Een recente ontdekking dat nieuwe routergebaseerde malware, bekend als VPNFilter, meer dan 500.000 routers had geïnfecteerd, werd gewoon nog erger nieuws. In een rapport dat naar verwachting op 13 juni zal verschijnen, stelt Cisco dat meer dan 200.000 extra routers zijn geïnfecteerd en dat de mogelijkheden van VPNFilter veel slechter zijn dan aanvankelijk werd gedacht. Ars Technica heeft gerapporteerd over wat te verwachten van Cisco Wednesday.
VPNFilter is malware die is geïnstalleerd op een Wi-Fi-router. Het heeft al bijna een miljoen routers in 54 landen geïnfecteerd en de lijst met apparaten waarvan bekend is dat ze worden beïnvloed door VPNFilter bevat veel populaire consumentenmodellen. Het is belangrijk op te merken dat VPNFilter niet een router-exploit die een aanvaller kan vinden en gebruiken om toegang te krijgen - het is software die onbedoeld op een router is geïnstalleerd en die potentieel vreselijke dingen kan doen.
VPNFilter is malware die op de een of andere manier op uw router wordt geïnstalleerd, geen kwetsbaarheid die aanvallers kunnen gebruiken om toegang te krijgen.
De eerste aanval van VPNFilter bestaat uit het gebruik van een man-in-the-middle-aanval op inkomend verkeer. Vervolgens probeert het beveiligd HTTPS-versleuteld verkeer om te leiden naar een bron die het niet kan accepteren, waardoor dat verkeer terugvalt naar normaal, niet-versleuteld HTTP-verkeer. De software die dit doet, door onderzoekers ssler genoemd, maakt speciale voorzieningen voor sites die extra maatregelen hebben om dit te voorkomen, zoals Twitter.com of een andere Google-service.
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
Zodra het verkeer niet versleuteld is, kan VPNFilter al het inkomende en uitgaande verkeer controleren dat via een geïnfecteerde router gaat. In plaats van al het verkeer te verzamelen en door te sturen naar een externe server om later te bekijken, richt het zich specifiek op verkeer waarvan bekend is dat het gevoelig materiaal bevat, zoals wachtwoorden of bankgegevens. Onderschepte gegevens kunnen vervolgens worden teruggestuurd naar een server die wordt beheerd door hackers waarvan bekend is dat ze banden hebben met de Russische overheid.
VPNFilter kan ook inkomend verkeer wijzigen om reacties van een server te vervalsen. Dit helpt de sporen van de malware uit te wissen en zorgt ervoor dat deze langer kan werken voordat u merkt dat er iets misgaat. Een voorbeeld van wat VPNFilter kan doen met inkomend verkeer dat aan ARS Technica wordt gegeven door Craig Williams, een senior technologieleider en global outreach manager bij Talos, zegt:
Maar het lijkt erop dat [aanvallers] daar volledig voorbij zijn geëvolueerd, en nu staat het hen niet alleen toe dat te doen, maar ze kunnen ook alles manipuleren dat via het gecompromitteerde apparaat gaat. Ze kunnen het saldo van uw bankrekening aanpassen zodat het er normaal uitziet, terwijl ze tegelijkertijd geld en mogelijk PGP-sleutels en dergelijke overhevelen. Ze kunnen alles manipuleren dat het apparaat binnenkomt en verlaat.
Het is moeilijk of onmogelijk (afhankelijk van uw vaardigheden en routermodel) om te bepalen of u besmet bent. Onderzoekers suggereren dat iedereen die een router gebruikt waarvan bekend is dat deze vatbaar is voor VPNFilter, ervan uitgaat zijn geïnfecteerd en neem de nodige stappen om de controle over hun netwerkverkeer terug te krijgen.
Routers waarvan bekend is dat ze kwetsbaar zijn
Deze lange lijst bevat de consumentenrouters waarvan bekend is dat ze vatbaar zijn voor VPNFilter. Als uw model in deze lijst voorkomt, wordt u aangeraden de procedures in het volgende gedeelte van dit artikel te volgen. Apparaten in de lijst die als "nieuw" zijn gemarkeerd, zijn routers die pas onlangs als kwetsbaar werden beschouwd.
Asus-apparaten:
- RT-AC66U (nieuw)
- RT-N10 (nieuw)
- RT-N10E (nieuw)
- RT-N10U (nieuw)
- RT-N56U (nieuw)
D-Link-apparaten:
- DES-1210-08P (nieuw)
- DIR-300 (nieuw)
- DIR-300A (nieuw)
- DSR-250N (nieuw)
- DSR-500N (nieuw)
- DSR-1000 (nieuw)
- DSR-1000N (nieuw)
Huawei-apparaten:
- HG8245 (nieuw)
Linksys-apparaten:
- E1200
- E2500
- E3000 (nieuw)
- E3200 (nieuw)
- E4200 (nieuw)
- RV082 (nieuw)
- WRVS4400N
Mikrotik-apparaten:
- CCR1009 (nieuw)
- CCR1016
- CCR1036
- CCR1072
- CRS109 (nieuw)
- CRS112 (nieuw)
- CRS125 (nieuw)
- RB411 (nieuw)
- RB450 (nieuw)
- RB750 (nieuw)
- RB911 (nieuw)
- RB921 (nieuw)
- RB941 (nieuw)
- RB951 (nieuw)
- RB952 (nieuw)
- RB960 (nieuw)
- RB962 (nieuw)
- RB1100 (nieuw)
- RB1200 (nieuw)
- RB2011 (nieuw)
- RB3011 (nieuw)
- RB Groove (nieuw)
- RB Omnitik (nieuw)
- STX5 (nieuw)
Netgear-apparaten:
- DG834 (nieuw)
- DGN1000 (nieuw)
- DGN2200
- DGN3500 (nieuw)
- FVS318N (nieuw)
- MBRN3000 (nieuw)
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200 (nieuw)
- WNR4000 (nieuw)
- WNDR3700 (nieuw)
- WNDR4000 (nieuw)
- WNDR4300 (nieuw)
- WNDR4300-TN (nieuw)
- UTM50 (nieuw)
QNAP-apparaten:
- TS251
- TS439 Pro
- Andere QNAP NAS-apparaten met QTS-software
TP-Link-apparaten:
- R600VPN
- TL-WR741ND (nieuw)
- TL-WR841N (nieuw)
Ubiquiti-apparaten:
- NSM2 (nieuw)
- PBE M5 (nieuw)
ZTE-apparaten:
- ZXHN H108N (nieuw)
Wat je moet doen
Op dit moment, zodra u in staat bent, moet u uw router opnieuw opstarten. Om dit te doen, koppelt u hem eenvoudigweg 30 seconden los van de voeding en sluit u hem vervolgens weer aan. Veel routermodellen spoelen geïnstalleerde apps door wanneer ze worden uitgeschakeld.
De volgende stap is om uw router in de fabriek te resetten. U vindt informatie over hoe u dit moet doen in de handleiding die in de doos is geleverd of op de website van de fabrikant. Dit houdt meestal in dat u een pin in een verzonken gat steekt om een microschakelaar in te drukken. Wanneer u uw router weer aan de praat krijgt, moet u ervoor zorgen dat deze over de allernieuwste firmwareversie beschikt. Raadpleeg nogmaals de documentatie die bij uw router is geleverd voor meer informatie over het bijwerken.
Voer vervolgens een snelle beveiligingsaudit uit van hoe u uw router gebruikt.
- Nooit gebruik de standaard gebruikersnaam en wachtwoord om het te beheren. Alle routers van hetzelfde model zullen die standaardnaam en wachtwoord gebruiken en dat zorgt voor een gemakkelijke manier om instellingen te wijzigen of malware te installeren.
- Nooit stel interne apparaten bloot aan internet zonder een sterke firewall. Dit omvat zaken als FTP-servers, NAS-servers, Plex-servers of een ander slim apparaat. Als u een aangesloten apparaat buiten uw interne netwerk moet blootstellen, kunt u waarschijnlijk poortfilterings- en doorstuursoftware gebruiken. Als dit niet het geval is, investeer dan in een sterke hardware- of softwarefirewall.
- Nooit laat beheer op afstand ingeschakeld. Het kan handig zijn als u vaak niet in de buurt van uw netwerk bent, maar het is een potentieel aanvalspunt waar elke hacker naar op zoek moet.
- Altijd blijf op de hoogte. Dit betekent dat u regelmatig op nieuwe firmware moet controleren, en nog belangrijker, dat u dat zeker moet doen installeer het als het beschikbaar is.
Tot slot, als u de firmware niet kunt bijwerken om te voorkomen dat VPNFilter wordt geïnstalleerd (de website van uw fabrikant heeft details), koop dan gewoon een nieuwe. Ik weet dat het uitgeven van geld om een perfect goede en werkende router te vervangen een beetje extreem is, maar dat zul je wel heb geen idee of uw router is geïnfecteerd, tenzij u iemand bent die dit soort informatie niet hoeft te lezen tips.
We zijn dol op de nieuwe mesh-routersystemen die automatisch kunnen worden bijgewerkt wanneer er nieuwe firmware beschikbaar is, zoals Google Wifi, omdat dingen als VPNFilter altijd en voor iedereen kunnen gebeuren. Het is de moeite waard om eens te kijken of u op zoek bent naar een nieuwe router.
- Zie bij Amazon
- $ 369 bij Best Buy
Jerry Hildenbrand
Jerry is de vaste nerd van Mobile Nation en daar trots op. Er is niets dat hij niet uit elkaar kan halen, maar veel dingen kan hij niet weer in elkaar zetten. Je vindt hem op het Mobile Nations-netwerk en dat kan sla hem op Twitter als je hey wilt zeggen.