{"id":28317,"date":"2022-06-20T12:04:09","date_gmt":"2022-06-20T10:04:09","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=28317"},"modified":"2022-06-20T12:04:09","modified_gmt":"2022-06-20T10:04:09","slug":"router-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/router-malware\/28317\/","title":{"rendered":"De verborgen gevaren van routermalware"},"content":{"rendered":"

U controleert uw computer elke week op virussen, update tijdig alle systemen en programma\u2019s<\/a>, gebruikt sterke wachtwoorden en bent over het algemeen voorzichtig online\u2026 maar om de een of andere reden is uw internet traag en weigeren sommige websites toegang? Dan kan het zo zijn dat de malware zich niet op uw computer bevindt, maar in de router.<\/p>\n

Waarom routers?<\/h2>\n

Cybercriminelen richten zich om twee redenen op routers. Ten eerste omdat al het netwerkverkeer door deze apparaten gaat; ten tweede omdat u een router niet met een gewoon antivirusprogramma kunt scannen. Malware die zich in de router heeft gevestigd heeft dus volop mogelijkheden om aan te vallen, en veel minder kans om ontdekt \u2013 laat staan verwijderd \u2013 te worden. Laten we het nu eens hebben over enkele dingen die cybercriminelen kunnen doen met een ge\u00efnfecteerde router.<\/p>\n

Een botnet cre\u00ebren<\/h2>\n

Wat vaak voorkomt is dat een ge\u00efnfecteerde router zich aansluit bij een botnet; dat is een netwerk van apparaten die als onderdeel van een DDoS-aanval ontelbare verzoeken naar een bepaalde website of online dienst sturen. Het doel van de aanvallers is de beoogde dienst zodanig te overbelasten dat deze vertraagt en uiteindelijk uitvalt.<\/p>\n

Ondertussen zijn het de gewone gebruikers van wie de routers zijn gekaapt die te lijden hebben onder de lagere internetsnelheden omdat hun routers bezig zijn met het verzenden van schadelijke verzoeken, en alleen ander verkeer afhandelen wanneer ze even op adem komen.<\/p>\n

Volgens onze gegevens werden routers in 2021 het meest actief aangevallen door twee malwarefamilies: Mirai en M\u0113ris, waarbij de eerste met een enorme marge aan de leiding gaat \u2013 goed voor bijna de helft van alle aanvallen op routers.<\/p>\n

<\/h3>\n

Mirai<\/h3>\n

Deze beruchte malware-familie met de zoet klinkende naam (die \u201ctoekomst\u201d betekent in het Japans) is al sinds 2016 bekend. Naast routers is bekend dat het IP-camera\u2019s, smart tv\u2019s en andere IoT-apparaten infecteert, waaronder bedrijfsapparaten, zoals draadloze controllers en digitale reclamedisplays. Het Mirai-botnet was aanvankelijk bedoeld om grootschalige DDoS-aanvallen uit te voeren op Minecraft-servers, maar werd later ook op andere diensten losgelaten. De broncode van de malware is al lang online uitgelekt en vormt de basis voor steeds weer nieuwe varianten.<\/p>\n

M\u0113ris<\/h3>\n

M\u0113ris betekent niet voor niets \u201cplaag\u201d in het Lets. Het heeft al duizenden krachtige apparaten \u2013 voornamelijk MikroTik-routers \u2013 getroffen en deze aan een netwerk gekoppeld om DDoS-aanvallen uit te voeren. Tijdens een aanval op een Amerikaans financieel bedrijf<\/a> in 2021 bereikte het aantal verzoeken van het netwerk van met M\u0113ris besmette apparaten bijvoorbeeld 17,2 miljoen per seconde. Een paar maanden later viel het botnet diverse Russische financi\u00eble en IT-bedrijven aan<\/a> met een recordaantal van 21,8 miljoen verzoeken per seconde.<\/p>\n

Gegevens stelen<\/h2>\n

Sommige malware die de router infecteert, kan nog ernstigere schade aanrichten, door bijvoorbeeld uw gegevens te stelen. Wanneer u online bent, verzendt en ontvangt u heel wat belangrijke informatie: betalingsgegevens in online winkels, inloggegevens op sociale netwerken, werkdocumenten per e-mail. Al deze informatie, samen met de rest van uw netwerkverkeer, passeert onvermijdelijk de router. Tijdens een aanval kunnen de gegevens door malware worden onderschept en rechtstreeks in handen van de cybercriminelen vallen.<\/p>\n

Een zo\u2019n voorbeeld van malware dat vooral gegevens steelt is VPNFilter<\/a>. Door routers en NAS-servers te infecteren, krijgt het de mogelijkheid om informatie te verzamelen en de router te beheren of uit te schakelen.<\/p>\n

Spoof-websites<\/h2>\n

Malware die zich in de router nestelt, kan u stiekem omleiden naar pagina\u2019s met advertenties of schadelijke sites in plaats van naar de sites die u daadwerkelijk wilt bezoeken. U (en zelfs uw browser) zullen denken dat u een legitieme website bezoekt, terwijl er hier in werkelijkheid cybercriminelen aan het werk zijn.<\/p>\n

Dit werkt als volgt: wanneer u de URL van een site (bijvoorbeeld google.com) in de adresbalk invoert, stuurt uw computer of smartphone een verzoek naar een speciale DNS-server, waar alle geregistreerde IP-adressen en de bijbehorende URL\u2019s zijn opgeslagen. Als de router is ge\u00efnfecteerd, kan hij in plaats van naar een legitieme DNS-server verzoeken sturen naar een nep-DNS-server die op de \u201cgoogle.com\u201d-vraag antwoordt met het IP-adres van een heel andere site \u2013 een site die misschien een phishing-site<\/a> is.<\/p>\n

Dat is precies wat de Switcher Trojan deed: de routerinstellingen infiltreren en een kwaadaardige DNS-server als standaard instellen. Uiteraard lekten alle gegevens die op de valse pagina\u2019s werden ingevoerd naar de aanvallers.<\/p>\n

Hoe komt malware in routers terecht?<\/h2>\n

Er zijn twee manieren om router met malware te infecteren: door het admin-wachtwoord te raden, of door een kwetsbaarheid in het apparaat te misbruiken.<\/p>\n

Raden van wachtwoorden<\/h3>\n

Alle routers van hetzelfde model hebben in de fabrieksinstellingen meestal hetzelfde admin-wachtwoord. Niet te verwarren met de netwerkbeveiligingssleutel (de tekenreeks die u invoert om verbinding te maken met het wifinetwerk), wordt het admin-wachtwoord gebruikt om in het instellingenmenu van de router te komen. Als de gebruiker onbewust de fabrieksinstellingen ongewijzigd heeft gelaten, kunnen aanvallers het wachtwoord gemakkelijk raden \u2013 vooral als ze het merk van de router kennen \u2013 en vervolgens de router infecteren.<\/p>\n

De laatste tijd zijn fabrikanten de beveiliging echter serieuzer gaan nemen door een uniek willekeurig wachtwoord toe te kennen aan elk afzonderlijk apparaat, waardoor deze methode minder effectief is geworden. Maar het raden naar de juiste combinatie voor oudere modellen is nog steeds kinderspel.<\/p>\n

Benutten van kwetsbaarheden<\/h3>\n

Kwetsbaarheden van routers zijn gaten in uw toegangspoort tot het internet waardoor allerlei bedreigingen uw thuis- of bedrijfsnetwerk kunnen binnensluipen \u2013 of misschien gewoon in de router zelf zitten, waar detectie minder waarschijnlijk is. Dat is precies wat het hierboven genoemde M\u0113ris-botnet doet, door gebruik te maken van ongepatchte kwetsbaarheden in MikroTik-routers.<\/p>\n

Volgens ons onderzoek<\/a> zijn er alleen al in de afgelopen twee jaar honderden nieuwe kwetsbaarheden ontdekt in routers. Om de zwakke plekken te beveiligen, brengen routerleveranciers patches en nieuwe firmwareversies uit (in wezen updates van het besturingssysteem van routers). Helaas beseffen veel gebruikers gewoon niet dat de software van de router moet worden bijgewerkt, net als andere programma\u2019s.<\/p>\n

Hoe beschermt u uw netwerk?<\/h2>\n

Als u uw thuis- of bedrijfsrouter wilt beveiligen en uw gegevens veilig wilt houden:<\/p>\n