Russische hackers maken gebruik van algemeen verkochte internetrouters om informatie te verzamelen voor spionagedoeleinden, aldus de Britse cyberveiligheidsdienst.
De hack zou aanvallers in staat kunnen stellen de inloggegevens van gebruikers te verkrijgen, hen door te sturen naar nepwebsites en mogelijk toegang te krijgen tot andere apparaten op hun thuisnetwerk, zoals telefoons en pc’s, zegt Alan Woodward, een professor aan de Universiteit van Surrey.
Het Nationaal Cyber Security Centrum zei dinsdag Er werd aangenomen dat de operaties “opportunistisch van aard waren, waarbij de actor zich richtte op een brede groep slachtoffers en vervolgens waarschijnlijk gebruikers met potentiële inlichtingenwaarde eruit filterde bij elke stap van de uitbuitingsketen”.
Het volgt een gemeenschappelijk patroon van cyberactoren die zich richten op randapparaten – hardware zoals internetrouters of op internet aangesloten beveiligingscamera’s – die fungeren als een brug tussen gebruikers en de cloud.
Woodward zei: “Dit is niet de eerste keer dat er waarschuwingen zijn over routers. Het belangrijkste om te zeggen is dat deze zogenaamde edge-apparaten vrij vaak worden vergeten en een zwak punt kunnen worden.”
Als aanvallers met succes een router aanvallen, zegt hij, kunnen ze ‘je naar nepwebsites brengen. Je denkt misschien dat je naar je bank gaat, maar ze brengen je ergens anders heen.
“Ze kunnen zich op uw netwerk vestigen, zich door uw netwerk verplaatsen en kijken of de apparaten in uw netwerk (uw pc, uw telefoon) kwetsbaarheden hebben.”
De groep achter de aanslagen was waarschijnlijk APT28 of Fancy Bear, schreef de NCSC, die “vrijwel zeker” banden had met Russische inlichtingendiensten.
APT28 zat ook achter cyberaanvallen op het Duitse parlement in 2015waar grote hoeveelheden gegevens werden gestolen, waaronder vertrouwelijke e-mails en schema’s van Duitse parlementsleden.
“We weten meestal niet veel over hen. Het vermoeden is dat ze namens de Russische staat werken, maar niemand weet het zeker, omdat aanvallen op natiestaten vaak worden uitgevoerd door criminele groeperingen”, aldus Woodward.
De VS hebben onlangs de verkoop verboden van alle internetrouters van consumentenkwaliteit die buiten het land zijn gemaakt zegt de Federale Communicatiecommissie ze “vormen onaanvaardbare risico’s voor de Amerikaanse nationale veiligheid”.
“Kwaadwillige actoren hebben beveiligingslekken in routers van buitenlandse makelij misbruikt om Amerikaanse huishoudens aan te vallen, netwerken te ontwrichten, spionage mogelijk te maken en de diefstal van intellectueel eigendom te vergemakkelijken”, aldus het rapport, waarbij werd gezegd dat routers van buitenlandse makelij betrokken waren bij verschillende recente cyberaanvallen gericht op de Amerikaanse infrastructuur.
Aangezien bijna alle internetrouters in China of Taiwan worden vervaardigd, zou dit ernstige gevolgen kunnen hebben voor een aantal Amerikaanse hardwarefabrikanten. Een uitzondering hierop is Starlink van Elon Musk, dat een groot deel van zijn apparaten in Texas produceert.
Privacy-experts hebben gezegd dat dit regelrechte verbod de kwetsbaarheden in bestaande internetrouters niet volledig zal aanpakken, en dat een groter probleem zou kunnen zijn dat internetrouters die momenteel in gebruik zijn, aan het einde van hun levensduur zijn en niet langer beveiligingsupdates ontvangen.
Woodward zei dat de waarschuwing van het NCSC een indicatie was dat kleine bedrijven en particulieren hun routers up-to-date moeten houden. “Als je een klein bedrijf bent, moet je letten op ongebruikelijke activiteiten op je netwerk. Veel routers worden gewoon vergeten.”
Een van de grootste cyberaanvallen in de geschiedenis, toen hackers in 2016 80 miljoen dollar stalen van de centrale bank van Bangladesh, vond plaats omdat de bank goedkope tweedehands internetrouters gebruikte die beschikbaar waren op het bredere internet.
Hackers konden toegang krijgen tot de router en vervolgens tot het kernnetwerk van de centrale bank, en van daaruit het geld overmaken naar rekeningen in de Filipijnen. Dat is het geloofde dat een aan de staat gelieerde Noord-Koreaanse hackergroep achter de aanval zat.
Woodward zei: “Het is de klassieke manier waarop mensen onderzoek doen en het zal bijna zeker nog een keer gebeuren.”
