Mere om VPNfilter routerangrebet

Har du nu fået slukket og tændt din Internet router (boksen, der forbinder dit hjem/kontor til internettet)?

Der er en del artikler på nettet om VPNfilter angrebet, men enten er de lidt for overfladiske eller også er de voldsomt tekniske, så jeg vil forsøge at beskrive problemets hovedpunkter:

  • Et angreb på en internet router kan være vanskeligt at forhindre: Den sidder i “forreste linje” og det er kun dens eget syste, der kan forhindre skadelige indgreb.
  • VPNfilter vides at have ramt en række forskellige routere. Alle disse routere kører Linux eller Busybox og hver enkelt angreb et decideret målrettet mod netop den bestemte model (selv om der formodentligt er tale om mindre forskelle indenfor forskellige modelfamilier)
  • VPNfilter har været kendt i nogen tid, men tog for alvor fart d. 8. maj på routere primært i Ukraine og igen d. 31. maj, også primært i Ukraine.
  • VPNfilter angrebet foregår i 3 omgange (eller stages): Det første angreb lægger noget kode ind i NVRAM (Hukommelse, der ikke bliver slettet, når man genstarter – og kun delvist slettet når man nulstiller sin router til fabriksindstillinger), Dette angreb gør det muligt at gennemføre stage 2 angrebet fra forskellige hjemmesider som den kriminelle har kontrol over – men flere og flere af disse bliver afsløret af FBI og venner og sat ud af funktion. Stage 2 angrebet ændrer fx alle https: adresser som du prøver at besøge til http: (altså forsøger at slå den krypterede kommunikation fra), men kan primært benyttes til at udbygge med forskellige stage 3 muligheder: En kill kommando som kan totalt ødelægge routeren (i nogle udgaver er den kommando dog allerede med i stage 2), en trafikovervågning, der sender information til den kriminelle (ikke al trafik, men typisk tekst, der kommer lige efter pass, password, user, name og lignende) og et plugin til fjernstyring v.h.a. TOR (anonym browser teknologi). Stage 2 og 3 programmerne ligger i routerens hukommelse og slettes ved en genstart.
  • Stage 3 koden kan også indeholde mulighed for at routeren kan benyttes som springbræt til angreb på udstyr på lokalnettet: Når nu man er kommet igennem firewall’en, så kan man jo lige så godt bruge det til noget! Og så kan det virkeligt begynde at gribe om sig.

Kampen mod VPNfilter koordineres af Cisco’s Talos sikkerhedsgruppe, som også er kilde til ovenstående: talosintelligence.com VPNFilter

Kaspersky har også publiseret informationer om VPNfilter: securelist.com vpnfilter-exif-to-c2-mechanism-analysed

En “sjov” detalje, som siger noget om, hvor dygtige de cyberkriminelle er: Det første angreb gennemføres blandt andet med støtte fra billeder på billeddelingstjenesten Photobucket, hvor udvalgte billeder har fået lagt angrebskode ind i EXIF oplysningerne – det sted, hvor et billede gemmer information om hvilket kamera, der er brugt m.v.