Rutere i hele verden er infisert av skadevare som kan stjele informasjon og ødelegge ruteren
(Foto: Tek.no)

Rutere i hele verden er infisert av skadevare som kan stjele informasjon og ødelegge ruteren


Blant andre Ars Technica melder nå om en ny type farlig, ondsinnet programvare som har infisert flere hundre tusen rutere i hele verden. Programvaren heter VPNFilter og ble etterforsket av ruterprodusenten Ciscos etterretningsavdeling Talos, som melder om funnene på bloggen sin.

VPNFilter skal ifølge Cisco ha infisert rundt 500 000 rutere i minst 54 land.

Programvaren beskrives som så sofistikert at etterforskerne tror hackerne som står bak har tilknytning til statlige myndigheter.

Det er rutere produsert av blant andre Linksys, MikroTik, Netgear og TP-Link som er rammet av den ondsinnede programvaren, i tillegg til NAS-enheter fra QNAP. Ciscos egne produkter skal imidlertid ikke være rammet. Symantec, som også omtaler programvaren, har lagt ut en liste over modeller som er rammet, men denne listen er ikke nødvendigvis komplett.

Kan kutte nettilgangen

VPNFilter kan ifølge Talos brukes til å samle inn data som går gjennom ruteren, og i tillegg har den destruktive egenskaper i kraft av å kunne slå ut rutere fullstendig. Sistnevnte egenskap kan potensielt utnyttes til å kutte Internett-tilgangen til flere hundre tusen brukere over hele verden, som gjør forskerne mener gjør programvaren ekstra bekymringsfull.

På den tekniske siden beskrives VPNFilter som en modulær programvare som opererer med flere trinn. Det første trinnet etablerer et fotfeste på enheten som brukes til å laste ned det neste trinnet, og skal ha den sjeldne egenskapen at den overlever reboot.

Skjematisk fremstilling av de tre trinnene til VPNFilter-programvaren. Foto: Cisco Talos

Det andre trinnet utgjør hovedlasten og har egenskaper som Talos sier er sammenlignbare med omfattende etterretningsplattformer, for eksempel filinnsamling, utføring av kommandoer, eksfiltrering av data og enhetsbehandling.

Dette trinnet består også av en komponent som er i stand til å skrive over kritiske deler av fastvaren i enheten og starte den på nytt, og på denne måten sette enheten permanent ut av spill. Denne egenskapen skal kunne utføres via kommandoer fra hackerne som har tatt kontroll på ruteren.

Etterforskes fortsatt

I tillegg til disse to trinnene skal det også ha blitt oppdaget et tredje trinn som brukes som «utvidelser» til det andre trinnet, og som gir programvaren ytterligere egenskaper. Blant disse er det oppdaget moduler som samler inn legitimasjon fra nettsider og en modul som setter det andre trinnet av programvaren i stand til å kommunisere over Tor-nettverket.

Akkurat hvordan enhetene er blitt infisert er ennå uklart, og etterforskningen pågår fortsatt for å finne ut hvilke sårbarheter som er blitt utnyttet. Brukere som kan være i faresonen anbefales å tilbakestille enhetene til fabrikkinnstillingene og deretter starte dem på nytt.

I tillegg bør man også sikre at den nyeste fastvaren er installert og at standardpassordet for administrasjonsinnlogging på enheten har blitt byttet ut med et passord som er vanskelig å gjette.

Her er Symantecs liste over rammede rutere:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Other QNAP NAS devices running QTS software
  • TP-Link R600VPN

Er du rammet? Start ruteren på nytt

I USA har sikkerhetsdepartementet gått ut med advarsel til brukere av de nevnte ruterne om å starte enheten på nytt. Dette vil sette en midlertidig stopper for den skadelige programvaren, ettersom to av de tre stegene vil bli slettet.

Som nevnt vil imidlertid det første «steget» fortsatt vedvare. At skadelig programvare som dette overlever en reboot er ytterst sjeldent. 

Hvis du vil bli helt kvitt programvaren er du nødt til å resette ruteren til fabrikkinnstillinger. Dette vil fjerne all skadelig programvare, inkludert det første steget. 

Les også: PornHub lanserer snokefri VPN-tjeneste »

Norges beste mobilabonnement

Mai 2018

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1 GB


Jeg bruker middels mye data:

Komplett MedioFlex+ 6GB


Jeg bruker mye data:

Chili Fri Data


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen