Russische malware verschuilt zich in firewalls

Een hackersgroep die gelieerd zou zijn aan het Russische leger heeft wereldwijd voet aan de grond in firewall-appliances die het kan inzetten voor cyberaanvallen. Voorheen onbekende malware is daar genesteld in de firmware. Het Britse NCSC (Nationaal Cyber Security Centrum) en de Amerikaanse diensten FBI, Cybersecurity and Infrastructure Security Agency (CISA) en het ministerie van Justitie hebben deze infectie onderzocht en samen met de firewall-fabrikant 'tegengif' ontwikkeld.

Jasper BakkerredacteurMeer van deze auteur

WatchGuard, W, vergrootglas — © WatchGuard

WatchGuard

De zogeheten Cyclops Blink-malware blijkt al zo'n drie jaar rond te waren en infecteert firewalls voor de mkb- en thuismarkt. Het gaat om systemen van WatchGuard, die nu waarschuwt voor deze digitale dreiging. De leverancier spreekt van geavanceerde, staatsgesteunde malware die een botnet vormt.

Beheer van buiten

Daarbij is "een beperkt aantal (geschat op ongeveer 1%)" van WatchGuard firewall-appliances wereldwijd geraakt, sust het bedrijf. In de about-sectie onderaan op zijn website meldt de leverancier dat het bijna een miljoen geïntegreerde, multifunctionele threat management appliances wereldwijd heeft uitgerold.

WatchGuard heeft ook eigen onderzoek naar Cyclops Blink uitgevoerd, en noemt daarnaast een onderzoek door securitybedrijf Mandiant en informatie die het heeft gekregen van de FBI. Daaruit trekt de leverancier de conclusie dat er geen bewijs is dat data van WatchGuard of van klanten is buitgemaakt. Verder is er geen sprake van gevaar voor firewalls die nooit zijn ingesteld voor onbeperkt beheer vanaf het internet.

Kennelijk zijn er toch genoeg gevallen van deze apparatuur voor netwerkbeveiliging die wel van buitenaf zijn te beheren. In de FAQ over deze firewall-malware meldt WatchGuard dat de initiële ingang voor Cyclops Blink zat in een kwetsbaarheid die alleen te misbruiken was als onbeperkte beheertoegang vanaf het internet was ingesteld.

Diepgaand opschonen

De geavanceerde malware is binnengekomen langs die kwetsbaarheid, die in mei vorig jaar van patches is voorzien. Eenmaal binnen misbruikt het een legitiem updatemechanisme voor de firmware om zich in te nestelen. Daarmee weet de modulaire malware zich een vaste positie (persistence) te verwerven. Basaal opschonen van een geïnfecteerde security-appliance is daarmee niet afdoende om zo'n apparaat te bevrijden van het botnet.

WatchGuard biedt in een apart supportdocument een stappenplan en gedetailleerde instructies om Cyclops Blink te diagnosticeren en te verhelpen. De leverancier van securityapparatuur verwijst ook naar het advies dat het Britse NCSC, de FBI, CISA en de Amerikaanse inlichtingendienst NSA hebben opgesteld. Daarin wordt ook de link gelegd met de VPNFilter-malware die enkele jaren geleden is ontdekt en aangepakt. Die router- en NAS-malware (network attached storage) is - net als nu Cyclops Blink - door experts gelinkt aan een hackersgroep die gelieerd is aan de Russische overheid.