VPNFilter-virus er farligere og mer utbredt enn først antatt

null

Pågående analyser av den sofistikerte ruterskadevaren VPNFilter, som ble avslørt av Cisco for to uker siden og som antas å ha infisert opptil 500 000 enheter, viser nå at viruset kan være farligere enn først antatt. I tillegg kan det også ha infisert et mye større antall rutermodeller.

Det modulære viruset sikter seg inn mot nettverksutstyr til hjemmebruk i tillegg til NAS-bokser og nettverks-switcher, og det har nå blitt oppdaget i enheter fra ASUS, D-Link, Huawei, Ubiquiti, UPVEL og ZTE.

Tidligere har Ciscos eksperter også funnet VPNFilter på enheter fra Linksys, Netgear, QNAP og TP-Link. Det er spesielt dramatisk at Huawei-navnet er på denne listen, fordi de er en stor leverandør av nettverksenheter til diverse internettleverandører.

Den opprinnelige infeksjonen ble ansett som så alvorlig at FBI raskt tok kontroll over et domene som viruset brukte som kommando- og kontrollserver.

De publiserte også en global advarsel til eiere av potensielt infiserte enheter, med en oppfordring om å gjennomføre en omstart. Dette skal fjerne de farligste delene av skadevaren, og bidra til å hindre at det gjør mer skade.

Nye egenskaper er oppdaget

Viruset ble opprinnelig antatt å være et typisk botnet, som kunne utnytte infiserte enheter til å utføre angrep på andre mål. Ciscos Talos Intelligence Group har i ettertid imidlertid oppdaget nye egenskaper i viruset, som kan innebære større fare for eiere av infiserte rutere.

Spesielt trekkes en modul kalt «ssler» frem, og den er laget for å gripe inn i trafikk som sendes gjennom ruteren. Modulen bruker et «mann i midten»-angrep som prøver å nedgradere webtrafikk fra den sikre HTTPS-protokollen, slik at data sendes som ukryptert tekst via HTTP. Det vil gjøre sensitiv informasjon som brukernavn og passord mye enklere å fange opp.

Cisco har ikke annonsert noe totalt antall når det kommer til nye enheter de tror kan være infisert, men de sier at skadevaren fortsatt er like aktiv og at trusselen stadig vokser tross tidligere oppfordringer om at brukere skal omstarte ruterne sine.

Her er den oppdaterte listen over potensielt infiserte enheter, og hvis du eier en av disse oppfordres du på det sterkeste til å omstarte den:

  • Asus RT-AC66U (ny)
  • Asus RT-N10 (ny)
  • Asus RT-N10E (ny)
  • Asus RT-N10U (ny)
  • Asus RT-N56U (ny)
  • Asus RT-N66U (ny)
  • D-Link DES-1210-08P (ny)
  • D-Link DIR-300 (ny)
  • D-Link DIR-300A (ny)
  • D-Link DSR-250N (ny)
  • D-Link DSR-500N (ny)
  • D-Link DSR-1000 (ny)
  • D-Link DSR-1000N (ny)
  • Huawei HG8245 (ny)
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000 (ny)
  • Linksys E3200 (ny)
  • Linksys E4200 (ny)
  • Linksys RV082 (ny)
  • Linksys WRVS4400N
  • Mikrotik CCR1009 (ny)
  • Mikrotik CCR1016
  • Mikrotik CCR1036
  • Mikrotik CCR1072
  • Mikrotik CRS109 (ny)
  • Mikrotik CRS112 (ny)
  • Mikrotik CRS125 (ny)
  • Mikrotik RB411 (ny)
  • Mikrotik RB450 (ny)
  • Mikrotik RB750 (ny)
  • Mikrotik RB911 (ny)
  • Mikrotik RB921 (ny)
  • Mikrotik RB941 (ny)
  • Mikrotik RB951 (ny)
  • Mikrotik RB952 (ny)
  • Mikrotik RB960 (ny)
  • Mikrotik RB962 (ny)
  • Mikrotik RB1100 (ny)
  • Mikrotik RB1200 (ny)
  • Mikrotik RB2011 (ny)
  • Mikrotik RB3011 (ny)
  • Mikrotik RB Groove (ny)
  • Mikrotik RB Omnitik (ny)
  • Mikrotik STX5 (ny)
  • Netgear DG834 (ny)
  • Netgear DGN1000 (ny)
  • Netgear DGN2200
  • Netgear DGN3500 (ny)
  • Netgear FVS318N (ny)
  • Netgear MBRN3000 (ny)
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200 (ny)
  • Netgear WNR4000 (ny)
  • Netgear WNDR3700 (ny)
  • Netgear WNDR4000 (ny)
  • Netgear WNDR4300 (ny)
  • Netgear WNDR4300-TN (ny)
  • Netgear UTM50 (ny)
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP NAS devices running QTS software
  • TP-Link R600VPN
  • TP-Link TL-WR741ND (ny)
  • TP-Link TL-WR841N (ny)
  • Ubiquiti NSM2 (ny)
  • Ubiquiti PBE M5 (ny)
  • Upvel: Unknown Models (ny)
  • ZTE ZXHN H108N (ny)