De FBI zegt dat je je router opnieuw moet opstarten. Zou u?

Afgelopen vrijdag heeft de FBI een rapport uitgebracht waarin wordt geadviseerd dat iedereen zijn routers opnieuw opstart. De reden? "Buitenlandse cyberactoren hebben honderdduizenden thuis- en kantoorrouters en andere netwerkapparatuur wereldwijd besmet."

Dat is een behoorlijk verontrustende PSA, maar ook een wat vage PSA. Hoe weet je of je router is geïnfecteerd? Wat kunt u doen om malware hieruit te weren? En, misschien het allerbelangrijkste, kan een eenvoudige reboot de dreiging echt elimineren?

Wat is de dreiging?

De aanbeveling van de FBI komt op de hielen van een nieuw ontdekte malware-bedreiging genaamd VPNFilter, die meer dan een half miljoen routers en netwerkapparaten heeft geïnfecteerd, volgens onderzoekers van de Talos Intelligence Group van Cisco.

VPNFilter is "in staat om kleine kantoor- en thuiskantoorrouters onbruikbaar te maken", verklaarde de FBI. "De malware kan mogelijk ook informatie verzamelen die door de router gaat."

Wie heeft VPNFilter gedistribueerd en met welk doel? Het ministerie van Justitie is van mening dat Russische hackers, die werken onder de naam Sofacy Group, de malware gebruiken om geïnfecteerde apparaten te beheren.

Hoe weet je of je besmet bent?

Helaas is er geen eenvoudige manier om te weten of uw router is gehackt door VPNFilter. De FBI merkt alleen op dat "de malware zich richt op routers die door verschillende fabrikanten en op het netwerk aangesloten opslagapparaten zijn geproduceerd door ten minste één fabrikant."

Die fabrikanten zijn als volgt: Linksys, Mikrotik, Netgear, QNAP en TP-Link. In Cisco's rapport staat echter dat slechts een klein aantal modellen - iets meer dan een dozijn in totaal - van die fabrikanten bekend zijn geraakt door de malware, en dat deze meestal oudere zijn:

Linksys: E1200, E2500, WRVS4400N

Mikrotik: 1016, 1036, 1072

Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000

QNAP: TS251, S439 Pro, andere QNAP NAS-apparaten met QTS-software

TP-link: R600VPN

Bijgevolg is er een vrij kleine kans dat u een geïnfecteerde router gebruikt. Natuurlijk kun je nooit te voorzichtig zijn, dus laten we praten over manieren om het probleem op te lossen en, hopelijk, voorkomen dat het vooruit gaat.

Zal een reboot echt werken?

Het kan absoluut geen kwaad. Opnieuw opstarten - of power-cycling - uw router is een ongevaarlijke procedure en is vaak een van de eerste stappen voor probleemoplossing bij netwerk- of verbindingsproblemen. Als u ooit een technisch ondersteuningsgesprek hebt gehad vanwege een internetprobleem, is u waarschijnlijk geadviseerd om precies dat te doen.

Volgens deze Krebs on Security-post, die het bovengenoemde Cisco-rapport citeert, zal het opnieuw opstarten echter niet lukken: "Een deel van de code die door VPNFilter wordt gebruikt, kan blijven bestaan ​​totdat het getroffen apparaat wordt teruggezet naar de fabrieksinstellingen."

Dus is het mogelijk dat de FBI de "reset" -aanbeveling verkeerd heeft geïnterpreteerd als "opnieuw opstarten"? Misschien, maar de bottom line is dat een fabrieksreset de enige zekere manier is om VPNFilter van een router te verwijderen.

Het goede nieuws: het is een vrij eenvoudig proces, meestal vereist het weinig meer dan een resetknop op de router zelf ingedrukt te houden. Het slechte nieuws: het is lastig, want als het klaar is, moet je al je netwerkinstellingen opnieuw configureren. Raadpleeg de handleiding van uw model voor hulp bij beide stappen.

Welke andere stappen moet u nemen?

We hebben contact gezocht met een paar van de bovengenoemde fabrikanten om hun advies te vragen voor de bestrijding van VPNFilter. Linksys reageerde als eerste en merkte op dat VPNFilter zichzelf "prolifereert door gebruik te maken van bekende kwetsbaarheden in oudere versies van routerfirmware (die klanten niet hebben bijgewerkt) en door gebruik te maken van standaard standaardreferenties."

Hun advies: Pas de nieuwste firmware toe (iets dat automatisch gebeurt in de nieuwere routers van Linksys) en voer vervolgens een fabrieksreset uit. Linksys beveelt ook aan het standaard wachtwoord te wijzigen.

Dat is ook ons ​​advies. Door je router te laten patchen met de nieuwste firmware en een uniek wachtwoord te gebruiken (in plaats van degene die uit de doos wordt geleverd), moet je VPNFilter en andere soorten routertargeting voor kunnen blijven.

Voor het eerst gepubliceerd, 29 mei om 11:33 uur PT.

Update, 30 mei om 08:27 uur PT: Volgens de PSA van de FBI met betrekking tot VPNFilter, is de reboot-aanbeveling niet bedoeld om de malware te verwijderen, maar om "hem tijdelijk te verstoren en de mogelijke identificatie van geïnfecteerde apparaten te helpen". Met andere woorden, de FBI werft u in een zoek-en-vernietig operatie. Onnodig te zeggen dat we de bovengenoemde firmware-update en fabrieksreset aanbevelen als u een van de betrokken routermodellen bezit.

 

Laat Een Reactie Achter