Af Nicolai Devantier, 04/06/18
FBI forsøgte for halvanden uge siden at lukke ned for VPNFilter botnet, der på aggressiv vis havde kapret over 500.000 routere og NAS-enheder. Nu mener sikkerhedsforskere, at koden igen anvendes til nye angrebsforsøg.
Det er sikkerhedsanalytikere fra JASK og GreyNoise Intelligence, som advarer om, at den ondsindede kode igen forsøger at kompromittere routere og genskabe VPNFilter botnet efter FBIs nedlukning.
Angrebene ser dog i denne omgang ud til at koncentrere sig om Ukraine.
Den første udgave af angrebene inficerede routere i mange lande, men versionen var ligeledes fokuseret mod routere i Ukraine. I følge Bleepingcomputer er det den berygtede russiske cyber-enhed, kaldet APT28, der forberedte et angreb mod Ukraines it-infrastruktur.
Efter opdagelsen af dette botnets eksistens greb FBI ind ved at overtage domænet, der blev benyttet til at administrerer VPNFilters command-and-control-infrastruktur og derved stoppe det.
Men APT28-gruppen forsøger angiveligt andre veje.
VPNFilter malware er blandt andet beskyldt for at kunne slette firmware, overvåge trafik og kommunikere vis Tor-netværket.
Anbefaling:
Genstart din router og netværks-harddisk. Netværksenheder skal opgraderes til de nyeste versioner af firmware. Benyt stærke password til internet-opkoblede enheder.
Links:
- FBI advarer om malware-angreb mod routere og netværksenheder, nyhed fra DKCERT.
- The VPNFilter Botnet Is Attempting a Comeback, artikel fra Bleepingcomputer.
- Experts believe the botmaster of the VPNFilter is attempting to resume the botnet, artikel fra Securityaffairs.
- New VPNFilter malware targets at least 500K networking devices worldwide, analyse fra Cisco Talos.
- FBI Takes Control of APT28's VPNFilter Botnet, artikel om FBIs nedtagning af VPNFilter.