QNAP en TP-Link waarschuwen voor VPNFilter-malware
Na Netgear en MikroTik hebben ook NAS-fabrikant QNAP en routerfabrikant TP-Link een waarschuwing voor de VPNFilter-malware gegeven. Alleen een waarschuwing van fabrikant Linksys ontbreekt nog. Eerder deze week meldde Cisco dat het op 500.000 routers en NASsen de VPNFilter-malware had ontdekt.
De malware, die het heeft voorzien op verschillende apparaten van Linksys, MikroTik, Netgear, QNAP en TP-Link, kan inloggegevens stelen en apparaten onbruikbaar maken. Hoe de malware deze apparaten infecteert is nog niet helemaal duidelijk, maar alles lijkt erop te duiden dat de aanvallers gebruik van bekende kwetsbaarheden en standaard wachtwoorden maken.
Zo stelde fabrikant Mikrotik dat de malware zeer waarschijnlijk is binnengekomen via een kwetsbaarheid die in maart 2017 werd gepatcht. Netgear adviseerde gebruikers om de laatste firmware te installeren, het standaard admin-wachtwoord te wijzigen en remote management uit te schakelen. Ook QNAP laat in een security advisory weten dat NASsen met verouderde software of die het standaard admin-wachtwoord gebruiken kwetsbaar zijn. Naast het installeren van de laatste updates kunnen bezorgde gebruikers hun NAS met de Malware Remover scannen, die VPNFilter kan verwijderen. Verder adviseert QNAP het standaard admin-wachtwoord te wijzigen.
TP-Link zegt dat het een onderzoek naar de malware heeft ingesteld, maar adviseert net als QNAP om de laatste firmware-updates te installeren en het standaard admin-wachtwoord te wijzigen, alsmede remote management uit te schakelen.
Attributie
De aanvallers achter de malware konden op drie manieren met de besmette apparaten communiceren. Als eerste wordt er verbinding gemaakt met verschillende links op fotosite Photobucket. Wanneer dit niet lukt maakt de malware verbinding met een domeinnaam. Als ook deze domeinnaam niet beschikbaar is wordt er een passieve backdoor actief die wacht op commando's van de aanvallers.
De links op Photobucket zijn inmiddels verwijderd en de FBI heeft de domeinnaam die VPNFilter gebruikte in beslag genomen. Daarbij stelde het Amerikaanse ministerie van Justitie dat de malware het werk is van de "Sofacy Group", ook bekend als APT28 en Fancy Bear. Dit lijkt mede gebaseerd te zijn op de manier waarop er een bepaald algoritme wordt geïmplementeerd. Dezelfde implementatie was eerder bij de BlackEnergy-malware waargenomen, die ook aan de Sofacy Group wordt toegeschreven.
Op de vraag of VPNFilter dan ook gerelateerd is aan BlackEnergy laat anti-virusbedrijf Kaspersky Lab weten dat dit alleen op basis van dezelfde implementatie niet met grote zekerheid kan worden gezegd. De virusbestrijder spreekt over een "low confidence link". Aan de andere kant is de BlackEnergy-malware in het verleden ook gebruikt om routers mee aan te vallen. De onderzoekers zoeken dan ook naar andere overeenkomsten om een eventuele link aan te tonen.
Vergeet ook niet de al eventjes woedende cyberoorlog met staat-hackers,
waarvan moeilijk uit te maken is welke agenda ze volgen.
Het is heel moeilijk uit te maken of het een Rus is die een Oekraïner de schuld wil geven
of andersom of in het derde geval dat het Deepstate hackers, die het doen,
omdat het zo mooi past binnen de recente false flag cyberoorlog,
gericht tegen de Russische Federatie.
De cyberactie kaart raakt steeds meer versnipperd en duister- met "cloak and dagger" acties.
Het is dus altijd een vraag om te stellen "Quo bono?" of te wel wie heeft er het meeste baat bij,
en/of in dit geval wie heeft er het meest bij te verliezen (petrodollar, inflatie, Drang naar het Oosten)?.
Jodocus Oyevaer
https://en.avm.de/service/current-security-notifications/
Nooit maar dan ook nooit meer iets van tp-link.
Nooit maar dan ook nooit meer iets van tp-link.
Hier een tp-link N900 (ondertussen een oudje) staan met open-wrt. Draait allemaal zeer stabiel.
'End of live'... Je bedoeld dat hij kapot is gegaan? Je hebt 2 jaar garantie hoor.
Nooit maar dan ook nooit meer iets van tp-link.
TP-link icm. Openwrt. Sedert jaren een betrouwbare combinatie.
'End of live'... Je bedoeld dat hij kapot is gegaan? Je hebt 2 jaar garantie hoor.
Solokum en anoniem 15:00 bij deze bedankt voor de reactie ik ga deze er op zetten.
Nooit maar dan ook nooit meer iets van tp-link.
ook voor 'end of life' apparaten, daar ben ik blij mee.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.