Als u niet meer aan uw thuisrouter heeft gedacht sinds de dag dat u deze instelde, wil de FBI graag met u praten. Federale instanties, waaronder de FBI en de NSA, maakten op 7 april bekend dat een eenheid van de Russische militaire inlichtingendienst, de GRU-groep, bekend als APT28 of Fancy Bear, sinds minstens 2024 systematisch routers voor thuis en kleine kantoren in gevaar brengt, met behulp van de toegang om inloggegevens, authenticatietokens en gevoelige communicatie te onderscheppen. Het bureau nam de ongebruikelijke stap om duizenden getroffen Amerikaanse apparaten op afstand te resetten op bevel van de rechtbank, maar ambtenaren waarschuwen dat zonder actie van individuele routereigenaren het probleem nog lang niet is opgelost.
De aanval was gericht op routers voor kleine kantoren/thuiskantoren, ook wel bekend als SOHO-routers, en werd uitgevoerd door een eenheid van de Russische militaire inlichtingendienst, de GRU. Overheidsinstanties dringen er bij mensen op aan om de basisstappen voor routerhygiëne te volgen, zoals het updaten naar de nieuwste firmware en het wijzigen van de standaardinloggegevens. Het Britse National Cyber Security Centre omvat een aantal TP-Link-routers specifiek doelwit van de hackers.
Hoewel dat nieuws behoorlijk alarmerend klinkt, is het de moeite waard om in gedachten te houden dat de aanval met name bedrijfsrouters heeft aangetast, dus uw huis Wi-Fi-router loopt waarschijnlijk geen gevaar. Dat gezegd hebbende, kunnen sommige van de getroffen routers worden gebruikt als standaard thuisrouters, dus het is de moeite waard om te controleren of uw model bij de aanval is misbruikt.
“Er is tegenwoordig een grote trend in het exploiteren van routers, en dat geldt zowel voor consumenten- als voor zakelijke of zakelijke routers”, vertelde Daniel Dos Santos, vice-president onderzoek bij het cyberbeveiligingsbedrijf Forescout, aan CNET.
Wat voor type aanval is dit?
Een persbericht van de NSA merkt op dat de aanval zich zonder onderscheid richtte op een grote groep routers, met als doel informatie te verzamelen over “militaire, overheids- en kritieke infrastructuur”.
Deze aanval is gekoppeld aan bedreigingsactoren binnen de Russische GRU – die APT28, Fancy Bear, Forest Blizzard en andere namen dragen – en is volgens de FBI al sinds 2024 aan de gang.
Het staat bekend als een Domain Name System-kapingoperatie, waarbij DNS-verzoeken worden onderschept door de standaardnetwerkconfiguraties op SOHO-routers te wijzigen, waardoor de actoren het verkeer van een gebruiker onversleuteld kunnen zien.
“Voor nationale actoren als Forest Blizzard maakt DNS-kaping aanhoudende, passieve zichtbaarheid en verkenning op grote schaal mogelijk”, zegt een Microsoft Threat Intelligence-rapport op de aanval.
Microsoft identificeerde meer dan 200 organisaties en 5.000 consumentenapparaten die getroffen waren door de aanval van de GRU.
Welke routers zijn getroffen?
De aankondiging van de FBI verwijst specifiek naar één router, de TP-Link TL-WR841Neen Wi-Fi 4-model dat was oorspronkelijk uitgebracht in 2007. Het Britse National Cyber Security Centre somt 23 TP-Link-modellen op die het doelwit waren, maar merkt op dat dit waarschijnlijk niet uitputtend is.
Hier is de lijst met getroffen apparaten:
- TP-Link LTE draadloze N-router MR6400
- TP-Link draadloze dual-band gigabit-router Archer C5
- TP-Link draadloze dual-band gigabit-router Archer C7
- TP-Link draadloze dual-band gigabit-router WDR3600
- TP-Link draadloze dual-band gigabit-router WDR4300
- TP-Link draadloze dual-band router WDR3500
- TP-Link draadloze Lite N-router WR740N
- TP-Link draadloze Lite N-router WR740N/WR741ND
- TP-Link draadloze Lite N-router WR749N
- TP-Link draadloze N 3G/4G-router MR3420
- TP-Link Draadloos N-toegangspunt WA801ND
- TP-Link Draadloos N-toegangspunt WA901ND
- TP-Link draadloze N Gigabit-router WR1043ND
- TP-Link draadloze N Gigabit-router WR1045ND
- TP-Link draadloze N-router WR840N
- TP-Link draadloze N-router WR841HP
- TP-Link draadloze N-router WR841N
- TP-Link draadloze N-router WR841N/WR841ND
- TP-Link draadloze N-router WR842N
- TP-Link draadloze N-router WR842ND
- TP-Link draadloze N-router WR845N
- TP-Link draadloze N-router WR941ND
- TP-Link draadloze N-router WR945N
Een woordvoerder van TP-Link Systems vertelde CNET in een verklaring dat de betrokken modellen enkele jaren geleden allemaal de status End of Service en Life bereikten.
“Hoewel deze producten buiten onze standaard onderhoudslevenscyclus vallen, heeft TP-Link beveiligingsupdates ontwikkeld voor geselecteerde oudere modellen waar technisch haalbaar”, aldus de woordvoerder.
TP-Link dringt er bij mensen met deze verouderde routers op aan om indien mogelijk te upgraden naar een nieuwer apparaat. U kunt een lijst met beschikbare beveiligingspatches vinden op de website beveiligingsadviespagina het aanpakken van de recente aanval.
Hoe u uw router veilig kunt houden
De NSA verwees organisaties naar een lijst van best practices voor het beveiligen van uw thuisnetwerk. Het belangrijkste dat u kunt doen als u een van de getroffen apparaten gebruikt, is uw router zo snel mogelijk upgraden. Waarschijnlijk heeft hij al jaren geen firmware-updates meer ontvangen, wat hetzelfde is als de deur naar je netwerk open laten staan.
“Hoe langer je daarmee doorgaat, hoe groter het risico”, zegt Rik Ferguson, vice-president van de veiligheidsinformatie bij Forescout. “De router bevindt zich op zo’n bevoorrechte positie binnen elk netwerk. Al je communicatie, al je verkeer moet via dat apparaat gaan.”
Naast het gebruik van een nieuwer apparaat dat nog steeds beveiligingsupdates ontvangt, zijn er nog enkele andere stappen die u kunt nemen om uw netwerk te vergrendelen:
- Update uw firmware regelmatig: bij veel netwerkapparaten kunt u dit inschakelen automatische firmware-updates in de instellingen. Als dit een optie is, zou ik het ten zeerste aanbevelen om het te doen. Als dit niet het geval is, kunt u updates voor uw router vinden door u aan te melden bij de webinterface of door de app te gebruiken.
- Start uw router opnieuw op: De richtlijnen van de NSA raden aan om uw router, smartphone en computers minstens één keer per week opnieuw op te starten. “Regelmatig opnieuw opstarten helpt implantaten te verwijderen en de veiligheid te garanderen”, zegt het bureau.
- Wijzig standaardgebruikersnamen en wachtwoorden: Een van de meest voorkomende manieren waarop hackers toegang krijgen, is door standaard, door de fabrikant ingestelde inloggegevens te proberen. ‘Er zit een hele ondergrondse economie aan de basis’, zegt Ferguson. “In feite verzamelen ze alleen maar inloggegevens, hetzij door eigen aanvallen, hetzij door ze uit andere bronnen op te slaan en te kopen.” Deze combinatie van gebruikersnaam en wachtwoord verschilt van uw Wi-Fi-login, die ook ongeveer elke zes maanden moet worden gewijzigd. Hoe langer en willekeuriger uw wachtwoord, hoe beter.
- Schakel beheer op afstand uit: De meeste gewone gebruikers hoeven hun Wi-Fi-router niet op afstand te beheren, en dit is een van de belangrijkste manieren waarop bedreigingsactoren de instellingen van uw router kunnen wijzigen zonder uw medeweten. Meestal vindt u deze optie in uw beheerdersinstellingen van de router.
- Gebruik een VPN: De aankondiging van de FBI over de aanval beveelt specifiek organisaties met externe werknemers aan gebruik een VPN bij toegang tot gevoelige gegevens. Deze services coderen uw verkeer terwijl het een externe server passeert, waardoor het veilig is voor hackers.
