Riesiges Botnetz entdeckt – Über 500.000 infizierte Router

Mai 25, 2018 5:56 pm Veröffentlicht von

Weltweit über 500.000 Router sind mit der Malware VPNFilter infiziert

 

Die amerikanische Sicherheitsfirma Talos hat ein weltweites Botnetz entdeckt, welches sich durch eine Malware namens VPNFilter ausbreitet. Betroffen sind vor allem Router und NAS-Geräte.
Was diese Malware so gefährlich macht und welche Schutz- und Gegenmaßnahmen Sie ergreifen können, erfahren Sie in diesem Artikel.

 

Was ist passiert?

Seit einigen Monaten beobachtet die Sicherheitsfirma Talos, eine Tochterfirma des amerikanischen Router-Herstellers Cisco, steigende Infektionen von Routern und Netzwerkspeichergeräten (NAS). Vor allem Geräte der Firmen Linksys, MikroTik, Netgear, TP-Link und QNAP seien laut Talos betroffen. In mindestens 54 Ländern wurden dabei mittlerweile über eine halbe Million Infektionen festgestellt, wobei das Botnetz bereits seit 2016 aktiv sein soll. In den letzten drei Wochen kam es allerdings zu einem Infektionshoch, bei welchem Deutschland mit mehr als 30.000 betroffenen Geräten auf Platz zwei liegt. Am schwersten betroffenen ist laut Talos die Ukraine.
Hinter den Angriffen werden staatlich organisierte Hackergruppen aus Russland vermutet.

 

Was macht die Malware mit meinen Geräten?

Die Sicherheitsexperten sind sich noch nicht im Klaren darüber, über welchen Umfang die Malware namens VPNFilter tatsächlich verfügt. Es werden immer noch Untersuchungen durchgeführt. Sicher ist allerdings, dass die Schadsoftware stufenweise agiert und aus mindestens drei Stufen besteht:

Stufe 1
In der ersten Stufe nistet sich die Schadsoftware im Gerät ein, um einen von den Angreifern kontrollierten Server zu lokalisieren. Der Router oder der NAS versucht dann, ein bestimmtes Bild von Photobucket.com herunterzuladen und aus dessen Metadaten die IP-Adresse des Angreifer-Servers zu extrahieren. Sollte dieser Versuch fehlschlagen, erfolgt ein weiterer Download-Versuch über die Webseite ToKnowAll.com. Sollte auch dieser Versuch fehlschlagen, wartet die Schadsoftware mit einer Art eingebauten Lausch-Funktion auf ein weiteres, von den Angreifern erstelltes Auslöser-Datenpaket. Die Malware überprüft dessen öffentliche IP auf api.ipify.org und bewahrt diese auf. Diese gesammelten Informationen bleiben anscheinend auch bei einem Neustart des Gerätes erhalten und sorgen dafür, dass die Malware sich auf diese Weise nicht abwimmeln lässt.

Stufe 2
In Stufe 2 führt die Malware jetzt ihre eigentlichen schädlichen Funktionen aus.
Es können Daten gesammelt und ausgeschleust werden, Programme ausgeführt und Geräte kontrolliert werden. Ganz besonders gefährlich: Die Angreifer haben einen Selbstzerstörungsbefehl eingebaut. Durch das Überschreiben von bestimmten Firmware-Komponenten kann bei einem Neustart des Gerätes dieses unbrauchbar gemacht werden.

Stufe 3
Die dritte Stufe beinhaltet eine Reihe von Plugins, über deren Umfang und Funktionen sich die Sicherheitsforscher noch nicht ganz im Klaren sind. Ein Plugin sammelt Informationen über den Datenverkehr, ein weiteres ermöglicht es der Stufe 2 über das Tor-Netzwerk zu kommunizieren.
Weitere Funktionen wurden noch nicht entdeckt.

 

Wie finde ich heraus, ob meine Geräte betroffen sind?

Die IT-Sicherheitsentwickler von Symantec haben eine Liste mit betroffenen Geräten veröffentlicht. Sollte in dieser Liste eines Ihrer Geräte enthalten sein, zögern Sie nicht Gegenmaßnahmen einzuleiten. Wir empfehlen Ihnen, sich dafür an einen IT-Dienstleister zu wenden.

Linksys

  • E1200
  • E2500
  • WRVS4400N

Mikrotik

  • 1016
  • 1036
  • 1072

Netgear

  • DGN2200
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000

Qnap

  • TS251
  • TS439 Pro
  • und andere Qnap NAS-Geräte mit QTS-Software

TP-Link

  • R600VPN

 

Welche Lösungen gibt es?

Cisco Talos empfiehlt das Zurücksetzen auf die Werkseinstellungen. Nicht nur bei den aufgelisteten Geräten, sondern zur Vorsicht auch bei den Geräten anderer Hersteller.
Da dies aber zur Folge hat, dass alle gespeicherten Informationen und Einstellungen verloren gehen, ist das ein sehr drastischer Schritt, welcher – wenn überhaupt – nur von Personen mit den angemessenen technischen Kenntnissen durchgeführt werden sollte. Aktuelle Back-Ups sollten selbstverständlich vorhanden sein.
Wie sich Datenverlust und Betriebststillstand auf ein Unternehmen auswirken können, sollte sich jeder vor Augen führen. Suchen Sie sich professionelle Hilfe von einem IT-Dienstleister, sollte Ihr Unternehmen nicht über eigene IT-Mitarbeiter verfügen!

Ein Neustart scheint Stufe 2 und 3 zu unterbinden:
Das FBI hat mittlerweile einen von den Angreifern kontrollieren Server übernommen, was das erneute Herunterladen der Schadsoftware zu unterbinden scheint. Trotzdem kann das Risiko eines weiteren Downloads nicht vollständig ausgeschlossen werden.

 

Auf Nummer sicher gehen

Sollten Sie sich nicht sicher sein, wie es um Ihre Firmen-IT und Netzwerkgeräte steht, dann zögern Sie nicht unsere Hilfe in Anspruch zu nehmen.
Wir vom Kastl & Rieter IT-Service decken mit unserer Systemanaylse mögliche Bedrohungen, Infektionen und Schwachstellen auf und beseitigen diese.

Viele Infektionen sind auf einen unzureichenden Schutz zurückzuführen. Viele Unternehmen befürchten zu hohe Kosten oder unterschätzen die Gefahren einer Cyberattacke. Sie sichern ihre IT nicht ausreichend und bieten Angreifern ein willkommenes Ziel. Die Konsequenzen können dabei enorm sein. Neben finanziellen Schäden durch Unterbrechungen und Einschränkungen im Betriebsablauf, können auch rechtliche Folgen drohen und der Ruf des eigenen Unternehmens extremst geschädigt werden.

In jedem Fall sollten Sie sich also um eine angemessen abgesicherte IT sorgen.

Mit einer fähigen und korrekt eingerichteten Firewall lassen sich Angriffe wie durch VPNFilter meist vermeiden. Auch die Absicherung durch Antivirus-Programme ist essentiell.
Nicht zuletzt schützt ein umfangreiches Back-Up-System im Notfall vor Datenverlust.

Zögern Sie also nicht, uns anzurufen ( 0221 / 630 6151 60 ) oder schreiben Sie uns via Kontaktformular.
Wir betreuen Ihre Firmen-IT gerne und stehen Ihnen bei sämtlichen Angelegenheiten zum Thema IT und IT-Sicherheit bei.
Im Ernstfall natürlich auch mit unserer Soforthilfe.

Wir freuen uns, Ihnen zur Seite stehen zu dürfen.
Ihr Kastl & Rieter IT-Service

 

 

Quellen:

https://www.heise.de/security/meldung/Cisco-Talos-deckt-riesiges-Router-und-NAS-Botnetz-auf-4056997.html

https://arstechnica.com/information-technology/2018/05/hackers-infect-500000-consumer-routers-all-over-the-world-with-malware/