image

QNAP en TP-Link waarschuwen voor VPNFilter-malware

vrijdag 25 mei 2018, 12:45 door Redactie, 9 reacties

Na Netgear en MikroTik hebben ook NAS-fabrikant QNAP en routerfabrikant TP-Link een waarschuwing voor de VPNFilter-malware gegeven. Alleen een waarschuwing van fabrikant Linksys ontbreekt nog. Eerder deze week meldde Cisco dat het op 500.000 routers en NASsen de VPNFilter-malware had ontdekt.

De malware, die het heeft voorzien op verschillende apparaten van Linksys, MikroTik, Netgear, QNAP en TP-Link, kan inloggegevens stelen en apparaten onbruikbaar maken. Hoe de malware deze apparaten infecteert is nog niet helemaal duidelijk, maar alles lijkt erop te duiden dat de aanvallers gebruik van bekende kwetsbaarheden en standaard wachtwoorden maken.

Zo stelde fabrikant Mikrotik dat de malware zeer waarschijnlijk is binnengekomen via een kwetsbaarheid die in maart 2017 werd gepatcht. Netgear adviseerde gebruikers om de laatste firmware te installeren, het standaard admin-wachtwoord te wijzigen en remote management uit te schakelen. Ook QNAP laat in een security advisory weten dat NASsen met verouderde software of die het standaard admin-wachtwoord gebruiken kwetsbaar zijn. Naast het installeren van de laatste updates kunnen bezorgde gebruikers hun NAS met de Malware Remover scannen, die VPNFilter kan verwijderen. Verder adviseert QNAP het standaard admin-wachtwoord te wijzigen.

TP-Link zegt dat het een onderzoek naar de malware heeft ingesteld, maar adviseert net als QNAP om de laatste firmware-updates te installeren en het standaard admin-wachtwoord te wijzigen, alsmede remote management uit te schakelen.

Attributie

De aanvallers achter de malware konden op drie manieren met de besmette apparaten communiceren. Als eerste wordt er verbinding gemaakt met verschillende links op fotosite Photobucket. Wanneer dit niet lukt maakt de malware verbinding met een domeinnaam. Als ook deze domeinnaam niet beschikbaar is wordt er een passieve backdoor actief die wacht op commando's van de aanvallers.

De links op Photobucket zijn inmiddels verwijderd en de FBI heeft de domeinnaam die VPNFilter gebruikte in beslag genomen. Daarbij stelde het Amerikaanse ministerie van Justitie dat de malware het werk is van de "Sofacy Group", ook bekend als APT28 en Fancy Bear. Dit lijkt mede gebaseerd te zijn op de manier waarop er een bepaald algoritme wordt geïmplementeerd. Dezelfde implementatie was eerder bij de BlackEnergy-malware waargenomen, die ook aan de Sofacy Group wordt toegeschreven.

Op de vraag of VPNFilter dan ook gerelateerd is aan BlackEnergy laat anti-virusbedrijf Kaspersky Lab weten dat dit alleen op basis van dezelfde implementatie niet met grote zekerheid kan worden gezegd. De virusbestrijder spreekt over een "low confidence link". Aan de andere kant is de BlackEnergy-malware in het verleden ook gebruikt om routers mee aan te vallen. De onderzoekers zoeken dan ook naar andere overeenkomsten om een eventuele link aan te tonen.

Reacties (9)
25-05-2018, 12:54 door Anoniem
Geen automatische updates en gebruikers die het apparaat niet updaten. De stndaard mix die het internet niet veiliger maakt.
25-05-2018, 13:24 door Anoniem
De standaard mix, die internet niet veiliger maakt. Volledig mee eens.

Vergeet ook niet de al eventjes woedende cyberoorlog met staat-hackers,
waarvan moeilijk uit te maken is welke agenda ze volgen.

Het is heel moeilijk uit te maken of het een Rus is die een Oekraïner de schuld wil geven
of andersom of in het derde geval dat het Deepstate hackers, die het doen,
omdat het zo mooi past binnen de recente false flag cyberoorlog,
gericht tegen de Russische Federatie.

De cyberactie kaart raakt steeds meer versnipperd en duister- met "cloak and dagger" acties.

Het is dus altijd een vraag om te stellen "Quo bono?" of te wel wie heeft er het meeste baat bij,
en/of in dit geval wie heeft er het meest bij te verliezen (petrodollar, inflatie, Drang naar het Oosten)?.

Jodocus Oyevaer
25-05-2018, 19:42 door [Account Verwijderd]
De fabrikant AVM, van de Fritz!box modems, heeft vandaag op hun website laten weten dat hun producten niet kwetsbaar zijn. Een zorg minder voor de klanten dus.
https://en.avm.de/service/current-security-notifications/
25-05-2018, 23:00 door Anoniem
Vorig jaar een router van tp-link gekocht prijs rond de 200 €, nu end of live dus geen updates meer.
Nooit maar dan ook nooit meer iets van tp-link.
26-05-2018, 01:53 door Sokolum
Door Anoniem: Vorig jaar een router van tp-link gekocht prijs rond de 200 €, nu end of live dus geen updates meer.
Nooit maar dan ook nooit meer iets van tp-link.

Hier een tp-link N900 (ondertussen een oudje) staan met open-wrt. Draait allemaal zeer stabiel.
26-05-2018, 09:12 door Anoniem
Door Anoniem: Vorig jaar een router van tp-link gekocht prijs rond de 200 €, nu end of live dus geen updates meer.

'End of live'... Je bedoeld dat hij kapot is gegaan? Je hebt 2 jaar garantie hoor.
26-05-2018, 15:00 door Anoniem
Door Anoniem: Vorig jaar een router van tp-link gekocht prijs rond de 200 €, nu end of live dus geen updates meer.
Nooit maar dan ook nooit meer iets van tp-link.

TP-link icm. Openwrt. Sedert jaren een betrouwbare combinatie.
26-05-2018, 22:09 door Anoniem
Door Anoniem:
Door Anoniem: Vorig jaar een router van tp-link gekocht prijs rond de 200 €, nu end of live dus geen updates meer.

'End of live'... Je bedoeld dat hij kapot is gegaan? Je hebt 2 jaar garantie hoor.
Nee hoor werkt perfect, op de site van TP-link stond end of life dat wil zeggen dat er geen updates meer komen.
Solokum en anoniem 15:00 bij deze bedankt voor de reactie ik ga deze er op zetten.
28-05-2018, 14:34 door Anoniem
Door Anoniem: Vorig jaar een router van tp-link gekocht prijs rond de 200 €, nu end of live dus geen updates meer.
Nooit maar dan ook nooit meer iets van tp-link.
Correctie ik heb contact opgenomen met TP-Link en hier staat in dat als het nodig is er updates komen
ook voor 'end of life' apparaten, daar ben ik blij mee.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.