Een voortdurende analyse van de geavanceerde malware van de VPNFilter-router, onthuld door netwerkbedrijf Cisco twee weken geleden en waarvan gedacht werd dat het tot 500.000 apparaten had geïnfecteerd, heeft aangetoond dat de aanval potentieel gevaarlijker is voor gebruikers dan eerder werd gedacht en beïnvloedt een veel breder scala aan apparaten.

De modulaire malware is gericht op netwerkapparatuur zoals routers voor thuis en kleine bedrijven, NAS-boxen en netwerkswitches en is nu ontdekt op apparaten van ASUS, D-Link, Huawei, Ubiquiti, UPVEL en ZTE.

Oorspronkelijk hadden onderzoekers van Cisco's Talos Labs VPNFilter gevonden op apparaten van Linksys, Netgear, QNAP en TP-Link. De naam van Huawei in de lijst krijgt waarschijnlijk de meeste aandacht, aangezien de leverancier een populaire fabrikant van originele apparaten is voor grote internetproviders zoals TalkTalk in het Verenigd Koninkrijk..

De eerste infectie werd als gevaarlijk genoeg beschouwd, kort nadat Cisco zijn bestaan ​​bekendmaakte, ondernam de FBI actie om een ​​domein te veroveren dat de malware gebruikte als een command-and-control-server.

Het Amerikaanse advocatenkantoor gaf ook een wereldwijde waarschuwing af aan eigenaren van mogelijk geïnfecteerde apparaten en vroeg hen om hun apparatuur opnieuw op te starten - een stap die de gevaarlijkere onderdelen van de malware zou wissen en zou helpen voorkomen dat deze verdere schade zou kunnen veroorzaken.

  • Verwant: De nieuwe beveiligingscode voor internet van dingen heeft als doel Mirai en andere bedreigingen uit te roeien

Nieuwe mogelijkheden blootgelegd

Aanvankelijk werd gedacht dat het een vrij standaard botnet was, dat geïnfecteerde apparatuur zou gebruiken om cyberaanvallen op andere doelen uit te voeren. Cisco's Talos Intelligence Group heeft sindsdien nieuwe mogelijkheden ontdekt in de malware - die de bezitters van geïnfecteerde routers een groter risico zouden kunnen geven.

In het bijzonder lijkt een module genaamd 'ssler' specifiek ontworpen om het internetverkeer van en naar een geïnfecteerde router in gevaar te brengen. De module maakt gebruik van een 'man in the middle'-stijlaanval die probeert het beveiligde HTTPS-webverkeer te downgraden, zodat gegevens via HTTP worden verzonden als niet-versleutelde leesbare tekst, waardoor gevoelige informatie zoals aanmeldingen en wachtwoorden veel gemakkelijker te onderscheppen en te vangen is..

Cisco heeft geen totaalaantal vrijgegeven voor het aantal extra apparaten waarvan het nu gelooft dat het geïnfecteerd zou kunnen zijn, maar heeft wel gezegd dat ondanks eerdere waarschuwingen dat gebruikers de bedreigingsapparaten opnieuw moeten opstarten, de malware nog steeds in het wild aanwezig is en dat de dreiging "blijft groeien"”.

Cisco heeft een bijgewerkte lijst met apparaten weergegeven die mogelijk worden getroffen, dus als u een van de onderstaande apparaten bezit, wordt u dringend geadviseerd om het opnieuw op te starten:

  • Asus RT-AC66U (nieuw)
  • Asus RT-N10 (nieuw)
  • Asus RT-N10E (nieuw)
  • Asus RT-N10U (nieuw)
  • Asus RT-N56U (nieuw)
  • Asus RT-N66U (nieuw)
  • D-Link DES-1210-08P (nieuw)
  • D-Link DIR-300 (nieuw)
  • D-Link DIR-300A (nieuw)
  • D-Link DSR-250N (nieuw)
  • D-Link DSR-500N (nieuw)
  • D-Link DSR-1000 (nieuw)
  • D-Link DSR-1000N (nieuw)
  • Huawei HG8245 (nieuw)
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000 (nieuw)
  • Linksys E3200 (nieuw)
  • Linksys E4200 (nieuw)
  • Linksys RV082 (nieuw)
  • Linksys WRVS4400N
  • Mikrotik CCR1009 (nieuw)
  • Mikrotik CCR1016
  • Mikrotik CCR1036
  • Mikrotik CCR1072
  • Mikrotik CRS109 (nieuw)
  • Mikrotik CRS112 (nieuw)
  • Mikrotik CRS125 (nieuw)
  • Mikrotik RB411 (nieuw)
  • Mikrotik RB450 (nieuw)
  • Mikrotik RB750 (nieuw)
  • Mikrotik RB911 (nieuw)
  • Mikrotik RB921 (nieuw)
  • Mikrotik RB941 (nieuw)
  • Mikrotik RB951 (nieuw)
  • Mikrotik RB952 (nieuw)
  • Mikrotik RB960 (nieuw)
  • Mikrotik RB962 (nieuw)
  • Mikrotik RB1100 (nieuw)
  • Mikrotik RB1200 (nieuw)
  • Mikrotik RB2011 (nieuw)
  • Mikrotik RB3011 (nieuw)
  • Mikrotik RB Groove (nieuw)
  • Mikrotik RB Omnitik (nieuw)
  • Mikrotik STX5 (nieuw)
  • Netgear DG834 (nieuw)
  • Netgear DGN1000 (nieuw)
  • Netgear DGN2200
  • Netgear DGN3500 (nieuw)
  • Netgear FVS318N (nieuw)
  • Netgear MBRN3000 (nieuw)
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200 (nieuw)
  • Netgear WNR4000 (nieuw)
  • Netgear WNDR3700 (nieuw)
  • Netgear WNDR4000 (nieuw)
  • Netgear WNDR4300 (nieuw)
  • Netgear WNDR4300-TN (nieuw)
  • Netgear UTM50 (nieuw)
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP NAS-apparaten met QTS-software
  • TP-Link R600VPN
  • TP-Link TL-WR741ND (nieuw)
  • TP-Link TL-WR841N (nieuw)
  • Ubiquiti NSM2 (nieuw)
  • Ubiquiti PBE M5 (nieuw)
  • Upvel: Unknown Models (nieuw)
  • ZTE ZXHN H108N (nieuw)
  • Als je router in die lijst staat, is het misschien tijd om een ​​upgrade te overwegen. Dit zijn de aanbevelingen van TechRadar voor de beste routers van 2018.