'Aanvallers verspreiden besmette software-updates via gehackte routers'
Een groep aanvallers verspreidt besmette software-updates via gehackte routers. Dat meldt antivirusbedrijf ESET in een analyse. Het gaat om een advanced persistent threat (APT) genaamd PlushDaemon. Zowel organisaties als individuen zijn door de groep aangevallen, zo laten de onderzoekers weten. Die zagen slachtoffers in de Verenigde Staten, Taiwan, China, Hong Kong, Nieuw-Zeeland en Cambodja.
De eerste stap in de aanval betreft het compromitteren van een netwerkapparaat dat het doelwit gebruikt, zoals een router. Hoe de aanvallers dit precies doen is onbekend, maar ESET vermoedt het gebruik van kwetsbaarheden of zwakke of bekende wachtwoorden. Zodra het netwerkapparaat is gecompromitteerd installeren de aanvallers hierop malware, die alle dns requests van het doelwit doorstuurt naar een dns-server van de aanvallers.
De dns-server controleert of de dns-requests te maken hebben met software-updates. Veel applicaties controleren geregeld of er nieuwe updates beschikbaar zijn. In het geval de software updates via http binnenhaalt kunnen de aanvallers dit onderscheppen en een malafide update aanbieden, die vervolgens op het systeem van het doelwit wordt uitgevoerd. In de analyse stelt ESET dat onder andere gebruikers van de Chinese keyboard-app Sogou op deze manier zijn aangevallen. De groep aanvallers houdt zich volgens het antivirusbedrijf bezig met spionage.
Routers gebruiken geen DNSSEC, dit wordt vooral bij websites gebruikt!
Routers gebruiken geen DNSSEC, dit wordt vooral bij websites gebruikt!
Misschien is dit zo bij de doorsnee huis tuin en keuken router maar in OpenWrt kan dit zeker wel!
[Implementing DNSSEC on OpenWRT](https://volatilesystems.org/implementing-dnssec-on-openwrt.html)
Typisch technerd . Leest een keyword, geeft een specifieke oplossing die precies alleen dat ene deelprobleempje oplost .
Zonder nadenken over het bredere probleem.
DNSSEC is (al) geen oplossing meer wanneer de malware simpelweg de sessie NAT naar een malware update server , wanneer die naar het dnssec geleverde IP probeert te gaan .
De veel betere oplossing is dat updates cryptografisch gesigned zijn , en de app/het OS platform dat controleren.
Een secundaire oplossing kan het gebruik van TLS zijn , alleen dat heeft als nadeel dat gebruik van (third party) mirror sites voor updates opeens veel lastiger wordt , omdat je moet eisen/controleren dat update van specifiek vertrouwd domein komt.
Als de updates zelf gesigned zijn, is het geen probleem als ze van een mirror.hogeschoolnergenshuizen.com komen , en niet alleen van updates.leverancier.com .
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?