Onderzoekers waarschuwen voor malware die routers van fabrikant DrayTek infecteert en vervolgens gegevens voor e-mail en ftp onderschept. Dat laat securitybedrijf Lumen weten, dat onder andere in Nederland besmette routers heeft waargenomen. De aanvalscampagne die de onderzoekers ontdekten richt zich op de DrayTek Vigor 2960 en 3900. Het gaat om vpn-routers die end-of-life zijn en zodoende niet meer met beveiligingsupdates worden ondersteund.
Hoe de aanvallers de DrayTek-routers weten te compromitteren is vooralsnog onbekend. Zodra dit het geval is installeren de aanvallers een remote access trojan en een variant van tcpdump voor het onderscheppen van verkeer dat langs de router gaat. Daarbij wordt specifiek verkeerd over poort 21 (ftp), poort 25 (smtp), poort 21 (pop3) en poort 143 (imap). De onderschepte data wordt vervolgens naar een server van de aanvallers geüpload.
In totaal detecteerde Lumen honderd besmette routers. Dat zou twee procent van het totaal aantal DrayTek 2960 en 3900 routers zijn dat online is. De meeste besmettingen werden in de Verenigde Staten, Verenigd Koninkrijk, Nederland en Polen aangetroffen. Organisaties worden aangeraden om de end-of-life routers te vervangen door een model dat nog wel wordt ondersteund.
Deze posting is gelocked. Reageren is niet meer mogelijk.