image

FBI adviseert om routers te rebooten wegens VPNFilter-malware

zaterdag 26 mei 2018, 06:12 door Redactie, 13 reacties

De FBI heeft vanwege de VPNFilter-malware eigenaren van routers voor thuis- en kantoorgebruik geadviseerd om de apparaten te rebooten. Deze week werd bekend dat VPNFilter wereldwijd 500.000 routers en NASsen heeft geïnfecteerd. De malware kan verschillende acties uitvoeren, waaronder het verzamelen van gegevens, blokkeren van netwerkverkeer en zelfs het onbruikbaar maken van het apparaat behoort tot de mogelijkheden.

Hoe VPNFilter apparaten weet te infecteren is ook voor de FBI nog een raadsel. Mogelijk dat er gebruik is gemaakt van bekende kwetsbaarheden en standaard wachtwoorden. De aanvallers achter de malware konden op drie manieren met de besmette apparaten communiceren. Als eerste wordt er verbinding gemaakt met verschillende links op fotosite Photobucket. Wanneer dit niet lukt maakt de malware verbinding met een domeinnaam. Als ook deze domeinnaam niet beschikbaar is wordt er een passieve backdoor actief die wacht op commando's van de aanvallers.

De links op Photobucket zijn inmiddels verwijderd en de FBI heeft de domeinnaam die VPNFilter gebruikte in beslag genomen. Doordat de FBI nu controle over het domein van de malware heeft kan het zien welke ip-adressen zijn besmet. Deze informatie wordt vervolgens door de Shadowserver Foundation gebruikt om te helpen bij het opschonen van besmette apparaten. De Shadowserver Foundation is een organisatie die zich met de bestrijding van botnets bezighoudt.

Om de malware van apparaten te verwijderen kunnen die worden gereboot. Iets wat eerder al door Cisco werd aangeraden en nu door de Amerikaanse opsporingsdienst in een aparte waarschuwing wordt herhaald. "De FBI adviseert elke eigenaar van een router voor thuis- en kantoorgebruik om die te rebooten om zo tijdelijk de malware te verstoren en te helpen bij het identificeren van besmette apparaten." Ook raadt de FBI aan om remote management uit te schakelen, een sterk wachtwoord in te stellen en de laatste firmware-versie te installeren. Naast het rebooten van de router gaf Cisco het advies om een fabrieksreset uit te voeren, aangezien alleen dan de malware volledig wordt verwijderd.

Reacties (13)
26-05-2018, 16:25 door Anoniem
Gedaan
26-05-2018, 21:19 door Anoniem
Zou de FBI rebooten ook werken? Het lijkt wel of die organisatie ook heel veel last heeft van 'malware', maar dan in hun personeel...
26-05-2018, 21:23 door Anoniem
Door Anoniem: Gedaan

Fijn om te weten dat een Anoniem een router van een bepaald merk gereboot heeft.
26-05-2018, 22:41 door Anoniem
Door Anoniem:
Door Anoniem: Gedaan

Fijn om te weten dat een Anoniem een router van een bepaald merk gereboot heeft.
Klopt, anders zou ik vannacht geen oog dicht gedaan hebben en maar blijven piekeren of anoniem zijn router wel gereset heeft.
27-05-2018, 20:04 door Anoniem
Als je denkt dat mallware verwijderen zo simpel is als een reboot of een nieuw configuratiebestandje dan heb je in ieder geval niet veel last van piekeren.

En nu serieus. Stel je weet wel waar je mee bezig bent en je installeert de bootloader overnieuw; dit gebeurd via de firmware en als die besmet is kan hij ook alleen een "succes" aan de gebruiker 'faken' en de besmette bootloader gewoon laten staan waardoor je firmware ook telkens opnieuw besmet wordt. En bij het meeste kleine spul kan je de firmware ook alleen uploaden via de... firmware die al geïnstalleerd is. Zelfde verhaal dus: gebruiker denkt onterecht dat het apparaat weer schoon is.

Wat blijft dan over... Alle apparaten weggooien.

Hoe zou de infectie plaats kunnen vinden... Misschien wel dmv het tr-069 protocol dat op elke router draait..?
27-05-2018, 20:05 door Anoniem
Als het iemand helpt beter te slapen prima, ga je gang...
Ik ben toch wel nieuwsgierig naar het achterliggende mechanischme. Er wordt nergens uitgelegd waarom een reboot nutig zou zijn. Iemand een idee?
27-05-2018, 22:46 door Anoniem
misschien is het rebooten wel nodig om de malware van FBI te verwijderen...
27-05-2018, 22:49 door Anoniem
Door Anoniem: Als het iemand helpt beter te slapen prima, ga je gang...
Ik ben toch wel nieuwsgierig naar het achterliggende mechanischme. Er wordt nergens uitgelegd waarom een reboot nutig zou zijn. Iemand een idee?

Lees het oorspronkelijke artikel over het onderzoek eens: https://blog.talosintelligence.com/2018/05/VPNFilter.html
28-05-2018, 09:00 door Anoniem
Door Anoniem: Als het iemand helpt beter te slapen prima, ga je gang...
Ik ben toch wel nieuwsgierig naar het achterliggende mechanischme. Er wordt nergens uitgelegd waarom een reboot nutig zou zijn. Iemand een idee?

Ik krijg het idee dat dit alleen geadviseerd wordt om meer besmette apparaten te identificeren. Wellicht dat de malware opnieuw zijn 3 mechanismen afloopt na het rebooten, en dus contact maakt met het domein die de FBI nu heeft. Daardoor weet de FBI dat een apparaat besmet is.

Buiten rebooten noemt FBI andere maatregelen om daadwerkelijk toegang weer dicht te zetten (er staat niks over hoe je je router weer schoon krijgt). Letterlijk is het advies:
Defense

The FBI recommends any owner of small office and home office routers reboot the devices to temporarily disrupt the malware and aid the potential identification of infected devices. Owners are advised to consider disabling remote management settings on devices and secure with strong passwords and encryption when enabled. Network devices should be upgraded to the latest available versions of firmware.
28-05-2018, 10:06 door spatieman
en dan, ? wie zegt mij dat die shit zich niet in de flash genesteld heeft.
29-05-2018, 09:11 door Anoniem
Door Anoniem: misschien is het rebooten wel nodig om de malware van FBI te verwijderen...
Ik denk eerder dat je bedoeld om malware van de FBI te installeren
29-05-2018, 19:59 door Anoniem
Ik heb de Acher C3150 na contact op genomen te hebben met TP-Link blijkt deze hier niet vatbaar voor te zijn, waarom
moet ik mijn router dan resetten.
31-05-2018, 14:31 door Anoniem
Reactie van de KPN:
Onze afdeling veiligheid houdt alle berichten nauwlettend in de gaten. Op dit moment is er geen reden om aan te nemen dat de veiligheid of privacy onze klanten in gevaar zijn. Wanneer er actie vereist is, dan zullen we hier naar handelen. Vooralsnog is er dus geen advies gegeven dat onze klanten hun apparatuur hoeven te resetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.