
Volgens de laatste rapporten en gegevens heeft een malware onlangs mogelijk ongeveer 500.000 routers voor thuis en voor kleine bedrijven geĆÆnfecteerd die de mogelijkheid hebben om wachtwoorden te verzamelen, aanvallen op andere apparaten uit te voeren en de machines permanent uit te schakelen.
laten zien
OMG! 500.000 routers wereldwijd gehackt door hackers
Een malware heeft mogelijk ongeveer 500.000 routers voor thuis en voor kleine bedrijven geĆÆnfecteerd. Het staat bekend als VPNFilter en kan wachtwoorden verzamelen, aanvallen op andere apparaten uitvoeren en de machines permanent uitschakelen.
De informatie is vrijgegeven door onderzoekers van Talos, de inlichtingeneenheid van Cisco. Volgens hen zijn sommige routers gemaakt door Linksys, MikroTik, Netgear, TP-Link en andere QNAP-apparaten blootgesteld.
Het Talos-rapport geeft aan dat de aanval sinds 2016 wordt uitgevoerd en al apparaten in zeker 54 landen heeft getroffen. Het bedrijf onderzoekt enkele maanden geleden cybercriminelen en zegt dat het aantal aanvallen de afgelopen drie weken snel is toegenomen. Daarom besloot hij een rapport te publiceren nog voordat zijn onderzoek klaar was.
Onderzoekers zeggen dat malware voor verschillende doeleinden kan worden gebruikt. “Omdat de getroffen apparaten eigendom zijn van bedrijven of individuen, kunnen kwaadaardige activiteiten die vanaf die apparaten worden uitgevoerd, ten onrechte worden toegeschreven aan degenen die daadwerkelijk het slachtoffer waren”, zegt William Largent, een onderzoeker van Talos.
De FBI nam een āāvan de domeinen in beslag die bij de aanval werden gebruikt. Volgens de Amerikaanse autoriteiten werd het gebruikt door hackers van de Russische overheid. In zijn rapport verwees Talos naar geen enkel land, maar zei dat VPNFilter delen van BlackEnergy hergebruikt, een malware die werd gebruikt bij de aanval die verband hield met de Russische regering. Een van die aanvallen vond plaats in december 2016 en veroorzaakte zelfs een stroomstoring in OekraĆÆne.
De drie fasen van de aanval
De actie VPNFilter wordt in drie stappen uitgevoerd. In de eerste wordt de malware geĆÆnstalleerd en kan deze permanent aanwezig zijn op het apparaat. Vervolgens probeert het verbinding te maken met een command and control-server om de volgende modules te downloaden.
Om dit te doen, is er de poging om een āāafbeelding te downloaden die wordt gehost op Photobucket. Metadata van bestanden geeft het IP-adres aan dat nodig is om de tweede fase te volgen. Als de poging mislukt, probeert de malware de afbeelding te downloaden van toknowall.com – het domein dat door de Russische overheid zou zijn gebruikt.
Als de verbinding nog steeds mislukt, wacht de stap op een commando van de cybercriminelen. In dit geval slaat de malware het openbare IP-adres van het apparaat op om de actie te kunnen voortzetten.
De tweede fase heeft de hoogste aanvalslading. Het is in staat om bestanden en gegevens te verzamelen, opdrachten uit te voeren en apparaten te beheren. Het is op dit punt dat VPNFilter de mogelijkheid krijgt om het apparaat uit te schakelen van het commando van de aanvallers. Als ze beslissen over de maatregel, overschrijft de malware een deel van de firmware en start het apparaat opnieuw op, waardoor het onbruikbaar wordt.
Ten slotte heeft de derde fase modules die fungeren als intermediairs van de tweede fase. Een van hen kan het verkeer analyseren dat naar het apparaat wordt gestuurd en kan de inloggegevens stelen die op een site zijn ingevoegd.
Een andere module maakt communicatie via Tor mogelijk. In zijn rapport zegt Talos dat er mogelijk nog andere modules zijn die nog niet zijn ontdekt.
Welke apparaten zijn getroffen?
Onderzoekers weten nog steeds niet precies hoe de apparaten zijn geĆÆnfecteerd, maar geven aan dat het doelwit is die standaardwachtwoorden gebruiken of bekende gaten hebben, voornamelijk door het gebruik van oudere versies.
Volgens Symantec zijn dit de belangrijkste doelen van VPNFilter: –
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
-
RouterOS van drie modellen van de Microtik Cloud Core Router: 1016, 1036 en 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Andere QNAP NAS-apparaten met QTS
- TP Link R600VPN
Hoe u uzelf kunt beschermen tegen VPNFilter
Beveiligingsbedrijven raden gebruikers aan een fabrieksherstel op hun apparaten uit te voeren. Over het algemeen vereist dit proces dat u de aan / uit-knop een paar seconden ingedrukt houdt. Na het herstellen moet u deze apparaten opnieuw configureren.
In het ideale geval moet u standaardwachtwoorden wijzigen, controleren of de apparaten de nieuwste firmwareversies hebben en, indien mogelijk, externe toegang uitschakelen.
Het blijft voor onderzoekers onduidelijk of de maatregelen in alle gevallen effectief zijn, aangezien cybercriminelen mogelijk ook misbruik maken van storingen die niet zijn aangepakt. Toch moeten ze helpen het risico te minimaliseren.
Dus, wat vind je hiervan? Deel eenvoudig al uw mening en gedachten in het commentaargedeelte hieronder.