VPNFilter-viruset är både farligare och mer utbrett än vad man först trodde

null

Pågående analyser av det sofistikerade sabotageprogrammet VPNFilter, som blev avslöjat av Cisco för två veckor sedan och som antas ha infekterat uppemot 500 000 enheter, visar nu att viruset kan vara farligare än vad man först antog. Dessutom kan det också ha infekterat ett mycket större antal routermodeller.

Det modulära viruset riktar in sig på nätverksprodukter till hemmabruk, bland annat NAS-boxar och switchers, och det har nu upptäckts i enheter från ASUS, D-Link, Huawei, Ubiquiti, UPVEL och ZTE.

Tidigare har Ciscos experter också hittat VPNFilter på enheter från Linksys, Netgear, QNAP och TP-Link. Det är särskilt uppseendeväckande att Huawei-namnet är på den här listan, eftersom de är en stor leverantör av nätverksenheter till diverse internetleverantörer.

Den första infektionen sågs som såpass allvarlig att FBI fort tog kontroll över en av domänerna som viruset använde som kommando- och kontrollserver.

De publicerade också en global varning till ägarna av potentiellt infekterade enheter, med en uppmaning om att genomföra en omstart av enheten. Det här ska ta bort de farligaste delarna av sabotageprogrammet och bidra till att hindra att det gör någon mer skada.

Nya egenskaper har upptäckts

Viruset antogs först vara en typisk botnet, som kunde utnyttja infekterade enheter till att utföra angrepp på andra mål. Ciscos Talos Intelligence Group har i efterhand upptäckt nya egenskaper hos viruset, som kan innebära större risker för de som äger infekterade routrar.

Speciellt nämner de en modul som kallas "ssler" och den är tillverkad för att gripa in i trafik som skickas genom routern. Modulen använder ett "man i mitten"-angrepp som försöker att gradera ned webbtrafik från det säkra HTTPS-protokollet, så att data skickas som okrypterad text via HTTP. Det kommer göra att känslig information som användarnamn och lösenord blir mycket enklare att fånga upp.

Cisco har inte annonserat om hur många enheter de tror kan vara infekterade, men de tror att sabotageprogrammet fortfarande är lika aktivt och att hotet fortfarande växer trots att det redan kommit uppmaningar om att användare ska starta om sina router.

Här är den uppdaterade listan över potentiellt infekterade enheter och om du äger en av dessa uppmanas du att starta om den:

  • Asus RT-AC66U (ny)
  • Asus RT-N10 (ny)
  • Asus RT-N10E (ny)
  • Asus RT-N10U (ny)
  • Asus RT-N56U (ny)
  • Asus RT-N66U (ny)
  • D-Link DES-1210-08P (ny)
  • D-Link DIR-300 (ny)
  • D-Link DIR-300A (ny)
  • D-Link DSR-250N (ny)
  • D-Link DSR-500N (ny)
  • D-Link DSR-1000 (ny)
  • D-Link DSR-1000N (ny)
  • Huawei HG8245 (ny)
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000 (ny)
  • Linksys E3200 (ny)
  • Linksys E4200 (ny)
  • Linksys RV082 (ny)
  • Linksys WRVS4400N
  • Mikrotik CCR1009 (ny)
  • Mikrotik CCR1016
  • Mikrotik CCR1036
  • Mikrotik CCR1072
  • Mikrotik CRS109 (ny)
  • Mikrotik CRS112 (ny)
  • Mikrotik CRS125 (ny)
  • Mikrotik RB411 (ny)
  • Mikrotik RB450 (ny)
  • Mikrotik RB750 (ny)
  • Mikrotik RB911 (ny)
  • Mikrotik RB921 (ny)
  • Mikrotik RB941 (ny)
  • Mikrotik RB951 (ny)
  • Mikrotik RB952 (ny)
  • Mikrotik RB960 (ny)
  • Mikrotik RB962 (ny)
  • Mikrotik RB1100 (ny)
  • Mikrotik RB1200 (ny)
  • Mikrotik RB2011 (ny)
  • Mikrotik RB3011 (ny)
  • Mikrotik RB Groove (ny)
  • Mikrotik RB Omnitik (ny)
  • Mikrotik STX5 (ny)
  • Netgear DG834 (ny)
  • Netgear DGN1000 (ny)
  • Netgear DGN2200
  • Netgear DGN3500 (ny)
  • Netgear FVS318N (ny)
  • Netgear MBRN3000 (ny)
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200 (ny)
  • Netgear WNR4000 (ny)
  • Netgear WNDR3700 (ny)
  • Netgear WNDR4000 (ny)
  • Netgear WNDR4300 (ny)
  • Netgear WNDR4300-TN (ny)
  • Netgear UTM50 (ny)
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP NAS devices running QTS software
  • TP-Link R600VPN
  • TP-Link TL-WR741ND (ny)
  • TP-Link TL-WR841N (ny)
  • Ubiquiti NSM2 (ny)
  • Ubiquiti PBE M5 (ny)
  • Upvel: Unknown Models (ny)
  • ZTE ZXHN H108N (ny)