Kann ins Auge gehen, muss aber nicht: Router-Botnetz mit 500.000 Einzelgeräten aufgedeckt

Ein in dieser Dimension seltener Hackerangriff auf private Router und Netzwerkspeichergeräte (NAS) bedroht aktuell die Netzsicherheit der Nutzer der betroffenen Geräte. Auch vereinzelte Anwender von VPNs reagieren verunsichert auf die Gefahr, was allerdings eher am Namen der Malware liegt, die auf die unglücklich gewählte Bezeichnung ‚VPNFilter‘ getauft wurde. CyberGhost verrät dir, wie die Gefährdungslage aktuell aussieht und ob du Gegenmaßnahmen ergreifen musst.

Worum geht’s?

Gesichert ist, dass das Sicherheitsunternehmen Cisco kürzlich ein Botnetz entdeckt hat, das aus rund 500.000 einzelnen, größtenteils privaten Routern sowie NAS-Speichern besteht. Da solch Aufwand natürlich nur betrieben wird, wenn man sich etwas davon verspricht, vermutet man einen kriminellen Hintergrund oder sogar feindliche Bedrohungen, die man aber nicht beweisen kann.

Aufgebaut wurde das Netz in mehreren Schritten und umspannt mittlerweile 500.000 ‚Opfergeräte‘ von Herstellern wie unter anderem TP-Link, Netgear und Linksys in 54 Nationen. Die hierfür notwendige Software befällt Geräte zunächst mit einem Kernprogramm, das auch ein Zurücksetzen der Einstellungen überlebt und dann die durch den Reset entfernten Komponenten neu aus dem Internet herunterlädt.

Was tun?

Permanent (und nicht entfernbar) im System des Routers eingerichtet ist einzig die erste Stufe der Malware, die dann in einer zweiten Stufe die eigentliche Schadsoftware nachlädt, welche sich wiederum in einer dritten Stufe durch zusätzliche Funktionen erweitert. Setzt ein Anwender sein Gerät zurück, werden die beiden letzten Stufen entfernt, nicht jedoch die Kern-Malware, die nach dem Reset die Foto-Plattform Photobucket.com anläuft und dort Informationen zur Neuinstallation aus den Metadaten eines dort gespeicherten Bildes abruft. Alternativ kontaktiert die Malware die Adresse ToKnowAll.com, um dort die gewünschten Informationen zu erhalten.

Das Foto wurde zwischenzeitlich vom Netz genommen und der Server vom FBI beschlagnahmt, so dass beide Versuche ins Leere laufen. Ein Geräte-Reset ist zum jetzigen Zeitpunkt also durchaus sinnvoll, auch wenn man die Kern-Malware dadurch nicht entfernen kann. Immerhin lässt sich so die Neuinstallation des eigentlichen Schadcodes verhindern.

Allerdings ist damit nur eine Schlacht geschlagen und nicht der Krieg gewonnen, da die Autoren der Malware zusätzlich eine Funktion eingebaut haben, mit der sie die Geräte unbrauchbar machen und sozusagen verbrannte Erde hinterlassen können. Hierfür ist aktuell noch keine Lösung bekannt. Man kennt zwar den Befehl und auch dessen Auswirkungen, kann das Gerät aber nicht an der Ausführung hindern.

Betroffene Geräte

Wer auf Nummer Sicher gehen will, muss wohl oder übel seinen Router oder NAS ersetzen oder vom Netz nehmen, bis die Hersteller einen Patch anbieten. Betroffene Geräte sind:

  • Linksys: E1200, E2500, WRVS4400N
  • Mikrotik: 1016, 1036, 1072
  • Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000
  • Qnap: TS251, TS439 Pro sowie andere NAS-Geräte mit QTS-Software
  • TP-Link: R600VPN

 

Photo Credits:
© Field Engineer (https://stocksnap.io/author/55598)
CC0 License (https://creativecommons.org/publicdomain/zero/1.0/)

 

About the author

CyberGhost VPN - Uli
CyberGhost VPN - Uli

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

© 2017 CyberGhost