De verborgen gevaren van routermalware

Malware kan uw router infecteren, de internetverbinding traag maken en gegevens stelen. Wij leggen uit hoe u uw wifi beschermt.

Malware kan uw router infecteren, de internetverbinding traag maken en gegevens stelen. Wij leggen uit hoe u uw wifi beschermt.

U controleert uw computer elke week op virussen, update tijdig alle systemen en programma’s, gebruikt sterke wachtwoorden en bent over het algemeen voorzichtig online… maar om de een of andere reden is uw internet traag en weigeren sommige websites toegang? Dan kan het zo zijn dat de malware zich niet op uw computer bevindt, maar in de router.

Waarom routers?

Cybercriminelen richten zich om twee redenen op routers. Ten eerste omdat al het netwerkverkeer door deze apparaten gaat; ten tweede omdat u een router niet met een gewoon antivirusprogramma kunt scannen. Malware die zich in de router heeft gevestigd heeft dus volop mogelijkheden om aan te vallen, en veel minder kans om ontdekt – laat staan verwijderd – te worden. Laten we het nu eens hebben over enkele dingen die cybercriminelen kunnen doen met een geïnfecteerde router.

Een botnet creëren

Wat vaak voorkomt is dat een geïnfecteerde router zich aansluit bij een botnet; dat is een netwerk van apparaten die als onderdeel van een DDoS-aanval ontelbare verzoeken naar een bepaalde website of online dienst sturen. Het doel van de aanvallers is de beoogde dienst zodanig te overbelasten dat deze vertraagt en uiteindelijk uitvalt.

Ondertussen zijn het de gewone gebruikers van wie de routers zijn gekaapt die te lijden hebben onder de lagere internetsnelheden omdat hun routers bezig zijn met het verzenden van schadelijke verzoeken, en alleen ander verkeer afhandelen wanneer ze even op adem komen.

Volgens onze gegevens werden routers in 2021 het meest actief aangevallen door twee malwarefamilies: Mirai en Mēris, waarbij de eerste met een enorme marge aan de leiding gaat – goed voor bijna de helft van alle aanvallen op routers.

Mirai

Deze beruchte malware-familie met de zoet klinkende naam (die “toekomst” betekent in het Japans) is al sinds 2016 bekend. Naast routers is bekend dat het IP-camera’s, smart tv’s en andere IoT-apparaten infecteert, waaronder bedrijfsapparaten, zoals draadloze controllers en digitale reclamedisplays. Het Mirai-botnet was aanvankelijk bedoeld om grootschalige DDoS-aanvallen uit te voeren op Minecraft-servers, maar werd later ook op andere diensten losgelaten. De broncode van de malware is al lang online uitgelekt en vormt de basis voor steeds weer nieuwe varianten.

Mēris

Mēris betekent niet voor niets “plaag” in het Lets. Het heeft al duizenden krachtige apparaten – voornamelijk MikroTik-routers – getroffen en deze aan een netwerk gekoppeld om DDoS-aanvallen uit te voeren. Tijdens een aanval op een Amerikaans financieel bedrijf in 2021 bereikte het aantal verzoeken van het netwerk van met Mēris besmette apparaten bijvoorbeeld 17,2 miljoen per seconde. Een paar maanden later viel het botnet diverse Russische financiële en IT-bedrijven aan met een recordaantal van 21,8 miljoen verzoeken per seconde.

Gegevens stelen

Sommige malware die de router infecteert, kan nog ernstigere schade aanrichten, door bijvoorbeeld uw gegevens te stelen. Wanneer u online bent, verzendt en ontvangt u heel wat belangrijke informatie: betalingsgegevens in online winkels, inloggegevens op sociale netwerken, werkdocumenten per e-mail. Al deze informatie, samen met de rest van uw netwerkverkeer, passeert onvermijdelijk de router. Tijdens een aanval kunnen de gegevens door malware worden onderschept en rechtstreeks in handen van de cybercriminelen vallen.

Een zo’n voorbeeld van malware dat vooral gegevens steelt is VPNFilter. Door routers en NAS-servers te infecteren, krijgt het de mogelijkheid om informatie te verzamelen en de router te beheren of uit te schakelen.

Spoof-websites

Malware die zich in de router nestelt, kan u stiekem omleiden naar pagina’s met advertenties of schadelijke sites in plaats van naar de sites die u daadwerkelijk wilt bezoeken. U (en zelfs uw browser) zullen denken dat u een legitieme website bezoekt, terwijl er hier in werkelijkheid cybercriminelen aan het werk zijn.

Dit werkt als volgt: wanneer u de URL van een site (bijvoorbeeld google.com) in de adresbalk invoert, stuurt uw computer of smartphone een verzoek naar een speciale DNS-server, waar alle geregistreerde IP-adressen en de bijbehorende URL’s zijn opgeslagen. Als de router is geïnfecteerd, kan hij in plaats van naar een legitieme DNS-server verzoeken sturen naar een nep-DNS-server die op de “google.com”-vraag antwoordt met het IP-adres van een heel andere site – een site die misschien een phishing-site is.

Dat is precies wat de Switcher Trojan deed: de routerinstellingen infiltreren en een kwaadaardige DNS-server als standaard instellen. Uiteraard lekten alle gegevens die op de valse pagina’s werden ingevoerd naar de aanvallers.

Hoe komt malware in routers terecht?

Er zijn twee manieren om router met malware te infecteren: door het admin-wachtwoord te raden, of door een kwetsbaarheid in het apparaat te misbruiken.

Raden van wachtwoorden

Alle routers van hetzelfde model hebben in de fabrieksinstellingen meestal hetzelfde admin-wachtwoord. Niet te verwarren met de netwerkbeveiligingssleutel (de tekenreeks die u invoert om verbinding te maken met het wifinetwerk), wordt het admin-wachtwoord gebruikt om in het instellingenmenu van de router te komen. Als de gebruiker onbewust de fabrieksinstellingen ongewijzigd heeft gelaten, kunnen aanvallers het wachtwoord gemakkelijk raden – vooral als ze het merk van de router kennen – en vervolgens de router infecteren.

De laatste tijd zijn fabrikanten de beveiliging echter serieuzer gaan nemen door een uniek willekeurig wachtwoord toe te kennen aan elk afzonderlijk apparaat, waardoor deze methode minder effectief is geworden. Maar het raden naar de juiste combinatie voor oudere modellen is nog steeds kinderspel.

Benutten van kwetsbaarheden

Kwetsbaarheden van routers zijn gaten in uw toegangspoort tot het internet waardoor allerlei bedreigingen uw thuis- of bedrijfsnetwerk kunnen binnensluipen – of misschien gewoon in de router zelf zitten, waar detectie minder waarschijnlijk is. Dat is precies wat het hierboven genoemde Mēris-botnet doet, door gebruik te maken van ongepatchte kwetsbaarheden in MikroTik-routers.

Volgens ons onderzoek zijn er alleen al in de afgelopen twee jaar honderden nieuwe kwetsbaarheden ontdekt in routers. Om de zwakke plekken te beveiligen, brengen routerleveranciers patches en nieuwe firmwareversies uit (in wezen updates van het besturingssysteem van routers). Helaas beseffen veel gebruikers gewoon niet dat de software van de router moet worden bijgewerkt, net als andere programma’s.

Hoe beschermt u uw netwerk?

Als u uw thuis- of bedrijfsrouter wilt beveiligen en uw gegevens veilig wilt houden:

  • Kijk minstens één keer per maand op de website van de fabrikant voor de nieuwste firmware-updates van de router. Installeer deze zodra ze beschikbaar zijn. Voor sommige modellen worden deze patches automatisch geïmplementeerd, maar soms moet u ze handmatig installeren. Informatie over het bijwerken van de software van uw apparaat kunt u ook vinden op de website van de leverancier.
  • Maak een lang, sterk admin-wachtwoord voor uw router. En om dit wachtwoord niet te vergeten, kunt u gebruikmaken van een wachtwoordmanager.
  • Als uw kundig genoeg bent of instructies vindt (bijvoorbeeld op de website van diezelfde leverancier), schakel dan toegang op afstand tot de beheerinstellingen van de router uit.
  • Configureer uw wifi correct: bedenk een uniek wachtwoord, gebruik een sterke draadloze encryptiestandaard, en stel gastnetwerken zodat gewetenloze of gewoon onvoorzichtige gasten en buren geen malware over uw netwerk kunnen verspreiden vanaf hun geïnfecteerde apparaten.
  • Gebruik een Kaspersky VPN Secure Connection die alle uitgaande informatie versleutelt voordat deze aan de router wordt doorgegeven, zodat deze veilig is voor cybercriminelen, zelfs als ze het apparaat hebben geïnfecteerd.
Tips