Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en verksamhetschef till CERT-SE, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 14 april.

Uppdaterad | Publicerad - skadligkod, router, NAS, VPNFilter

VPNFilter - skadlig kod för nätverksutrustning

Denna artikel bygger på ännu ej fullständig analys från Talos.

Vad har hänt?

Talos, en del av Cisco, har under några månader undersökt en skadlig kod som de kallar VPNFilter. På grund av dess nyligen ökade spridning, särskilt i Ukraina, och destruktiva förmåga har de publicerat sina observationer även fast de inte är klara med sin analys.[1]

VPNFilter har hittills upptäckts i nätverksutrustning från Linksys, MikroTik, NETGEAR och TP-Link samt QNAP NAS-enheter.[2]

Talos förmodar att kända sårbarheter utnyttjas för att installera VPNFilter på enheter som inte har säkerhetsuppdaterats. Det finns även kända defaultlösenord till många av enheterna.

VPNFilter har flera moduler. Den första etablerar kontakt med en kontrollserver och överlever en omstart av enheten. Den andra modulen ger kontroll över enheten och även möjlighet att skada enheten genom att skriva över en del av firmware och göra en omstart. Flera olika tredje moduler som utökar användningsområdet har observerats. Två exempel är trafikinspelning med stöd för övervakning av Modbus respektive användning av Tor-nätverket för kommunikationen mellan enheten och kontrollservern.

Rekommendationer

CERT-SE känner ännu inte till något enkelt sätt att identifiera VPNFilter i sin nätverksutrustning. Det är dock alltid lämpligt att
- Uppdatera mjukvaran i router och NAS.
- Ändra standardlösenord till unika, långa, komplexa lösenord.
- Stänga av möjligheten att administrera enheten från internet (remote management).

En omstart tar bort VPNFilters skadliga moduler och en så kallad återställning till fabriksinställningar, hard reset, tar bort även den första modulen. För att undvika återinfektion måste enheten uppdateras.

Är du en hemanvändare som behöver hjälp med ovanstående så kontakta återförsäljaren. Fick du routern av din internetleverantör så kontakta dem.

För att upptäcka och stoppa infektionsförsök kan Snort användas. Talos har producerat Snort-regler kring de sårbarheter som troligen utnyttjats för att infektera de enheter där VPNFilter hittills har återfunnits. De är tillagda i Snorts öppna regler.[3]

Vad gör CERT-SE?

CERT-SE har sökt kontakt med Talos för att kunna utveckla ovanstående rekommendationer.

Uppdatering 2018-05-24 08:51

Talos har inga svenska IP-adresser bland de offer man känner till. Detta botnät är ändå ett gott exempel på att det finns goda skäl att hålla nätverksutrustning uppdaterad.
CERT-SE uppdaterar våra rekommendationer om vi hittar kompletterande information.
Vi tar tacksamt emot väl underbyggda tips.
I det fall vi får kännedom om svenska offer söker CERT-SE kontakt med dessa så långt vi har möjlighet. Vi vill dock poängtera vikten av att varje organisation eller individ ser över sitt skydd oavsett de blir kontaktade av CERT-SE eller ej.

Uppdatering 2018-05-24 20:51

Utländsk polismyndighet har tagit kontroll över delar av infrastrukturen kring VPNFilter och uppmanar alla ägare av routrar från Linksys, MikroTik, NETGEAR och TP-Link samt QNAP NAS-enheter att starta om sina enheter.[4] Detta för att de då ska försöka kontakta botnätets infrastruktur och därmed lämna ifrån sig sin IP-adress. På så sätt blir enskilda angripna enheter i förlängningen kända även för CERT-SE som då kan ge råd till de drabbade.

Uppdatering 2018-06-08 14:28

Ytterligare nätverksutrustning har visats sig sårbar och blivit infekterade. Dessa är ASUS, D-Link, Huawei, Ubiquiti, UPVEL, och ZTE.
Man har också hittat nya moduler för steg tre. En av dessa, kallad ssler, kan genom att injicera trafik och utföra man-in-the-middle attacker även attackera andra enheter bakom routern.
Den andra modulen kallad "dstr" har funktionalitet som raderar spår av VPNFilter från routern samt gör den obrukbar.

För en lista över hittils påverkade enheter samt en analys av modulerna se Talos uppdatering.[5]

Uppdatering 2018-07-04 09:53

Symantec erbjuder en tjänst som avgör ifall den router som du för tillfället är ansluten till internet via är infekterad med VPNFilter-modulen ssler. Även om routern inte skulle vara infekterad av just denna modul kan det hända att den ändå är infekterad av andra moduler. Det syns då inte vid just den här tjänstens kontroll.[6]

Källor

[1] https://blog.talosintelligence.com/2018/05/VPNFilter.html
[2] https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware
[3] https://www.snort.org/advisories/talos-rules-2018-05-22
[4] https://www.bleepingcomputer.com/news/security/fbi-takes-control-of-apt28s-vpnfilter-botnet/
[5] https://blog.talosintelligence.com/2018/06/vpnfilter-update.html
[6] http://www.symantec.com/filtercheck/