Ruteren Linksys WRVS4400N er blant nettverksutstyret som er berørt av VPNFilter-skadevaren.
Ruteren Linksys WRVS4400N er blant nettverksutstyret som er berørt av VPNFilter-skadevaren. (Illustrasjon: Linksys, Talos. Montasje: digi.no)

VPNFilter

Venter stort angrep fra mengder av rutere og NAS-enheter

Over en halv million enheter skal være infisert.

Cisco-eide Talos skal ha i mange måneder ha etterforsket et stort botnett som utnytter kjente sårbarheter i flere typer nettverksutstyr beregnet for forbrukere og mindre virksomheter. 

De aktuelle enhetene, som i første rekke er enten nettverksrutere eller nettverkstilknyttede lagringsenheter, har blitt infisert med en type skadevare som biter seg bedre fast enn det som vanligvis er tilfellet ved infisering av denne typen enheter. 

Ofte vil denne typen skadevare kunne fjernes fra enhetene ved rett og slett å starte dem på nytt. Men det er ikke tilfellet denne gangen.

VPNFilter

VPNFilter, som skadevaren kalles, består av flere deler, og den grunnleggende delen blir værende på enheten også etter en omstart av den infiserte enheten. Den vil da kontakte en C&C-server (Command and Control) for å laste ned ytterligere moduler.

Det er disse modulene som kan gjøre virkelig skade. De skal blant annet kunne laste opp filer fra nettverket, avlytte trafikk og i noen tilfeller også ødelegge fastvaren til enheten, slik at denne blir ubrukelig. 

Modulene kan i tillegg utstyres med plugins som blant annet brukes til innsamling av innloggingsdata og overvåkning av SCADA-protokollen Modbus

Mer enn 500 000

Talos mener at VPNFilter kan ha infisert minst en halv million enheter, fordelt på minst 54 land. Dette dreier seg om enheter fra leverandører som Linksys, MikroTik, Netgear og TP-Link. En liste over berørte modeller finnes her hos Symantec. Men listen er ikke nødvendigvis komplett. 

Det er ifølge Talos uklart hvordan enhetene har blitt infisert, men alle de berørte enhetene har kjente sårbarheter. Symantec mener at mange enheter dessuten kan ha blitt infisert fordi eierne ikke har byttet ut standardpassordet. 

Fancy Bear

En mulig årsak til at Talos nå har gått ut med informasjon om VPNFilter, er selskapet og andre aktører nylig har observert en kraftig økning i infeksjonsaktiviteten. Den 8. og den 17. mai skal infeksjonene nesten utelukkende ha skjedd i Ukraina. 

Talos mener at dette, kombinert med forløpet til tidligere angrep, kan antyde at et angrep er nært forestående. 

VPNFilter skal ha felles kode med skadevaren BlackEnergy, som tidligere har blitt brukt i angrep mot energiforsyningen i Ukraina. Denne skadevaren har blitt knyttet til hackergruppen Fancy Bear, også kjent som blant annet APT 28 og Sofacy Group. Denne gruppen har blitt koblet til russisk etterretning og skal ha stått bak en mengde angrep det siste tiåret. 

Det er likevel ikke gitt at det er Fancy Bear som står bak VPNFilter. Også andre grupper kan ha brukt den samme koden.

Les også: – Etterretningen i USA skjøt feil cyber-bjørn (Digi ekstra)

Overtok domene

I en pressemelding skriver USAs justisdepartement i går at FBI har overtatt et domene som brukes av botnettet. Selv om dette antagelig ikke stopper hele botnettet, kan det gjøre det vanskeligere for de infiserte enhetene å motta instruksjoner og å laste ned ytterligere skadevare. 

Det amerikanske justisdepartementet skriver i pressemeldingen at det vil være nødvendig med ytterligere tiltak globalt for å knekke botnettet. 

Egne tiltak

Det lar seg trolig gjøre å fjerne skadevaren fra de infiserte enhetene. Brukere som mistenker infeksjon eller som bare vil være på den sikre siden, bør tilbakestille enhetene til fabrikkinnstillingene og deretter starte dem på nytt. 

Uavhengig av om enhetene er infisert eller ikke, bør brukerne dessuten sikre at den nyeste fastvaren er installert og at standardpassordet for administrasjonsinnlogging på enheten har blitt byttet ut med et passord som er vanskelig å gjette.

Les også: Angrep kritisk infrastruktur med ny skadevare og utløste nødstopp

Kommentarer (24)

Kommentarer (24)
Til toppen