De VPNFilter-malware die allerlei routers infecteert kan ook computers in het achterliggende netwerk aanvallen. Dat hebben onderzoekers van Cisco bekendgemaakt. In mei werd bekend dat VPNFilter wereldwijd 500.000 routers en NASsen heeft geïnfecteerd. Eenmaal actief kan de malware verschillende dingen doen, zoals het stelen van inloggegevens en het onbruikbaar maken van apparaten door de firmware te overschrijven.
VPNFilter wordt omschreven als een "multi-stage, modulair platform". Volgens de onderzoekers had de malware drie modules, maar alleen de eerste twee modules waren beschreven. Nu is er ook een analyse van de derde module online verschenen. Deze derde module genaamd "ssler" maakt het mogelijk om man-in-the-middle-aanvallen op computers in het netwerk uit te voeren. De malware kan kwaadaardige code in het webverkeer injecteren, zonder dat gebruikers dit door hebben. Zo is het mogelijk om bijvoorbeeld exploits in het webverkeer te injecteren en achterliggende systemen over te nemen.
Ssler onderschept hiervoor al het verkeer dat voor poort 80 bedoeld. De iptables-firewall van het apparaat wordt hiervoor aangepast zodat al het verkeer voor poort 80 naar een lokale service op poort 8888 wordt doorgestuurd. Alle uitgaande webverzoeken op poort 80 worden door ssler onderschept en kunnen worden bekeken en gemanipuleerd voordat ze naar de bedoelde http-dienst worden doorgestuurd. Daarnaast worden in alle http-verzoeken vermeldingen van https:// vervangen door http://. Op deze manier is het mogelijk om gevoelige gegevens te onderscheppen, aldus de onderzoekers.
Volgens Cisco laat de derde module van VPNFilter zien dat de malware veel gevaarlijker is dan eerst werd aangenomen. Daarnaast laten de onderzoekers weten dat veel meer routers kwetsbaar zijn, waaronder modellen van fabrikanten Asus, D-Link, Ubiquiti, Upvel, Huawei en ZTE. In eerste instantie werd gemeld dat de malware het alleen op apparaten van Linksys, MikroTik, Netgear en QNAP had voorzien. Hoe de apparaten precies besmet raken is nog altijd onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.