-apparaten infecteert kan de eerste fase van VPNFilter een herstart van het systeem overleven. Dat geldt echter niet voor de tweede fase, die wordt gebruikt om informatie te verzamelen. Sommige versies van deze tweede fase beschikken echter ook over een "self destruct" die een deel van de firmware overschrijft en daarna het systeem herstart, waarna het apparaat onbruikbaar achterblijft.

"In de meeste gevallen kunnen de meeste slachtoffers deze actie niet ongedaan maken, en vereisen technische kennis, mogelijkheden en tools waarvan je niet kan verwachten dat eindgebruikers die hebben. We maken ons ernstig zorgen over deze mogelijkheid en het is de voornaamste reden dat we deze dreigingen de afgelopen maanden stilletjes hebben onderzocht", aldus William Largent van Cisco. De onderzoekers vermoeden dat er ook nog een derde fase van de malware bestaat, maar hebben die niet weten te bemachtigen.

Hoe de apparaten precies besmet raken is nog onbekend, maar ze bevatten allemaal bekende kwetsbaarheden die op afstand zijn aan te vallen. Er wordt dan ook niet aan het gebruik van zeroday-exploits gedacht. Volgens Largent is het lastig om tegen de malware te beschermen, aangezien het lastig voor eindgebruikers is om de kwetsbaarheden te patchen.

Afsluitend geeft Cisco gebruikers het advies om de fabrieksinstellingen van hun routers of NASsen te herstellen, aangezien dit de malware verwijdert. Providers wordt gevraagd om de routers van hun klanten te resetten. "Uit voorzorg adviseren we dat deze maatregelen voor alle SOHO-routers en NASsen worden genomen, ongeacht of ervan bekend is dat ze kwetsbaar voor deze dreiging zijn", besluit Largent.

Reacties (17)
23-05-2018, 17:18 door Anoniem
Zijn we klaar mee. Ik bezit meerdere apparaten van twee fabrikanten uit de lijst.
23-05-2018, 19:20 door Anoniem
NAS gebruikte ik sowieso niet, dus die heb ik al jaren terug volledig uitgeschakeld.
Het zou mij gezien het plaatje, niet verbazen als APT28 hier achter zou zitten. Maar dat is afwachten.
23-05-2018, 19:35 door Anoniem
En stel dat ik mijn TP-link reset naar fabrieksinstellingen (en WIFI etc weer opnieuw instel), dan ben ik toch direct weer kwetsbaar? Ik fix feitelijk niks.
23-05-2018, 20:07 door Anoniem
Door Anoniem: Zijn we klaar mee. Ik bezit meerdere apparaten van twee fabrikanten uit de lijst.
Software updaten, een goed wachtwoord instellen (zeker niet het default wachtwoord behouden) en onnodige services
die je toch niet gebruikt maar die aan staan omdat het zo geinig is toch maar uitzetten. En zorgen dat je spullen niet
vanaf internet gemanaged kunnen worden.
23-05-2018, 20:07 door Vicktor
Door Anoniem: Zijn we klaar mee. Ik bezit meerdere apparaten van twee fabrikanten uit de lijst.

Linksys en TP-Link?
23-05-2018, 20:20 door Anoniem
Door Vicktor:
Door Anoniem: Zijn we klaar mee. Ik bezit meerdere apparaten van twee fabrikanten uit de lijst.

Linksys en TP-Link?
Nee, TP-Link en Qnap.
23-05-2018, 20:30 door Vicktor
Door Anoniem:
Door Vicktor:
Door Anoniem: Zijn we klaar mee. Ik bezit meerdere apparaten van twee fabrikanten uit de lijst.

Linksys en TP-Link?
Nee, TP-Link en Qnap.

50% ...
23-05-2018, 22:51 door Anoniem
Draytek is ook impacted maar heeft inmiddels al patches op de website staan. ( zoals het hoort)
23-05-2018, 22:55 door Anoniem
Van tenminste enkele van die 1st/2nd stage files zijn al op 20-11-2010 hashes bekend op virustotal.com.
23-05-2018, 23:35 door Anoniem
Wat mij niet helemaal duidelijk is: hoe kan je zien of je router "besmet" is? Hoe check je dat?
24-05-2018, 00:07 door Anoniem
wanneer het persbericht van de zogenaamde security onderzoekers begint met "state sponsored or" dan weet ik al meteen in welle categorie dit "nieuws". valt. /dev/propaganda

nothing to see here, just fud or nsa malware on the loose.
we horen wel veel over rusland zus. rusland dit. masr tot nu toe is het enige wat we weten met zekerheid dat met vrienden als de NSA en CIA je geen russische vijanden nodig hebt.
24-05-2018, 10:43 door Anoniem
Door Anoniem: wanneer het persbericht van de zogenaamde security onderzoekers begint met "state sponsored or" dan weet ik al meteen in welle categorie dit "nieuws". valt. /dev/propaganda

nothing to see here, just fud or nsa malware on the loose.
we horen wel veel over rusland zus. rusland dit. masr tot nu toe is het enige wat we weten met zekerheid dat met vrienden als de NSA en CIA je geen russische vijanden nodig hebt.
Niet zo voorbarig oordelen is het devies.
24-05-2018, 10:45 door Anoniem
Door Anoniem: Draytek is ook impacted maar heeft inmiddels al patches op de website staan. ( zoals het hoort)
Graag een link.
24-05-2018, 13:00 door Anoniem
Door Anoniem: Draytek is ook impacted maar heeft inmiddels al patches op de website staan. ( zoals het hoort)

Ik vind het vreemd dat ze die nu (pas?) hebben. De meeste systemen blijken gekraakt te zijn via jaren oude lekken. Waar de meeste leveranciers al tijden updates voor beschikbaar hebben.

Peter
24-05-2018, 14:45 door Anoniem
Door Anoniem: Wat mij niet helemaal duidelijk is: hoe kan je zien of je router "besmet" is? Hoe check je dat?
Belangrijke vraag, ik wil dit ook graag weten maar hier heeft blijkbaar niemand een antwoord op.
24-05-2018, 14:56 door Anoniem
Door Anoniem:
Door Anoniem: Draytek is ook impacted maar heeft inmiddels al patches op de website staan. ( zoals het hoort)
Graag een link.

Gewoon bij de fabrikant...
http://www.draytek.nl/nieuws/artikel?id=draytek-security-update
26-05-2018, 09:10 door Anoniem
Door Anoniem: wanneer het persbericht van de zogenaamde security onderzoekers begint met "state sponsored or" dan weet ik al meteen in welle categorie dit "nieuws". valt. /dev/propaganda

nothing to see here, just fud or nsa malware on the loose.
we horen wel veel over rusland zus. rusland dit. masr tot nu toe is het enige wat we weten met zekerheid dat met vrienden als de NSA en CIA je geen russische vijanden nodig hebt.
Rusland wordt helemaal niet genoemd, maar de overeenkomst met op Oekraïne gerichte malware bevat wel die suggestie.

De denkfout die je maakt is dat je reageert alsof het ene het andere uitsluit. Als NSA en CIA niet te vertrouwen zijn betekent dat niet dat de Russen wél te vertrouwen zijn. Het is heel goed mogelijk dat ze malware inzetten en dat de maker van deze malware inderdaad "state-sponsored or state-affiliated" is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.