APT28 och den globala malwarekampanjen
Malware har infekterat en halvmiljon hemrouters från 54 länder som är enkla att infektera och kan bli utsatta för digitala attacker. Nu varnar säkerhetsforskare för en grupp av sofistikerade hackare som har samlat flera malware-infekterade routrar som gemensamt kan användas vid massiva cyberattacker över Internet, eller för att attackera nätverk över hela världen.
Storbritanniens fd spion chef för GCHQ Robert Hannigan har varnat för att nation state hacking hotar företagsnätverk och uppkomsten av marknadsplatser för dataintrång gjort problemet ännu större. Den tidigare Cyber spion chefen sa att problemet som orsakas av statliga angripare hade ökat under de senaste fem åren och blivit en fråga för företag och regeringar. Attacker som tillskrivs Ryssland har blivit mer sofistikerade, fräcka och till och med lite vårdslösa. Ryssland verkar pröva live-testning angrepp som planteringen av VPNFilter och bakdörrar på routrar.
Analys av malwarens effekt på routrar
Ciscos Talos Security Division varnade för en ny typ av malware som kallas VPNFilter, som har smittat minst en halv miljon hem och små företag routrar, inklusive vanliga routrar som säljs av Netgear, TP-Link, Linksys, MicroTik och QNAP Network Lagringsenheter. Talos anser att koden är utformad att fungera som en Multipurpose spion verktyg, och att ett nätverk av kapade routrar kan fungera som VPN och potentiellt gömma angriparens ursprung och utföra skadliga aktiviteter. Det innebär att de kan stjäla website uppgifter och data och gå mot nätverk som är svåra att försvara.
Hur VPNFilter infekterar sina mål är ännu inte klart. Men enkla hemroutrar har ofta sårbarheter som gör det enkelt för hackare att ta över dem och det görs sällan programuppdateringar. Cisco säger att det är den ryska regeringen och APT28 som troligtvis står bakom kampanjen och enligt Talos blogg så har kampanjen slagit kraftigt mot Ukrainska devices.
