De FBI heeft vanwege de VPNFilter-malware eigenaren van routers voor thuis- en kantoorgebruik geadviseerd om de apparaten te rebooten. Deze week werd bekend dat VPNFilter wereldwijd 500.000 routers en NASsen heeft geïnfecteerd. De malware kan verschillende acties uitvoeren, waaronder het verzamelen van gegevens, blokkeren van netwerkverkeer en zelfs het onbruikbaar maken van het apparaat behoort tot de mogelijkheden.
Hoe VPNFilter apparaten weet te infecteren is ook voor de FBI nog een raadsel. Mogelijk dat er gebruik is gemaakt van bekende kwetsbaarheden en standaard wachtwoorden. De aanvallers achter de malware konden op drie manieren met de besmette apparaten communiceren. Als eerste wordt er verbinding gemaakt met verschillende links op fotosite Photobucket. Wanneer dit niet lukt maakt de malware verbinding met een domeinnaam. Als ook deze domeinnaam niet beschikbaar is wordt er een passieve backdoor actief die wacht op commando's van de aanvallers.
De links op Photobucket zijn inmiddels verwijderd en de FBI heeft de domeinnaam die VPNFilter gebruikte in beslag genomen. Doordat de FBI nu controle over het domein van de malware heeft kan het zien welke ip-adressen zijn besmet. Deze informatie wordt vervolgens door de Shadowserver Foundation gebruikt om te helpen bij het opschonen van besmette apparaten. De Shadowserver Foundation is een organisatie die zich met de bestrijding van botnets bezighoudt.
Om de malware van apparaten te verwijderen kunnen die worden gereboot. Iets wat eerder al door Cisco werd aangeraden en nu door de Amerikaanse opsporingsdienst in een aparte waarschuwing wordt herhaald. "De FBI adviseert elke eigenaar van een router voor thuis- en kantoorgebruik om die te rebooten om zo tijdelijk de malware te verstoren en te helpen bij het identificeren van besmette apparaten." Ook raadt de FBI aan om remote management uit te schakelen, een sterk wachtwoord in te stellen en de laatste firmware-versie te installeren. Naast het rebooten van de router gaf Cisco het advies om een fabrieksreset uit te voeren, aangezien alleen dan de malware volledig wordt verwijderd.
Deze posting is gelocked. Reageren is niet meer mogelijk.