De malwarecampagne met de naam VPNFilter, die wereldwijd al ruim een half miljoen routers heeft veroverd, blijkt zich op veel meer apparaten te richten dan aanvankelijk gedacht. In de eerste berichten leek het te gaan om Linksys, MikroTik, Netgear en TP-Link, maar Cisco's beveiligingsafdeling Talos meldt nu ook apparaten van Asus, D-Link, Huawei, Ubiquiti, UPVEL en ZTE die zijn besmet.

Nieuwe modules

Het gaat de mensen achter de malware - Cisco vermoedt geen criminelen, maar staatshackers - om thuisrouters en NAS-kastjes. Talos heeft ook een nieuwe methode opgemerkt waarbij de aanvallers malafide content in webverkeer dat door de router wordt verwerkt te injecteren, zonder dat de gebruiker het weet.

Dat gebeurt met een nieuwe module, waarmee de aanvaller exploits aflevert via een MitM-aanval. Met andere woorden, netwerkverkeer wordt door een tussenpartij verwerkt, die malafide code toevoegt. Talos ontdekte ook een nieuwe module die ervoor zorgt dat de malware VPNFilter wordt verwijderd en meteen het apparaat onklaar maakt, een packet-sniffer voor een specifieke router (TP-LINK R600VPN) en eentje om ssl-verkeer te onderscheppen.

Enorm geavanceerd

Volgens Talos is het een gevaarlijke aanval: "Zo'n technologisch geavanceerde aanval hebben we nog niet eerder gezien. De slechteriken blijven innoveren en itereren met een modulaire aanpak. Als je eenmaal code kunt injecteren, kun je alles doen - wachtwoorden stelen, software installeren..." zegt Cisco Talos' baas Matt Wachinksi.

Het bedrijf waarschuwt na deze bevindingen dat de VPNFilter-aanval veel belangrijker is dan eind mei werd gedacht. Ook merkt Talos op dat zakelijke routers niet zijn opgemerkt in de aanval en dat hij zich richt op cosnumentenapparaten. Hier volgt de bijgewerkte lijst van belaagde apparaten die Talos publiceerde:

ASUS:

RT-AC66U (nieuw)

RT-N10 (nieuw)

RT-N10E (nieuw)

RT-N10U (nieuw)

RT-N56U (nieuw)

RT-N66U (nieuw)

D-LINK:

DES-1210-08P (nieuw)

DIR-300 (nieuw)

DIR-300A (nieuw)

DSR-250N (nieuw)

DSR-500N (nieuw)

DSR-1000 (nieuw)

DSR-1000N (nieuw)

HUAWEI:

HG8245 (nieuw)

LINKSYS:

E1200

E2500

E3000 (nieuw)

E3200 (nieuw)

E4200 (nieuw)

RV082 (nieuw)

WRVS4400N

MIKROTIK:

CCR1009 (nieuw)

CCR1016

CCR1036

CCR1072

CRS109 (nieuw)

CRS112 (nieuw)

CRS125 (nieuw)

RB411 (nieuw)

RB450 (nieuw)

RB750 (nieuw)

RB911 (nieuw)

RB921 (nieuw)

RB941 (nieuw)

RB951 (nieuw)

RB952 (nieuw)

RB960 (nieuw)

RB962 (nieuw)

RB1100 (nieuw)

RB1200 (nieuw)

RB2011 (nieuw)

RB3011 (nieuw)

RB Groove (nieuw)

RB Omnitik (nieuw)

STX5 (nieuw)

NETGEAR:

DG834 (nieuw)

DGN1000 (nieuw)

DGN2200

DGN3500 (nieuw)

FVS318N (nieuw)

MBRN3000 (nieuw)

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200 (nieuw)

WNR4000 (nieuw)

WNDR3700 (nieuw)

WNDR4000 (nieuw)

WNDR4300 (nieuw)

WNDR4300-TN (nieuw)

UTM50 (nieuw)

QNAP:

TS251

TS439 Pro

Andered QNAP NAS-apparaten die QTS software draaien

TP-LINK:

R600VPN

TL-WR741ND (nieuw)

TL-WR841N (nieuw)

UBIQUITI:

NSM2 (nieuw)

PBE M5 (nieuw)

UPVEL:

Onbekende modellen (nieuw)

ZTE:

ZXHN H108N (nieuw)