Cisco Talos: VPNFilter er langt værre end først antaget

Illustration: Cisco Talos
Malwaren VPNFilter, der i sidste måned blev opdaget efter at have inficeret 500.000 hjemmeroutere, er tilsyneladende langt farligere end hidtil antaget, viser nye fund af Cisco Talos.

Malwaren VPNFilter, der blev opdaget i slutningen af maj, da den allerede havde inficeret 500.000 routere på tværs af kloden, er tilsyneladende mere farlig end først antaget, viser nye fund gjort af Cisco's interne cybersikkerhedsgruppe Talos.

Det skriver The Hacker News på baggrund af Cisco Talos' blogindlæg.

Det var oprindeligt troet, at malwaren kun påvirkede routere og netværkstilsluttede datalagre fra Linksys, MikroTik, NETGEAR og TP-Link, men videre og mere dybdegående analyse har nu vist, at VPNFilter også hacker enheder produceret af ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL og ZTE.

Læs også: VPNFilter: 500.000 routere inficeret med alvorlig malware, nu har FBI erobret malwaren

Derudover har gruppen fundet nye fase tre moduler. Det ene, døbt 'ssler', kan manipulere og opfange netværkstrafikken, der løber gennem den inficerede enhed.

»Det nye modul lader aktøren levere exploits til endpoints via en man-in-the-middle egenskab (Dvs. at de kan opfange netværkstrafik og sprøjte kode ind i det uden brugerens viden.)« skriver sikkerhedsforskerne i blogindlægget.

»Med dette fund kan vi bekræfte, at truslen ikke kun indebærer, hvad aktøren kan gøre på selve netværksenheden, men også netværket som den ramte enhed støtter,« fortsætter de.

Læs også: FBI: Fancy Bear bag botnet med 500.000 inficerede routere

Et andet modul fungerer som en slags cyanid-pille for malwaren.

»Yderligere har vi opdaget endnu et fase tre modul, der giver ethvert fase to modul, som mangler en 'kill command' muligheden for at deaktivere enheden. Det sletter hermed specifikt sporene af VPNFilter malwaren fra enheden og gør samtidig enheden ubrugelig,« skriver sikkerhedsforskerne.

Også den danske cybermyndighed, CFCS, advarer nu imod VPNFilter - læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Cristian Ambæk

Hvad er det VPNFilter inficerer helt præcist? Er det noget software alle producenterne bruger på tværs af hinanden, en port en universal service, svage nøgler, noget bestemt HW???

Jeg har f.eks. Sat mit ISP udstyr i bridge mode og selv opsat en Linux FW / Router bagved i en minimal installation, med IDS/IPS og så videre, men det er ikke sådanne systemer at denne malware er efter så vidt jeg forstår på de artikler der har været?

  • 0
  • 0
René Nielsen

Jeg glemte lige at få dette med;

Defending against this threat is extremely difficult due to the nature of the affected devices. The majority of them are connected directly to the internet, with no security devices or services between them and the potential attackers

Dermed indikerer Talos, at en hardware firewall ville have beskyttet flertallet af inficerede devices.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize