2018-05-25 10:58

Ny attack på småskalig utrustning

Denna nya attack påminner om storskaliga bot-nät, såsom Mirai, men denna gång förekommer spekulationer om att gärningsmännen bakom är knutna till hackergrupper som är statsunderstödda vilket gör händelsen mer intressant men också mer allvarlig. Sårbarheten som utnyttjas ligger i VPNFilter som är persistent även vid omstart. Att hotet är allvarligt framgår bland annat av följande utdrag från artiklarna "The behavior of this malware on networking equipment is particularly concerning, as components of the VPNFilter malware allows for theft of website credentials and monitoring of Modbus SCADA protocols." och ”Cisco’s report comes five weeks after the US Department of Homeland Security, FBI, and the UK’s National Cyber Security Center jointly warned that hackers working on behalf of the Russian government are compromising large numbers of routers, switches, and other network devices belonging to governments, businesses, and critical-infrastructure providers”.

Attacken påminner om följande:

  • attacker mot infrastrukturkomponenter som normalt sett inte omfattas av vanliga säkerhetshöjande åtgärder såsom virusskydd, extra säkerhetsprogram, etc. är primärmål för de som vill utföra IT-angrepp
  • bot-nät är numera att betrakta som Modus operandi
  • att small-office utrustning ofta har dåliga säkerhetsinställningar eller dåligt skydd
  • att tänka på att storskaliga attacker kan leda till storskaliga konsekvenser

Det är viktigt att åtgärda standardinställningar som defaultlösenord m.m. även på denna typ av utrustning. Det är även viktigt att genomföra en konfiguration av utrustningen som bygger på verksamhetens behov och tillämpliga säkerhetskrav. Sist men inte minst så ska utrustningen hållas uppdaterad, men glöm inte att noga läsa noterna som följer med uppdateringar så att verksamheten vet hur utrustningen beter sig.

Läs mer här:

https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/

https://arstechnica.com/tech-policy/2018/04/russian-hackers-mass-exploit-routers-in-homes-govs-and-infrastructure/