Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cisco treft malware aan op routers van onbekend aantal Nederlanders

Cisco heeft malware aangetroffen op de routers van een onbekend aantal Nederlanders. De malware staat wereldwijd op mogelijk een half miljoen apparaten. De aanvallers kunnen met de malware de router onklaar maken en zo de internetverbinding van slachtoffers onderbreken.

Cisco bevestigt tegen de NOS dat het de malware heeft waargenomen op routers en nas-systemen in Nederland, maar kan niet zeggen om hoeveel getroffenen het gaat. Het gaat om de malware die Cisco de naam VPNFilter heeft gegeven. Op de site van Cisco's beveilingstak Talos staat meer informatie over de malware.

De malware is in staat om de routers van gebruikers onklaar te maken, waardoor mensen in theorie zonder internetverbinding kunnen komen te zitten. Gebruikers kunnen dat voorkomen door hun routers naar fabrieksinstellingen te herstellen, waardoor het gedeelte van de malware dat routers onklaar kan maken, tijdelijk niet werkt.

Cisco heeft contact opgenomen met de makers van apparaten en details van de malware gedeeld. Omdat de malware al op een half miljoen apparaten staat, heeft het bedrijf details naar buiten gebracht. De Oekraïense overheidsorganisatie SBU gelooft dat de Russische overheid achter de aanval zit, mogelijk voor een aanval tijdens de Champions League-finale zaterdag, meldt Reuters. De malware zou overeenkomsten hebben met malware die eerder uit Rusland kwam. Ook Cisco vermoedt dat de Russische staat achter de aanval zit.

Linksys Mikrotik Netgear Qnap TP-Link
E1200 1016 DGN2200 TS251 R600VPN
E2500 1036 R6400 TS439 Pro  
WRVS4400N 1072 R7000    
    R8000    
    WNR1000    
    WNR2000    

Door Arnoud Wokke

Redacteur mobile

23-05-2018 • 19:57

102 Linkedin Google+

Submitter: Drawer

Reacties (102)

Wijzig sortering
Ook goed om te weten is dat de second stage van de infectie plaatsvindt a.d.h.v. EXIF-metadata in een foto van PhotoBucket of Toknowall.com nadat de first stage infectie via (vermoedelijk) bekende exploits heeft plaatsgevonden.

Hierbij is onderaan de post van Cisco op de site gelinkt in het nieuwsbericht meer info te vinden over de details van de malware. Waaronder deze links:
ASSOCIATED WITH THE 1ST STAGE

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com
Het is dus zeker de moeite waard om ook nog even door te klikken.

edit
Gewijzigd na terechte opmerking van @the_stickie over mijn verwarring mbt de links relatie tot de stages.

[Reactie gewijzigd door mrdemc op 23 mei 2018 21:52]

Het is de second stage die uit die exifs komt (die door de eerste wordt gedownload en in RAM terecht komt). De first stage komt terecht op de apparaten door een hele lijst apparaat-specifieke kwetsbaarheden (die Talos niet helemaal uitgevlooid heeft)

Nog beter dan deze url-lijst is wellicht de snort profielen die Talos beschikbaar heeft gesteld.
Ik kan iedereen die specifieke vragen heeft over deze malware aanraden door te klikken naar het in het artikel gelinkte rapport van Talos, in plaats van de vraag hier (half) te laten beantwoorden door iemand die wél die moeite heeft genomen.
Leerzaam!
Hoppa en gelijk weer het bekende vingertje naar rusland zonder ook maar eenig bewijs dat rusland er achter zit.
De enige serieuze aanwijzing is dat de Amerikanen dat niet nodig hebben omdat die gewoon de officiele backdoor gebruiken. Net is er weer een ontdekt op D-Link (Cisco): https://www.bleepingcompu...n-d-link-dir-620-routers/

Nu weten we meteen waarom Kaspersky in het westen zo hard geweerd wordt: die zijn veel te goed in het ontdekken van dit soort dingen. Stuxnet hadden ze ook al veel te vlug gevonden.
De enige serieuze aanwijzing is dat de Amerikanen dat niet nodig hebben omdat die gewoon de officiele backdoor gebruiken. Net is er weer een ontdekt op D-Link (Cisco): https://www.bleepingcompu...n-d-link-dir-620-routers/

Nu weten we meteen waarom Kaspersky in het westen zo hard geweerd wordt: die zijn veel te goed in het ontdekken van dit soort dingen. Stuxnet hadden ze ook al veel te vlug gevonden.
Kaspersky is imho een van de beste AV bedrijven tot nu toe. Ik heb de Total Security pakket nu al 3 jaar en heb geen problemen gehad. Mining scripts worden gelijk geblokkeerd en gebruik van de webcam wordt gemonitord (welke software er gebruik van maakt en indien nodig, toegang blokkeren.

Ik snap daarom ook niet waarom Kaspersky geweerd moet worden, aangezien zij ook heel veel tijd insteken in het vinden van virussen/backdoors e.d. Puur omdat het Russisch is, wil het nog niet alles zeggen hè ;) We kennen nog allemaal het Adobe Flash disaster, welke zo lek is als een mandje, Amerikaans is én een half werkte :p
Windows zou dan ook wel backdoor hebben en ik denk MacOS ook.

OT:
Dit gaat dus om de huis- tuin- en keukenrouter, niet de Cisco Catalyst series. Mss een tip om dan te zetten dat het de consumenten series betreft, zodat er geen verwarring ontstaat.
Windows zou dan ook wel backdoor hebben en ik denk MacOS ook.
Apple en de Amerikaanse overheid maken net iets te veel ruzie, voor dat om waarschijnlijk te zijn. En ook Microsoft steunt Apple daarin.

Een "officiele" backdoor is voor desktop OS ook minder nuttig. Veel te makkelijk om de gebruiker te verleiden om malware te installeren. Vanwege inherente redenen waarvoor je een desktop gebruikt is deze veel minder makkelijk te sandboxen dan een mobiel OS.

Ook zitten er doorgaans geen maatregelen op als: 10x fout wachtwoord = wipe.
Het feit dat Apple en de overheid ruzie maken zegt niet alles: Apple en Samsung komen ook niet op elkaars verjaardagsfeestje, hebben elkaar de tent uit geprocedeerd maar ondertussen sluiten ze welnee ene miljoenendeal na de andere (waarbij met name Samsung onderdelen levert aan Apple)... :)
Die vergelijking is niet sterk. Apple en Samsung zijn tot elkaar veroordeeld want er is geen tweede club zoals Apple die zoveel hardware koopt en andersom kan Apple niet even een andere leverancier vinden die de kwantiteit en kwaliteit kan leveren die Samsung maakt. Maar beiden willen de vuile was niet buiten hangen en dat kunnen ze samen dan ook prima regelen – als ze dat willen.

De overheid wil van alles weten en van alles afdwingen, strijdt tegen andere overheden etc, etc en daar heeft Apple in het algemeen bar weinig belang bij. Ja, ook nu zijn ze tot elkaar veroordeeld maar niets houd ze tegen elkaar publiekelijk de tent uit te vechten, zwart te maken etc.
Apple heeft het geld om in China, Korea of welk ander land dan ook een fabriek uit de grond te stampen die voor Apple de benodigde materialen kan maken. Natuurlijk is daar enige tijd voor nodig, maar sinds Apple begonnen is met hun IPhones is er geen enkel teken wat er op wijst dat Apple ook maar het kleinste stapje die kant op heeft gemaakt... :)
Apple en anderen proberen zoveel mogelijk patenten en kennis van hoe je een chip bouwt in handen te krijgen, maar anderzijds kosten te drukken en risico's te mijden. Zelf een chip ontwikkelen en daarvoor desnoods het bedrijf wat dat doet opkopen, zodat het niet beschikbaar komt voor de concurrentie, maar niet miljarden investeren in een chip-fabriek, want dat heeft weinig toegevoegde waarde en relatief grote nadelen.

Maar wat is je punt, wat zegt dit nog over of Apple een achterdeurtje voor de NSA zou kunnen hebben of niet?
Er werd geroepen dat Apple en de regering te veel ruzie hebben om door 1 deur heen te kunnen.
Ik heb het voorbeeld van Apple en Samsung gebruikt om aan te tonen dat ondanks dat er ruzie is tussen de partijen op het ene vlak, er wel degelijk samenwerking mogelijk is op andere vlakken.

Dus ja, het kan wel degelijk zo zijn dat Apple een achterdeurtje heeft voor de NSA. Hoewel ik denk dat die kans wel klein is. :)
Publiekelijk heeft Apple ruzie met de overheid daar. Volgens de wet moeten ze voldoen aan geheime verzoeken van geheime diensten die worden goedgekeurd door geheime rechtbanken. 1+1=...

[Reactie gewijzigd door Origin64 op 24 mei 2018 00:47]

Als Apple achterdeurtjes in haar OS'en zou bouwen voor de overheid, zouden ze die heisa niet hebben. Tuurlijk, in theorie kan alles, maar in de praktijk blijkt het verdomd lastig om zulke dingen geheim te houden, kijk maar naar Snowden en Manning. Als Amerikaanse overheid wereldwijd in macOS of iOS kon kijken, én het ook echt doet, is dat erg moeilijk stil te houden. Zeker op de lange termijn want ze verraden zichzelf dan, als klokkenluiders het al niet doen.
Als er een tool is waarmee de CIA of NSA toegang kunnen krijgen, betekent niet per se dat de FBI of politie of in het algemeen 'de overheid' die ook heeft. Misschien is het het wel waard om dat geheim te houden. De tool hoeft niet eens door Apple gemaakt te zijn. Het kan gewoon zijn dat ze het lek waar die tool van gebruik maakt niet mogen patchen. Dan moeten er wel een paar werknemers zijn die heel goed opletten om dat lek te vinden en de juiste vragen te stellen en tot de juiste conclusie te komen.

[Reactie gewijzigd door Origin64 op 24 mei 2018 16:03]

Een lek wat er per ongeluk in zit wordt een zero day genoemd en een achterdeur die er bewust in zit een backdoor.

Zero day's zijn vaak maar bij een deel van de gebruikers van toepassing, soms zelfs maar bij een extreem specifieke combinatie van instellingen. Zo was er in Wordpress een lek waardoor onbevoegden een post konden aanpassen – maar alléén de eerste 'Hello World' post die er standaard in staat na installatie. Daarom zijn zero day's in de praktijk meestal niet echt handig voor drieletterige diensten.

Het idee wat je oppert zou een soort combinatie van de twee zijn: Een zero day die niet gepatcht mag worden. Niets is onmogelijk maar een zero day is lang niet altijd echt bruikbaar. En zelfs als Apple het niet door heeft is de kans aanwezig dat het toch gepatcht wordt bijvoorbeeld door een update.
Probleem natuurlijk is dat de Amerikanen hun geheime rechtspraak hebben, met haar verplichtingen en de Russen net zo goed. Imo zou technologie van beiden kanten niet te vertrouwen zijn als ze naar de overheid dienen te luisteren. Net zoals de Chinese niet. Je houdt op zich niet veel over.

Als Kaspersky in Rusland -kan- opereren zijn ze iig corrupt, punt. Net als elk ander bedrijf.
Dat heb je overal al dan niet officieel. Als de AIVD langskomt en zegt dat je je mond moet houden, vraag je niet "wat anders?".
Het bedrijf waar ik voor werk heeft een kantoor in Rusland, maar ook in de VS, UK, Malaysia, UAE, Saudi, Ukraine, South America, Central America en Canada.
Wil je dan gelijk zeggen dat het bedrijf waar ik voor werk ook corrupt is? Alleen om landen zoals Kazakhstan, Azerbaijan, etc. etc en de rest waar we opereren, te kunnen voor zien van de inspecties wat zij nodig hebben voor de gas en olie leidingen om die in productie te houden?

Dat is alles over 1 kam scheren...

[Reactie gewijzigd door DarkBlazer op 24 mei 2018 16:47]

k snap daarom ook niet waarom Kaspersky geweerd moet worden, aangezien zij ook heel veel tijd insteken in het vinden van virussen/backdoors e.d. Puur omdat het Russisch is, wil het nog niet alles zeggen hè ;)
Dus omdat ze goed in hun werk zijn, kunnen ze niet onder invloed van een al te bemoeizuchtige overheid staan?
We kennen nog allemaal het Adobe Flash disaster, welke zo lek is als een mandje, Amerikaans is én een half werkte :p
Ja, en Wordpress heeft ook zo zo'n portie zero day's gehad – om nog maar eens een totaal andere zijstraat te noemen. Alsof dat alles zegt. Of is dat ook bewust gedaan volgens jou?
Windows zou dan ook wel backdoor hebben en ik denk MacOS ook.
'Denk ik' is je sterkste argument?

Het is te kort door de bocht om vergelijkingen met Flash te maken. De firmware van een router is een zeer bescheiden stukje software in vergelijking met Flash, waar je in principe een compleet, volwaardig operating system mee zou kunnen schrijven. Het is een skateboard vergelijken met een vliegdekschip.

[Reactie gewijzigd door breakers op 24 mei 2018 09:48]

Windows zou dan ook wel backdoor hebben

Volgens de Snowden onthullingen niet in ieder geval. Juist uit die onthullingen bleek de NSA vrijwel niet in staat een met bitlocker vergrendelde PC te kunnen lezen. Enkel draaiende systemen met een handjevol slechte TPM chips bleek beperkt kwetsbaar. Dus kennelijk geen effectieve backdoor ...

Merk ook op dat de befaamde backdoor in het random algorithme waar iedereen over praat door *Microsoft* als eerste ontdekt was. Dus kennelijk had het security team de memo toen (ook) niet gekregen :) Dus echt dikke vriendjes zijn die ook niet.

Tenslotte is de broncode van Windows door tienduizenden mensen ingezien zowel binnen als buiten Microsoft. Als er een backdoor in had gezeten, was dat al lang gelekt.

Ofwel, verhalen over backdoors in Windows vallen mooi in het vakje 'Broodje Aap™'.
Catalyst series apparaten zijn voornamelijk switches. Geen routers.
De routers hebben verschillende namen, de series die in dit verhaal getroffen zijn maken deel uit van de Smart Business serie routers. Gestart als rebranded Linksys routers [ en switches ]
Sinds wanneer is D-Link van Cisco? Volgens Wiki is het nog steeds op zichzelfstaand en daarbij gewoon Taiwanees. Dus dan zou de Taiwanese overheid op verzoek van de USA officiële backdoors laten plaatsen?
Excuses, ik was in de war met Linksys.
Linksys is ook al flink wat jaar (5) niet meer van Cisco, maar van Belkin. Kan overigens best zijn dat de linksys modellen die getroffen zijn wel uit de periode komen dat Linksys van Cisco was.
In jouw voorbeeld was Kaspersky niet "snel": de genoemde D-Link router/AP is zelfs al lang niet meer leverbaar (laatste versie 2011). De kwetsbaarheden zitten in services (admin panel, telnet) die standaard niet exposed zijn en eigenlijk ook niet exposed zouden mogen worden. De manual maakt overigens melding van het bestaan van een verborgen support account (die naam kan je niet kiezen als extra gebruikersnaam)...

Veel gedoe om weinig, en voor mij zeker geen argument om het plausibel te maken dat dit een overheidsgerelateerde backdoor is. Als die zou bestaan is er geen enkele reden waarom die niet "exposed by default" zou zijn.

D-Link is overigens een Taiwanees bedrijf (zonder verband met Cisco). Het zou me verbazen mochten die backdoors voor de USA implementeren zoals jij doet uitschijnen. Feit is wel dat D-Link niet bepaald bekend staat om een strak security beleid, eerder om ignorantie.
Om moe van te worden inderdaad. Er hangen nogal wat belangen vanaf, waardoor alles geoorloofd lijkt te zijn (ongefundeerde beschuldigingen - naar elkaar).
De Oekraïense overheidsorganisatie SBU gelooft dat de Russische overheid achter de aanval zit, mogelijk voor een aanval tijdens de Champions League-finale zaterdag, meldt Reuters.
Het is weinig verrassend te noemen dat een Oekraïense overheidsorganisatie Rusland verdenkt. Niet dat ze Rusland niet mogen verdenken, maar gezien de relatie tussen deze twee landen, lijkt mij berichtgeving (afkomstig uit Oekraïne/Rusland) omtrent zulke onderwerpen weinig betrouwbaar, laat staan objectief (als deze door een van de twee naar buitenkomt). Daarnaast lijkt mij een mogelijke aanval tijdens een Champions League-finale niet bepaald logisch. Wat heeft Rusland hier in vredesnaam aan?
De malware zou overeenkomsten hebben met malware die eerder uit Rusland kwam. Ook Cisco vermoedt dat de Russische staat achter de aanval zit.
Vermoedens zouden niet leidend mogen ze bij een beschuldiging. Kom met hard bewijs of zwijg erover in het nieuws. Natuurlijk is het lastig om met bewijs openbaar te komen, maar daardoor is het zeer lastig te verifiëren wie er nu gelijk heeft (de waarheid ligt vermoedelijk in het midden).

[Reactie gewijzigd door JKP op 23 mei 2018 21:12]

Wat heeft Rusland hier in vredesnaam aan?
Even afgezien van Rusland, de vraag is waarschijnlijk eerder wat heeft een willekeurige niet-Europese staat hieraan?

Er zijn een aantal doelen die zo'n aanval kan bereiken.
1) Puur economisch.
Er kijken zo'n 360 miljoen mensen en daar betalen sponsoren grif voor (miljoenen!). De directe sponsoren van UEFA, maar ook verkopen de verschillende zenders ook nog eens reclames. Alles dat zo'n finale verstoord, kan ook zijn weerslag hebben op de waarde van a) de wedstrijd b) de sponsoren.
Het zou helemaal mooi zijn als een aanvaller nog wat extra schade kan aanrichten als er allemaal dure rechtszaken zouden gaan lopen rondom een totaal verstoorde wedstrijd

2) Psychologische dominantie
Fysieke aanvallen richten zich doorgaans op grote doelen, om te laten zien hoe machtig de aanvallers zijn. Cyberaanvallen kunnen dezelfde dominantie laten zien. De website van de tandarts op de hoek DDoSsen is niet zo spannend. Maar een bank DDoSsen, of een andere site, daarmee creeer je veel aandacht. Het geeft de indruk dat de daders machtig zijn en overal kunnen toeslaan.

3) Psychologische disruptie
We leven in een complexe wereld en het aanwakkeren van angst en twijfel is een klassieke techniek. Voor de mensen die de strijd Microsoft SCO vs. Linux nog hebben meegemaakt. FUD. Verstoren van zo'n evenement zorgt voor een hoop FUD. Het geeft de indruk dat Europese overheden en instanties machteloos staan en hun zaakjes niet op orde hebben.

4) Rookgordijn
Terwijl iedereen op Twitter aan het klagen is over de Champion's League en zich druk maakt om het gebrek aan spelletje met de bal... dat is het moment om andere digitale grappen uit te halen, die minder opvallen. Systeem- en netwerkbeheerders zullen druk bezig zijn met het herstel van deze dienst, maar welke aktiviteiten worden daardoor onzichtbaar?
Of politiek: terwijl mensen de dagen erna bij het koffieapparaat praten over het debacle tijdens de Champion's League, welke politieke aktie hebben ze het niet over?

Zouden al deze doelen worden gehaald? Waarschijnlijk niet. Maar het is een vrij lage investering voor vooral 3 en een beetje van 2. In het geval van Rusland zouden ze nog wel wat mooie naijl-effecten kunnen krijgen doordat Gazprom een sponsor is die gaat stoppen. Die kan dan nog mooi een keiharde rechtszaak beginnen, maar daar sla ik misschien te ver door. In dit geval is 4 het minst waarschijnlijk.

[edit]
Als je het specifiek op Rusland vs. Oekraiene zou betrekken, want in dat land lijkt de malware-besmetting toch echt het sterktst, dan valt 1 af. De finale is zelf in Kiev, geloof ik, dus dan gaat het veel meer om 2 en 3. Maar gezien de situatie in oostelijk Oekraiene, dat een conflictzone is, is 4 dan ook nog wel een serieuze mogelijkheid. Terwijl autoriteiten afgeleid zijn door het gedoe rondom de CL Finale, zou Rusland onder de radar kunnen opereren op andere vlakken.

Nogmaals: ik zeg helemaal niet dat dit zo is, of dat het uberhaupt een aktie van een statelijke actor is, maar vooral probeer ik te duiden dat er wel degelijk motieven zijn te bedenken.

[Reactie gewijzigd door Keypunchie op 23 mei 2018 21:47]

Vermoedens zouden niet leidend mogen ze bij een beschuldiging. Kom met hard bewijs of zwijg erover in het nieuws. Natuurlijk is het lastig om met bewijs openbaar te komen,
Wat is het nou, moeten ze met bewijs komen, of is het niet mogelijk om met bewijs te komen? Als je twee keer "ja" zegt, dan zeg je in feite ook meteen dat het überhaupt niet is toegestaan om een beschuldiging te uiten. Met andere woorden, we moeten de dader er zonder meer mee weg laten komen. En gegarandeerd niet gestraft worden voor je misdaden heeft nou niet meteen een afschrikwekkend effect natuurlijk.
daardoor is het zeer lastig te verifiëren wie er nu gelijk heeft (de waarheid ligt vermoedelijk in het midden).
Hoe kan de waarheid in het midden liggen!? Leuk cliché, maar in deze context slaat het echt helemaal nergens op.

De Oekraïense overheid zegt dat het Rusland was, Cisco zegt dat het Rusland was, dus dan nemen we het gemiddelde van "Rusland" en "Rusland" en dan hebben we het onomstotelijke bewijs dat het Rusland was...? (Gegeven de rest van je post is dit vast niet wat je in gedachte had.)

De Oekraïense overheid zegt dat het Rusland was, de Russische overheid zegt dat het Oekraïne was (geen idee of ze dat al gezegd hebben, maar zo niet, dan volgt dat ongetwijfeld binnenkort), dus de waarheid ligt in het midden... ehm, Rusland en Oekraïne hebben samengewerkt om dit virus te schrijven? Ja inderdaad, die waarheid in het midden klinkt heel aannemelijk! :X

Is daarmee bewezen dat het ook echt Rusland was? Nee, dat niet, maar gaan miepen dat we zelfs niet eens naar Rusland mogen wijzen tenzij er waterdicht bewijs is (Poetin die zichzelf uitlevert aan het Internationaal Strafhof en onder ede verklaart schuldig te zijn; hoe zien mensen "bewijs" precies voor zich in een zaak als dit!?) slaat echt helemaal nergens op. Ze hebben absoluut de middelen en de motivatie om zoiets te doen, dus als experts dan zeggen dat ze (op basis van materiaal dat ze niet openbaar kunnen maken) een gegronde verdenking hebben, dan is het absurd om dat meteen als propaganda te bestempelen.
Je kunt het heel makkelijk 180 graden omdraaien: USA heeft het gedaan, en hoe meer het op "Russisch" lijkt, hoe groter de kans dat het niet Russisch is.

En Trump is minstens zo gevaarlijk en wellicht zelfs gevaarlijker als Putin. Vooral omdat hij onze "vriend" is. Met zulke vrienden heb je geen vijanden nodig.
Klopt. Ik zou het algemener steller: overheden zijn niet betrouwbaar en nemen een loopje met de rechtsstaat. De geschiedenis is daar een bewijs van.

Heel recent: Snowden heeft bewezen dat de NSA bij iedereen aant jet inbreken was, zelfs bij eigen burgers en natuurlijk de rest van de wereld.

Belangrijke nuance is dat onderzoeksrechters (dus een fundamenteel onderdeel van onze rechtsstaat en bijgevolg democratie) werden gebypast, ze kwamen er niet aan te pas. De NSA opereerde in het diepste ‘geheim’.

Heel concreet wil dat zeggen dat mensenrechten worden geschonden en onze data wordt misbruikt op het hoogste niveau waar niemand echt vat op heeft. Geen Amerikaan heegt op een NSA beleid gestemd, maar het is er wel gekomen zonder dat de burger en mensheid echt wist dat het bestond. Klokkenluider Snowden heeft dit in de openbaring gebracht.

Sisco is geen kleine speler. Als zelfs Sisco vatbaar is voor malware wil in mijn ogen zeggen dat elke fabrikant vatbaar is. Sisco komt nu publiek naar buiten met dit nieuws maar je besef dat niet elke fabrikant dit doet. Omdat ze het niet beseffen of omdat ze het negatieve nieuws geen aandacht willen geven.

Malware die uw device onschadelijk maakt is heel zichtbaar maar malware die undercover gaat en elke data vergaard voor een andere reden is ook ‘gevaarlijk’ voor uw privacy of voor concrete economische belangen zoals patenten of broncode. Hoe zeker zijn we dat onze aparaten malware vrij zijn? Ik heb alvast geen ant-virus draaien op mijn tv, smartphone of auto.

Rusland of niet, cyber aanvallen is iets waar we moeten met leren leven dat het altijd aanwezig is en dat zelfs een rechtsstaat geen garantie geeft dat uw eigen overheid geen geheim programma heeft, laat staan een andere overheid. Gevoed door belangen allerlei.

(Politieke stemming sturen, imagoschade aan partij x, publiekenopinie misleiden, rakettechnologie of r&d stelen tot reclameinkomsten van een WK saboteren :) )

[Reactie gewijzigd door Coolstart op 24 mei 2018 00:29]

Je kunt het heel makkelijk 180 graden omdraaien: USA heeft het gedaan, en hoe meer het op "Russisch" lijkt, hoe groter de kans dat het niet Russisch is.

En Trump is minstens zo gevaarlijk en wellicht zelfs gevaarlijker als Putin. Vooral omdat hij onze "vriend" is. Met zulke vrienden heb je geen vijanden nodig.
Met als verschil dat USA Nederland voorziet van second strike capability via kernwapens die hier in Nederland zijn gestationeerd. USA levert ook bijvoorbeeld de Patriot luchtafweer en natuurlijk de bekende vliegtuigen.

Aan de andere kant heb je Rusland waarbij het opvallend is dat er momenteel enorm veel geld wordt gepompt in het moderniseren van het leger aldaar, inclusief nucleaire wapens die geschikt zijn voor kortere doelen tot 5000 km (lees west Europa). Vandaag was er weer een test met 4 rakketten met 9000km range vanaf een onderzeeboot. Ook valt op dat wanneer je naar een kaart kijkt van alle bekende luchtafweer (s400) dat 75% aan de grens van Europa staat, 15% aan de grens met China en 5% aan de kant van USA. Je hoeft geen militair strateeg te zijn om je wenkbrauwen te fronzen bij het huidig Russisch beleid. Dat lijkt namelijk in grote mate zich te richten op Europa.

[Reactie gewijzigd door sdk1985 op 23 mei 2018 23:30]

Het is toch vrij logisch dat als Europa zo vijandelijk doet tegenover Rusland, dat juist daar verdedigingsmechanismen komt. Hoef je inderdaad geen militair strateeg voor te zijn. Zo kun je alles wel omdraaien. Laten we niet vergeten wat voor spelletjes Europa met Oekraïne speelt.
Het is toch vrij logisch dat als Europa zo vijandelijk doet tegenover Rusland, dat juist daar verdedigingsmechanismen komt. Hoef je inderdaad geen militair strateeg voor te zijn. Zo kun je alles wel omdraaien. Laten we niet vergeten wat voor spelletjes Europa met Oekraïne speelt.
Oekraine kan niet de aanleiding zijn simpelweg omdat dit al veel langer speelt dan Oekraine. Rusland is al jaren bezig met de hervorming van het leger. De korte oorlog met Georgie was een eerste grote test, dat was in 2008. Het testen van o.a. het Nederlandse luchtruim begon ook omstreeks 2010:
2010
20 juni: Twee F-16 onderscheppen een passagiersvliegtuig dat vanuit het oosten naar het westen over Nederland wilde vliegen.
16 September: 2 Russische bommenwerpers van het type TU-95 MS naderen het Nederlandse luchtruim. De Duitse collega's waren eerder ter plaatse en namen het over.
19 Oktober: Twee F-16's onderscheppen twee Russische bommenwerpers van het type TU-95 MS die boven Nederlands luchtruim vliegen. Er kon geen contact gemaakt worden. Duitse vliegtuigen nemen het later over.
2011
20 januari: Twee Russische bommenwerpers van het type TU-95 MS zijn in de nacht van woensdag op donderdag onderschept door twee Nederlandse F-16's. De Russen werden op dat moment al in de gaten gehouden door de Noorse en Deense luchtmacht.
2 maart: Deense vliegtuigen hielden de Russische Bear T95’s al in de gaten. Bij de grens van het gebied waar Nederland binnen de NAVO verantwoordelijk voor is, zetten de Nederlandse F-16's de begeleiding voort. De Russische vliegtuigen vlogen ten noordwesten van Leeuwarden richting Engeland, waarna de Britse luchtmacht de begeleiding overnam.
20 mei : Geen radiocontact met verkeersvliegtuig dat van Barcelona naar Stockholm vloog. Radiocontact kon worden hersteld.
7 juni : Twee Russische toestellen van het type Tupolev Tu-95 (Bear) worden boven de Noordzee onderschept.
17 augustus : Twee Russische toestellen van het type Tupolev Tu-95 (Bear) worden wederom boven de Noordzee onderschept. Ook nu bogen de Russische vliegtuigen na de onderschepping af richting het westen, waar jachtvliegtuigen van de Royal Air Force de achtervolging overnamen.
11 oktober : In de middag worden twee Russische bommenwerpers Tupolev Tu-95 onderschept. De Russen waren het Nederlandse luchtruim binnengevlogen zonder hun identiteit bekend te maken. Nadat ze het Nederlandse luchtruim hadden verlaten, hebben Deense vliegtuigen de taak overgenomen. Voordat de Russische Bear T-95 H vliegtuigen het luchtruim bereikten waarvoor Nederland binnen de NAVO verantwoordelijk is, hielden twee Engelse jachtvliegtuigen de Russen al in de gaten.[2]
2012
29 augustus: 2 F-16-gevechtsvliegtuigen zijn de lucht ingegaan om een Airbus-passagiersvliegtuig uit het Spaanse Malaga te onderscheppen waarmee geen radiocontact kon worden gemaakt. Tijdens de landing was het radiocontact alweer hersteld.[3]
11 september: Nederlandse F-16's van vliegbasis Volkel hebben twee Russische bommenwerpers onderschept. De toestellen van het type Tupolev Tu-95 vlogen boven de Noordzee zonder hun identiteit bekend te maken.[4]
2013
21 maart: Twee Russische bommenwerpers van het type TU-95 MS worden boven de Noordzee onderschept door twee F-16-gevechtsvliegtuigen met hulp van Britse gevechtstoestellen.
10 september: Twee Russische bommenwerpers van het type TU-95 naderen het Nederlandse luchtruim en twee F-16-gevechtsvliegtuigen worden vanaf luchthaven Volkel ingezet om de bommenwerpers te onderscheppen.
2014
24 maart: Twee F-16-gevechtsvliegtuigen hebben vanaf de vliegbasis Volkel een Amerikaans vrachtvliegtuig onderschept dat op weg was naar Schiphol. Het toestel had vooraf geen toestemming gevraagd om door het Nederlandse luchtruim te vliegen, terwijl dat vanwege de nucleaire top in Den Haag wel verplicht was. Boven de Noordzee legden de F-16's contact met de piloten, om het vliegtuig vervolgens het Nederlandse luchtruim uit te leiden. Daarna is het vliegtuig zelf naar Frankfurt gevlogen.
23 april: Twee Russische bommenwerpers van het type TU-95 naderen het Nederlandse luchtruim en twee F-16-gevechtsvliegtuigen worden vanaf luchthaven Volkel ingezet om de bommenwerpers te onderscheppen. Ze worden verder begeleid door Deense en Britse gevechtstoestellen.
12 augustus: Een privéjet uit München [callsign N65LJ] op 8900 meter hoogte zat op de verkeerde frequentie, waarna de landelijke luchtverkeersleiding in Maastricht een verzoek voor contact via vliegbasis Leeuwarden heeft gedaan. Twee F-16-gevechtsvliegtuigen legden snel visueel contact waarna de piloot op de juiste frequentie weer verbinding met de verkeersleiding had.
21 augustus: Twee Nederlandse F-16-gevechtsvliegtuigen zijn twee keer in actie gekomen omdat twee Russische bommenwerpers boven Nederlands gebied vlogen. De Russische toestellen van het type TU-95 MS Bears vlogen rond 14.45 uur het meest noordelijke deel van het Nederlandse luchtruim binnen onder escorte van twee Deense F-16's. Nadat de Nederlandse straaljagers de Russische toestellen bij het verlaten van het Nederlandse luchtruim hadden overdragen aan de Britse luchtmacht, maakten ze een bocht en vlogen ze opnieuw Nederlands gebied binnen. De Nederlandse F-16's namen de begeleiding vervolgens weer over van de Britten. Enige tijd later verlieten de Russische toestellen het Nederlandse luchtruim.
Rusland heeft deze trend doorgezet en is momenteel heel hard bezig om met name het nucleaire arsenaal flink te vernieuwen. Er lopen minstens 4 projecten waar Rusland open over communiceert waaronder een raket die het raketschild kan ontwijken door te zigzaggen, een raket voor 5000KM, een lanceerbasis op een verrijdbare trein en AI gestuurde mini onderzeeboten. Let op dit betreft alleen manieren om een nucleaire lading op het doel te krijgen...

Verder is er bijvoorbeeld al een nucleaire schijnaanval op Stockholm uitgevoerd.
Two Tupolev Tu-22M3 strategic bombers escorted by four Sukhoi Su-27 jet fighters crossed the Gulf of Finland and came within 24 miles of Swedish territory off the island of Gotland, 100 miles from Stockholm, on March 29, 2013.

They veered off after apparently completing dummy bombing runs against targets believed to include a military base in southern Sweden and the headquarters of Sweden’s signals intelligence agency outside Stockholm.
Meest schokkende:
The incident caused controversy in Sweden at the time because the Swedish military was caught unprepared and had to rely on Danish airforce jets, operating as part of a Nato’s Baltic air policing mission, to respond.
Dat was overigens 2013, dus ook voor het hele Oekraine gebeuren.

Dat is verder ook helemaal niet ingewikkeld. Zowel Georgie als Oekraine zien meer heil in het aanhalen van de banden met Europa, dan met het buurland Rusland. Rusland is het daar niet mee eens. Ergens begrijpelijk want als beide landen bij NAVO zouden komen dan zit NAVO ineens erg dicht op de grens.

Vergeet ook niet dat Rusland in betere tijden half bij de NAVO zat. Er is rond 2011 zelfs samen geoefend in wargames (Vigilant Skies). Echter na de annexatie van de Krim was de maat vol en heeft de NAVO de stekker eruit getrokken en is de koude oorlog weer echt gestart. Dit is niet iets waar de grote boze EU op uit was. Rusland bouwt simpelweg al jaren en jaren aan een terugkomst op het wereldtoneel. Dat botst met de uitbreiding van de EU.

[Reactie gewijzigd door sdk1985 op 24 mei 2018 03:24]

Met als verschil dat USA Nederland de USA voorziet van second first strike capability in Europa via kernwapens die hier in Nederland zijn gestationeerd. USA levert ook bijvoorbeeld de Patriot luchtafweer en natuurlijk de bekende vliegtuigen.
imo

[Reactie gewijzigd door Origin64 op 24 mei 2018 00:51]

Quoten en dan je eigen tekst daarin editen kun je IMO beter altijd achter wege laten.

Inhoudelijk tja, in theorie kan het daar wel voor gebruikt worden. In de praktijk zal dat niet het doel zijn aangezien die first strike capability makkelijker via onderzeeboten wordt behaald / er is.
Ook valt op dat wanneer je naar een kaart kijkt van alle bekende luchtafweer (s400) dat 75% aan de grens van Europa staat, 15% aan de grens met China en 5% aan de kant van USA.
Het klinkt alsof je drie dingen over het hoofd ziet.

Luchtafweer als verdediging tegen de VS is zinloos; die komen niet met bommenwerpers, die schieten kruisraketten en ICBMs af. Daar begint luchtafweer helemaal niets tegen. (Nog los van het feit dat die grotendeels vanaf onderzeeërs worden gelanceerd, die zich overal kunnen bevinden.)

Luchtafweer is defensief. Dat zet je niet alleen neer aan de kant waarvandaan je een aanval verwacht, je zet ook het meeste neer bij de belangrijkste doelen. Nou ben ik geen militair strateeg, maar ik zou me voor kunnen stellen dat de Russen niet verwachten dat iemand Syberië plat gaat bombarderen (daar zijn weinig interessante doelen) en zelfs als iemand zo gek is om daar bommen te strooien... meh, liever daar dan in de politiek / economisch / militair belangrijke gebieden. Moskou zou daarentegen een zeer logisch doelwit zijn. Als je bijna je hele leger gebruikt om Moskou (en St. Petersburg, Novgorod en de andere grote steden) te verdedigen en je niet om Siberië bekommerd, tja, dan staat bijna je hele leger in Europa (plus 5% bij Vladivostok).

Je zegt dat je gekeken hebt op een kaart. In dat geval ziet het eruit alsof de kortste route van de VS naar Rusland via Alaska en het oosten van Rusland loopt. Maar, de aarde is een bol; als de VS en Rusland elkaar gaan beschieten, dan gaan de bommenwerpers en de raketten over de Noordpool heen. (Dat is ook de reden waarom de VS zo nauw samenwerken met Canada; NORAD is "North American [VS + Canada] Aerospace Defense". Niet omdat de Canadezen zo'n grote luchtmacht hebben, maar omdat alle goede locaties voor radarinstallaties op Canadees grondgebied liggen: hoe noordelijker hoe beter.)
[...]

Het klinkt alsof je drie dingen over het hoofd ziet.

Luchtafweer als verdediging tegen de VS is zinloos; die komen niet met bommenwerpers, die schieten kruisraketten en ICBMs af. Daar begint luchtafweer helemaal niets tegen. (Nog los van het feit dat die grotendeels vanaf onderzeeërs worden gelanceerd, die zich overal kunnen bevinden.)
Het zal toch echt tegen de VS gericht moeten zijn aangezien de luchtmacht van de Europese NAVO bondgenoten niet veel voorstelt. Laatste berichten uit Duitsland zijn dat daar circa 90% van de jachtvliegtuigen niet werken. Frankrijk zit op pak hem beet totaal 600 jacht+attack vliegtuigen, UK op circa 250 vliegtuigen. Praten we over USA dan zit je ineens op 5000 relevante vliegtuigen. De angst in Rusland is logischerwijs dat USA de vliegbasisen in de EU gebruikt (en natuurlijk bondgenoten als Turkije etc) om Rusland te bedreigen.

Bommenwerpers hebben hun relevantie nog lang niet verloren. Die vliegen in 1 ruk richting doel, gooien 500+km van te voren de rakketten de deur uit en keren weer om.

Verder is luchtafweer kip/ei. Doe je er niets aan dan ben je kwetsbaar en is de kans groter dat je op die manier gepakt wordt. Verder is de samenstelling van het leger van USA extreem gericht op lucht (13K vliegtuigen, 6k voertuigen) terwijl Rusland het omgekeerde heeft met 4K vliegtuigen en 20K tanks.
Luchtafweer is defensief. Dat zet je niet alleen neer aan de kant waarvandaan je een aanval verwacht, je zet ook het meeste neer bij de belangrijkste doelen. Nou ben ik geen militair strateeg, maar ik zou me voor kunnen stellen dat de Russen niet verwachten dat iemand Syberië plat gaat bombarderen (daar zijn weinig interessante doelen) en zelfs als iemand zo gek is om daar bommen te strooien... meh, liever daar dan in de politiek / economisch / militair belangrijke gebieden. Moskou zou daarentegen een zeer logisch doelwit zijn. Als je bijna je hele leger gebruikt om Moskou (en St. Petersburg, Novgorod en de andere grote steden) te verdedigen en je niet om Siberië bekommerd, tja, dan staat bijna je hele leger in Europa (plus 5% bij Vladivostok).
Dat is zeker waar en verder natuurlijk logisch. Echter het is opvallend hoe dun verdedigd de rest van Rusland is. Met uitzondering van Vladivistok vlieg je eigenlijk overal in theorie zo binnen.

Maar goed Rusland zelf is redelijk richting Europa georienteerd dus het is inderdaad logisch dat daar je meeste luchtafweer staat. Verder hebben ze natuurlijk Kalingrad en de zwarte zee.
Je zegt dat je gekeken hebt op een kaart. In dat geval ziet het eruit alsof de kortste route van de VS naar Rusland via Alaska en het oosten van Rusland loopt. Maar, de aarde is een bol; als de VS en Rusland elkaar gaan beschieten, dan gaan de bommenwerpers en de raketten over de Noordpool heen. (Dat is ook de reden waarom de VS zo nauw samenwerken met Canada; NORAD is "North American ~[VS + Canada] Aerospace Defense". Niet omdat de Canadezen zo'n grote luchtmacht hebben, maar omdat alle goede locaties voor radarinstallaties op Canadees grondgebied liggen: hoe noordelijker hoe beter.)
Van de volledige noord flank zit er alleen op de twee westelijke schiereilanden verdediging.

Maar goed we gaan offtopic. Het punt was dat USA, bondgenoot via de NAVO en belangrijkste wapen leverancier, neerzetten als vijand ten opzichte van Rusland geen rationeel sentiment is. Daar zal je het vermoedelijk wel mee eens zijn...

[Reactie gewijzigd door sdk1985 op 24 mei 2018 03:07]

Wat is het nou, moeten ze met bewijs komen, of is het niet mogelijk om met bewijs te komen?
Het antwoord op die eerste vraag geef jezelf al in je laatste alinea
'Op basis van materiaal dat ze niet openbaar kunnen maken.'
Dat 'kunnen' ben ik het dus niet mee eens. Het zal ongetwijfeld verdraaid lastig zijn, maar op dit moment hebben we 0,0 bewijs gezien. Dat niet alles naar buitenkomt begrijp ik, maar wat we op dit moment vooral zien is een propagandaoorlog tussen Rusland enerzijds en het Westen anderzijds. Ik zal nooit beweren dat Rusland schone handen heeft, maar omgekeerd kan en zal ik dat over het Westen ook niet beweren.

Zo bezien ligt de waarheid in het midden, maar je hebt gelijk dat ligt die eigenlijk niet, want er is gewoon sprake van een propaganda oorlog. Tussen alle informatie zit er vast weleens iets wat klopt, maar niemand weet wat en wanneer dat het geval is.

Tot slot, ik hecht veel waarde aan ons Nederlandse rechtssysteem. Dat is nog altijd, onschuldig tenzij het tegendeel bewezen is. Op dit moment hoor ik vooral aannames en verdachtmakingen (vanuit Rusland en omgekeerd).
Het zal ongetwijfeld verdraaid lastig zijn, maar op dit moment hebben we 0,0 bewijs gezien.
Jij en ik hebben nul bewijs gezien. De mensen die deze uitspraken doen hebben (naar ik aanneem) wel inzicht in het bewijsmateriaal waarop ze zich baseren.
Tot slot, ik hecht veel waarde aan ons Nederlandse rechtssysteem. Dat is nog altijd, onschuldig tenzij het tegendeel bewezen is.
Heb je ooit iets in de krant zien staan in de trant van "Pietje P. is opgepakt op verdenking van $misdaad"? Dat is het stadium waar we nu zitten: "Kremlin R. wordt verdacht van hacken". Waar jij het over hebt is het bepalen van het vonnis (bij normale rechtszaken boetes en gevangenisstraf, in dit geval waarschijnlijk economische sancties). En ja, het is een realistische mogelijkheid dat Rusland "straf" krijgt, zonder dat jij en ik het bewijsmateriaal ooit te zien krijgen. Maar de "rechters" (in dit geval waarschijnlijk een overleg tussen de ministers van buitenlandse zaken van de getroffen landen?) krijgen dat bewijs wel te zien. Sommige rechtszaken spelen zich nou eenmaal achter gesloten deuren af. Niet ideaal, maar voor sommige gevallen (zowel internationale politiek als "bij ons" bijvoorbeeld jeugdstrafrecht) is het de minst-slechte oplossing.
Vergeet niet dat Rusland Oekraine is binnengevallen op meerdere punten en een vliegtuig uit Amsterdam heeft neergehaald.

De SBU lult verder ook maar wat, vaak. Maar er gebeurt wel meer op cybergebied vanuit Rusland dat je niet zomaar kan negeren. Bv het neerhalen van een substation in Ivano-Frankivsk oblast paar jaar geleden, banksystemen die plat werden gelegd ( vorig jaar? ) . En zo nog wel wat.

Ik bedoel als er groene mannetjes op vakantie komen met wapens, en ze klinken alsof ze Russisch zijn, misschien dat ze dan ook Russisch zijn.

Hoef je verder de 'rest' niet te vertrouwen, beetje logisch denken.

Volgende maand is de wereldseries in Rusland trouwens, dat is het reclame-momentje van het regime. Er worden al maanden mensen opgepakt en gedeporteerd in Rusland en op de Krim. Als ze dat kunnen afzetten tegen een mislukte communicatie in Kyiv scheelt dat weer wat kritiek.

[Reactie gewijzigd door Basszje op 23 mei 2018 23:24]

Wat ik me eerder afvraag is als er op zo veel apparaten malware zit, waarom zou een factory reset daar verandering in kunnen brengen. Schijnbaar zit er een achterdeur of bug waardoor met zo veel router kon infecteren. waarom zou dat na een factory reset ook niet gewoon weer kunnen.
Vaak gaat het om kwetsbaarheden in services (telnet, vpn, webinterface...) die standaard niet "exposed" zijn aan het internet. De malware draait meestal vanuit het RAM.
Maw met een simpele reboot ben je van de meeste malware af, maar word je snel weer geīnfecteerd. Met een factory reset worden alle defaults weer geladen én een reboot uitgevoerd.

Het bijzondere aan deze malware is dat die relatief geavanceerd opgebouwd is, heel breed wordt ingezet én "Stage 1" bovendien persistent is bij een reboot. De malware moet dan de volgende stages downloaden dmv een afbeelding op photobucket/Toknowall. Die downloads zullen wellicht nu ook onmogelijk gemaakt zijn/worden.

De exact gebruikte vulnerabilities (verschillende op de afzonderlijke apparaten) zijn voor Talos momenteel ook nog niet duidelijk, al blijkt uit hun rapport wél dat bijvoorbeeld QNap al op de hoogte was van exploits en al patches uitbracht vóór Talos's melding. Een goed updatebeleid blijkt dus nogmaals cruciaal, ook voor thuisgebruikers.

[Reactie gewijzigd door the_stickie op 23 mei 2018 21:25]

Maw met een simpele reboot ben je van de malware af
Deze is persistent, je zult echt een reset moeten doen om hem kwijt te raken (tot de volgende infectie).
Zelfs een factory reset is niet altijd voldoende. De firmware opnieuuw flashen wel. Maar dan blijf je voorlopig waarschijnlijk vulnerable tot er een gepatchte firmware is.

[Reactie gewijzigd door the_stickie op 23 mei 2018 21:52]

Vergeet niet dat ze een vliegtuig met onschuldige burgers neer hebben geschoten boven het luchtruim van een andere Europese staat, dmv no flag operatie.

[Reactie gewijzigd door Origin64 op 24 mei 2018 00:56]

Ten eerste, probeer de strekking van mijn verhaal te lezen. Rusland is niet schuldig bevonden, het is verdacht gemaakt. De onderbouwing ervan is gebaseerd op eerdere aanvallen, en beweert door 2 losse bronnen: Ukraine, en Cisco.

Dat lijkt me een redelijke grond van verdenking. En daarbij kun je optellen de algemene reputatie van Rusland. Open een web server en binnen een minuut wordt je overspoeld door aanvallen uit Rusland. Er is een reden dat een site als Tweakers bepaalde landen gewoon compleet uitsluit.

Tel die 2 dingen bij elkaar op en een verdenking is niet buitensporig.

Ten tweede, ja, ik heb de persoonlijke mening dat Rusland de reputatie heeft die het verdiend. In de internationale gemeenschap staat het bekend als een leugenachtig land wat zelfs panklare feiten ontkend en verdraaid. Dat is hun stijl. Verder is het met de universele mensenrechten niet al te best gesteld, en dat is nog zacht uitgedrukt.

Dus ja, ik vind dat de inwoners van Rusland een beter leven verdienen, en een betere overheid.
Wat voor cyber attack willen ze launchen dan?

Een zooi mensen zonder internet zetten tot ze het knopje indrukken van hun router? Of iets serieuzer?
De router als DDOSclient gebruiken, en een doel bestoken.

De router als TORendpoint inzetten, en over jouw verbinding "foute" dingen doen

De verbinding als VPN inzetten, om een hack te zetten vanuit een 'vertrouwde' omgeving

Via jouw router jouw netwerk infiltreren om daar te onderzoeken / hijacken

De fantasie is de grens, vergeet niet dat een router ( vooral de genoemde ) een direct toegang biedt naar en van jouw privespullen
De modules die gekend zijn staan in het rapport van Talos.
As of this writing, we are aware of two plugin modules: a packet sniffer for collecting traffic that passes through the device, including theft of website credentials and monitoring of Modbus SCADA protocols, and a communications module that allows stage 2 to communicate over Tor. We assess with high confidence that several other plugin modules exist, but we have yet to discover them.
De fantasie is de grens, vergeet niet dat een router ( vooral de genoemde ) een direct toegang biedt naar en van jouw privespullen
Gezien de hoeveelheid besmette routers en NASsen denk ik niet dat het ze echt te doen is om privespullen. Natuurlijk leuk om even wat creditcards en bankrekeningetjes mee te pikken, maar ik denk dat een DDOS of TOR endpoint waarschijnlijker is.
het artikel van de nos waarin hierboven gelinkt wordt gaat er wat verder op in. Iets met paniek als internet niet meer werkt, maar serieuzere zaken ook zoals aangesloten apparaten die aangevallen kunnen worden en het virus kan kennelijk passwords e.d. onderscheppen.
Wie zend er nu passwords in cleartext over een router? Dan vraag je er ook om.
En hoe wil je dat voorkomen met al die sites die geen HTTPS gebruiken?
Nou, sites die passwords via een http verbinding ipv https versturen zijn dan ook ontzettend stom bezig.
Vergis je niet: de gemiddelde consument vervangt zijn of haar router pas als ze een nieuwe krijgen van hun provider of als ze van provider wisselen.
Veel (met name oudere) routers hebben https default niet aan staan, en het “handige neefje” zal wel even regelen dat de router ook via het internet te bereiken is zodat hij niet iedere keer de auto in hoeft om even iets te regelen... 8)7
veel pop3 email verkeer?
Eh, nee. Mijn eigen server is alleen via secure IMAP en smtps benaderbaar, en alle niet versleutelde inlog protocollen heb ik expliciet dichtgezet.
Maar de wereld is groter dan jou kleine zolderkamer..
Ik gok meer dan de helft van de bevolking.
Raar hè, het artikel van NOS is Tweakers waardig, en het artikel op Tweakers is nos waardig. Jammer!
Bergen paniek termen als destructive, alarming rate, hard to block, maar hoe de .... Komt die zooi op mn router? Of hoe kan ik uberhaubt zien of ik het heb. Even factory reset doen, leuk om je hele netwerk opnieuw te doen (settings terugzetten werkt niet)
Bergen paniek termen als destructive, alarming rate, hard to block, maar hoe de .... Komt die zooi op mn router?
Doorgaans: jaren je hardware niet upgraden, vooral je software ook niet updaten en uiteraard niet je beheerinterface uitschakelen aan WAN-zijde.

Dat is de geijkte methode.

Voor iedereen die zich zorgen maakt en iets wil doen, in de orde van hoe weinig moeite, maar helaas ook hoeveel het helpt:
1. Reboot je router eens een keertje (kan echt nooit kwaad)
2. Wijzig het default beheer wachtwoord, liefst ook de accountnaam (grootste moeite: op een sticker schrijven en die op je router plakken)
3. Schakel beheer via internet uit. De naam zegt het al: WAN-beheer! (kleine moeite, ff pielen)
4. Update je router software. (klein risico op problemen, maar seriously, updaten)
5. Zet je router naar fabrieksinstellingen en herconfigureer. (kost veel tijd)
6. Koop een goeie nieuwe router. (kost naast veel tijd ook veel geld)

Aanvullend: Overigens is ook het kopen van een goeie nieuwe router geen garantie. Je kansen worden wel beter.

[Reactie gewijzigd door Keypunchie op 23 mei 2018 22:12]

Dat is gewoon basis 1.0, dat is m'n punt niet.

Enige wat je nuttig kan lezen
At the time of this publication, we do not have definitive proof on how the threat actor is exploiting the affected devices. However, all of the affected makes/models that we have uncovered had well-known, public vulnerabilities
leuk, maar hoe weet ik dan uberhaubt dat er 'iets' draait op m'n router?
En waarom precies?
Het eerste deel is niet schadelijk en overleeft reboots, maar heeft instructies van een server nodig om de payload van het tweede en derde deel te installeren
Is het bekend of de besmetting ook netwerkactiviteit in het LAN netwerk genereert (zodat je kan herkennen dat hij besmet is)?
Netwerkverkeer gaat in de netwerken waarop deze routers worden gebruikt veelal via de router. Het netwerkverkeer wordt vanuit daar gescanned en zal dus geen extra netwerkverkeer genereren in het LAN. Het verkeer dat naar buiten gaat op de WAN gaat via TOR verbindingen. De details hiervan staan op de pagina onderin die in het nieuwsbericht wordt vermeld.
De vraag die bij mij eerder opkomt is, hoe weet Cisco dit? Kunnen ze alle routers in de wereld afstruinen? Aangezien de malware niet actief schijnt te zijn, hoe zijn ze er dan achter gekomen? Een niet actieve service gebruikt geen poort dus portscanning is al uitgesloten.

‘hacken’ ze routers met de default passwords? Of weten hun er meer van (uitschakelen concurrenten dmv injecting malware in de firmwares)? Ik vind het een nogal vaag omschreven stuk. Verwijzend naar Rusland maar niet zelf aangeven hoe ze achter deze nog niet werkende malware zijn gekomen maakt het (voor mij) nogal dubieus.
Afgelopen week is er nog een geprogrammeerde wachtwoord gevonden in de bron code, met andere kwetsbaarheden, voor volledige toegang tot Cisco enterprise software suite. Cisco ontdekt trouwens met enige regelmaat geprogrameerde wachtwoorden die als 'backdoor' kunnen bestempeld worden, dat zegt iets over de kwaliteit van hun programmeurs.

Het Cisco DNA center is een stukje software waar enterprise klanten een volledig centraal netwerk systeem kunnen ontwikkelen en toepassen van apparatuur configurations over hun eigen netwerk. Een ISP met Cisco routers is dus in principele zin een kleiner netwerk van Cisco zelf. Via het DNA center heeft Cisco inzicht in elke Cisco router. Cisco heeft meer van dit soort gecentraliseerde vormen van controle, vaak als 'gemak' ontwikkeld voor de klant.

Het onderschrijft wederom dat Nederland het een wet moet maken dat de klant van een ISP een keuze vrijheid moet hebben omtrent welke router zij aanschaffen dan wel in bezit hebben om te gebruiken bij welke ISP dan ook. Nu men eindelijk aandacht geeft aan de veilgheid omtrent IOT's wordt het dan ook niet tijd om routers als hetzelfde soort gevaar te zien, vooral wanneer deze in bulk aangekocht worden door ISP's.
Ja maar het gaat hier ook over andere routers/fabrikanten. Dat Cisco een pass hardcoded in hun code programmeert verbaasd me niks (NSA related), maar dat ze ook in andere modellen die niet van hun zijn kunnen komen zonder aan te geven hoe, doet mij ook vermoeden dat ze zelf de malware hebben geplaatst. Lekker je concurrenten in een verkeerd daglicht plaatsen (want ik zie geen model van hun in de lijst staan) en ondertussen ook wijzen naar Rusland. Maar de oorsprong van hun beschuldigen houden ze geheim.

Ik vertrouw er niks van om heel eerlijk te zijn. Cisco werkt ook nauw samen met NSA dus ik ben een beetje terughoudend dit bericht te geloven/vertrouwen.
Hopelijk komen de fabrikanten snel met specifiek advies of zelfs een update. Het lijkt mij minder ideaal om collectief je apparaten naar fabrieksinstellingen te gaan zetten.
Ik hoop toch dat een minder rigoureuze optie mogelijk is, of op z'n minst de garantie dat dit helpt en blijft helpen.
Ik hoop toch dat een minder rigoureuze optie mogelijk is, of op z'n minst de garantie dat dit helpt en blijft helpen.
Dat lijkt me zeer onwaarschijnlijk. Als ie standaard (met fabrieksinstellingen) niet kwetsbaar is, maar wel met specifieke niet-standaard instellingen, dan zullen niet veel apparaten vatbaar zijn. Zeg nou zelf, hoeveel mensen zijn er die echt iets doen met die instellingen (en dan moet het ook nog toevallig net de instelling zijn waardoor ie kwetsbaar wordt)?

Ik kan het niet met zekerheid zeggen natuurlijk, maar dikke kans dat als de hackers (vlak voor de geplande aanval!?) nog even een nieuw rondje doen, dat ze dan alle apparaten die gereset zijn net zo snel weer opnieuw overnemen.

[Reactie gewijzigd door robvanwijk op 23 mei 2018 20:16]

We kunnen inderdaad alleen maar raden, vandaar dat ik graag meer informatie van de fabrikant wil. Hoe kan je zien of je getroffen bent? Welke versies zijn kwetsbaar? Hoe kan je het voorkomen?

Zo heeft Netgear vorige week nog nieuwe firmware voor mijn router uitgebracht. Wordt het daarmee beter, slechter of maakt het niets uit? Verwijdert zo'n update ook de malware?

Mocht de kwetsbaarheid niet te verwijderen zijn dan verwacht ik inderdaad gewoon weer een nieuwe lading als ze daar zin in hebben.
Hoe weet Cisco welke/hoeveel routers geinfecteerd zijn?
Tot nu toe de beste vraag uit deze thread wat mij betreft :)
En hoe weet je of je zelf geïnfecteerd bent, en hoe kun je dit fixen?
Waarschijnlijk reageert deze malware op bepaalde commando’s van bepaalde bronnen of hebben ze servers van de C&C kunnen overnemen. Daarnaast is het ook mogelijk dat ze de metadata telemetry scannen van core netwerken waarvan ze de infra leveren. Dat is bijv. Ook wat norse corp en kaspersky doen voor het weergeven van de data op hun cyberattack Maps.
quote: NOS
Daarmee zouden honderdduizenden mensen zonder internet kunnen komen te zitten, wat voor onrust kan zorgen.
Het zijn echt niet die paar routers die voor onrust zorgen, maar veeleer het viral gaan van die batterij aan schimmige rapporten en verkapte reclames voor 't eigen merk. Als ik het NOS-artikel lees, dan wordt er louter gespeculeerd over wat de malware nou eigenlijk allemaal kan en al helemaal geen bewijs geleverd voor de oorsprong van de malware. Alle technische details zijn natuurlijk weer volledig verdwenen in deze secundaire bron. Talos' artikel noemt heel even "nation-states" als actors in deze bedrijvigheid, maar da's alles. Verder staan in de beschrijving van de malware ook allemaal knip- en plaktermen, waardoor je eigenlijk nog steeds niks weet. Later treden ze wel meer in detail, maar de werkwijze doet echt vreemd aan. Ik vraag me o.a. af hoe het extracten van GPS-coördinaten van een vaste set aan Photobucket-foto's nu kan leiden tot bruikbare IP-adressen. Ik heb het misschien te snel geskimd, maar what the hell?

Als ik dan ook even vrijuit mag speculeren: het lijkt verdorie wel alsof beveiligingsinstellingen tegenwoordig een quotum opgelegd krijgen van overheden om minstens zoveel keer indirect/verkapt met de vinger te wijzen naar Rusland. Het is immers een enorm simpele manier om een land zwart te maken, want vrijwel niemand heeft de middelen om deze berichten concreet tegen te spreken. Dat zwartmaken kan steeds minder makkelijk met real-life zaken, want een veelvoud aan foto's on-site die het tegendeel bewijzen bijvoorbeeld zijn zo gemaakt en gedeeld door de lokale bevolking.

[Reactie gewijzigd door guillaume op 23 mei 2018 20:36]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True