Talos ontdekt gevaarlijke VPNFilter-malware die veel apparaten van het internet kan halen

Talos, dochter van Cisco, heeft vandaag de resultaten van onderzoek naar de VPNFilter-malware gepubliceerd. De malware richt zich voornamelijk op internetrouters van consumenten en blijkt zo’n 500.000 IoT-apparaten geïnfecteerd te hebben. Die apparaten bevinden zich vooral in Oekraïne.

Toch gaat de dreiging verder dan alleen het Oost-Europese land; volgens Talos zijn apparaten in 54 verschillende landen getroffen. Het gaat om apparaten van onder meer Linksys, MikroTik, Netgear en TP-Link. Ook zijn NAS-apparaten getroffen door de malware. Het is zorgelijk, schrijft het bedrijf, omdat de malware het mogelijk maakt om inloggegevens van websites te stelen en Modbus SCADA-protocollen in de gaten te ouden.

Onbruikbaar apparaat

De malware heeft volgens de onderzoekers van Talos het potentieel om een geïnfecteerd apparaat helemaal onbruikbaar te maken. Ook kan VPNFilter ingeschakeld worden op een individuele machine, maar ook massaal, waarmee honderdduizenden slachtoffers wereldwijd ineens geen internetverbinding meer zullen hebben.

Opvallend is volgens de onderzoekers dat de VPNFilter-malware overlapping vertoont met versies van de eerder geconstateerde BlackEnergy-malware. Die infecteerde al diverse apparaten in Oekraïne. Het is niet helemaal zeker, maar het lijkt erop dat VPNFilter zich actief richt op hosts in Oekraïne. Dat wijst erop dat het gaat om vanuit een overheid ontwikkelde malware.

De onderzoekers kwamen erachter dat de malware, in tegenstelling tot wat normaliter gebeurt, meteen een reboot nodig heeft om te werken. Daarna pas worden de andere functionaliteiten uitgerold, waaronder het uitvoeren van commando’s, ophalen van data en de mogelijkheid om een apparaat volledig onbruikbaar te maken door de firmware te overschrijven.

Aanpak malware

De Amerikaanse overheid heeft al stappen aangekondigd om de malware te stoppen. Zo zijn domeinen die erdoor gebruikt lijken te worden opgeheven. Het botnet dat gebruikt wordt voor de verspreiding, kan op die manier tegengewerkt worden. Tegelijk stelt Talos dat verdedigen tegen VPNFilter extreem ingewikkeld is.

Het bedrijf uit vooral zorgen als het aankomt op de mogelijkheden van de malware, die hele apparaten onbruikbaar kan maken. Potentieel zouden zo veel apparaten wereldwijd niet meer bruikbaar kunnen zijn, wat volgens de onderzoekers erg gevaarlijk kan zijn.