Eerder dit jaar werden honderdduizenden routers en NASsen door de VPNFilter-malware geïnfecteerd, maar het is nog altijd onduidelijk hoe dit precies kon gebeuren, zo stelt Cisco. Eenmaal actief kan de malware verschillende dingen doen, zoals het stelen van inloggegevens en het onbruikbaar maken van apparaten door de firmware te overschrijven.
Daarnaast kan de malware, zodra een router eenmaal is geïnfecteerd, ook computers in het achterliggende netwerk aanvallen. Cisco heeft nieuw onderzoek naar de malware gepubliceerd, waarbij de onderzoekers vooral keken naar een protocol dat MikroTik-routers gebruiken. De aanvallers hadden het voornamelijk op deze apparaten voorzien.
Het nieuwe onderzoek bevestigt dat VPNFilter aanvallers de mogelijkheid bood om vanaf besmette routers en NASsen achterliggende systemen aan te vallen. Zo werd er een module ontdekt die http-verkeer op de aanwezigheid van uitvoerbare Windows-bestanden te controleren. Waarschijnlijk om die in real-time aan te passen als ze door de gebruiker werden gedownload.
Een andere module die de onderzoekers vonden is waarschijnlijk ontworpen om toegang tot bepaalde versleutelde chat-applicaties te blokkeren. Ook bleken de aanvallers besmette routers als proxy te kunnen gebruiken. Eén van de belangrijkste vragen is echter nog altijd niet beantwoord, namelijk de gebruikte verspreidingsmethode. Vermoedelijk werden bekende kwetsbaarheden gebruikt, maar Cisco heeft hier nog altijd geen definitief bewijs van.
De dreiging van VPNFilter is volgens de onderzoekers zo goed als geneutraliseerd. De kanalen die de aanvallers gebruikten om met besmette systemen te communiceren zijn uitgeschakeld. Daarnaast was een deel van de malware niet persistent en alleen actief in het geheugen. Waarschijnlijk zijn veel getroffen systemen dan ook opgeschoond na een reboot. Wat betreft het persistente deel van de malware zijn er geen signalen dat de aanvallers hebben geprobeerd om daarmee nog verbinding te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.