Na Netgear en MikroTik hebben ook NAS-fabrikant QNAP en routerfabrikant TP-Link een waarschuwing voor de VPNFilter-malware gegeven. Alleen een waarschuwing van fabrikant Linksys ontbreekt nog. Eerder deze week meldde Cisco dat het op 500.000 routers en NASsen de VPNFilter-malware had ontdekt.
De malware, die het heeft voorzien op verschillende apparaten van Linksys, MikroTik, Netgear, QNAP en TP-Link, kan inloggegevens stelen en apparaten onbruikbaar maken. Hoe de malware deze apparaten infecteert is nog niet helemaal duidelijk, maar alles lijkt erop te duiden dat de aanvallers gebruik van bekende kwetsbaarheden en standaard wachtwoorden maken.
Zo stelde fabrikant Mikrotik dat de malware zeer waarschijnlijk is binnengekomen via een kwetsbaarheid die in maart 2017 werd gepatcht. Netgear adviseerde gebruikers om de laatste firmware te installeren, het standaard admin-wachtwoord te wijzigen en remote management uit te schakelen. Ook QNAP laat in een security advisory weten dat NASsen met verouderde software of die het standaard admin-wachtwoord gebruiken kwetsbaar zijn. Naast het installeren van de laatste updates kunnen bezorgde gebruikers hun NAS met de Malware Remover scannen, die VPNFilter kan verwijderen. Verder adviseert QNAP het standaard admin-wachtwoord te wijzigen.
TP-Link zegt dat het een onderzoek naar de malware heeft ingesteld, maar adviseert net als QNAP om de laatste firmware-updates te installeren en het standaard admin-wachtwoord te wijzigen, alsmede remote management uit te schakelen.
De aanvallers achter de malware konden op drie manieren met de besmette apparaten communiceren. Als eerste wordt er verbinding gemaakt met verschillende links op fotosite Photobucket. Wanneer dit niet lukt maakt de malware verbinding met een domeinnaam. Als ook deze domeinnaam niet beschikbaar is wordt er een passieve backdoor actief die wacht op commando's van de aanvallers.
De links op Photobucket zijn inmiddels verwijderd en de FBI heeft de domeinnaam die VPNFilter gebruikte in beslag genomen. Daarbij stelde het Amerikaanse ministerie van Justitie dat de malware het werk is van de "Sofacy Group", ook bekend als APT28 en Fancy Bear. Dit lijkt mede gebaseerd te zijn op de manier waarop er een bepaald algoritme wordt geïmplementeerd. Dezelfde implementatie was eerder bij de BlackEnergy-malware waargenomen, die ook aan de Sofacy Group wordt toegeschreven.
Op de vraag of VPNFilter dan ook gerelateerd is aan BlackEnergy laat anti-virusbedrijf Kaspersky Lab weten dat dit alleen op basis van dezelfde implementatie niet met grote zekerheid kan worden gezegd. De virusbestrijder spreekt over een "low confidence link". Aan de andere kant is de BlackEnergy-malware in het verleden ook gebruikt om routers mee aan te vallen. De onderzoekers zoeken dan ook naar andere overeenkomsten om een eventuele link aan te tonen.
Deze posting is gelocked. Reageren is niet meer mogelijk.