Ergebnis 1 bis 3 von 3

Thema: VPNFilter: Router-Botnetz mit 500.000 Geräten aufgedeckt

  1. #1
    VIP Team Avatar von RedDevil
    Registriert
    Jan 2016
    Beiträge
    1,721
    Gefällt mir!
    1,157
    Du gefällst: 1,201

    VPNFilter: Router-Botnetz mit 500.000 Geräten aufgedeckt

    Ein Botnetz aus Routern soll als Infrastruktur für kriminelle Angriffe dienen. Betroffen sind vor allem Netgear- und Linksys-Geräte. Die IoT-Malware übersteht sogar einen Neustart der Geräte.

    Die Sicherheitsfirma Cisco hat ein Botnetz mit rund 500.000 infizierten Routern entdeckt. Das Unternehmen geht davon aus, dass es sich dabei um Infrastruktur für kriminelle Handlungen handelt - möglicherweise sogar für einen staatlichen Akteur. Betroffen sind Router zahlreicher Hersteller, darunter Linksys, Mikrotik, Netgear und TP-Link.

    Die auf den Routern installierte Malware soll anders als übliche ioT-Malware einen Reboot des Gerätes überleben können. Infizierte Geräte stehen nach Angaben von Ciscos Talos-Team in 54 Staaten, die Infektionen seien seit 2016 Schritt für Schritt angestiegen. In den vergangenen drei Wochen soll es allerdings zu einem erheblichen Anstieg der Infektionen gekommen sein, betroffen seien vor allem Geräte in der Ukraine.

    "Wir gehen mit hoher Sicherheit davon aus, dass die Malware genutzt wird um eine leistungsstarke, schwer zu attribuierende Infrastruktur zu schaffen, die verschiedene operationelle Bedürfnisse eines Gefährdungsakteurs befriedigen kann," sagte William Largent von Cisco. Da die infizierte Infrastruktur von Privatpersonen oder kleinen Unternehmen betrieben werde, könnten Angriffe dann fälschlicherweise auf diese Personen oder Organisationen zurückgeführt werden.

    Linksys, Netgear und QNAP
    Die infizierten Router seien für Privatnutzer kaum erkennbar, man könne von ihnen auch nicht die technischen Fähigkeiten erwarten, diese von der Malware zu bereinigen. Die Malware befällt offenbar vor allem Router mit einer Busybox- oder Linux-basierten Firmware. Konkret identifizierte die Sicherheitsfirma Symantec die Modelle Linksys E1200, E2500 und WRVS4400N sowie die Netgear-Geräte DGN2200, R6400, R7000, R8000, WNR1000 und WNR2000. Auch einige NAS von QNAP sollen betroffen sein.

    Cisco und Symantec empfehlen Besitzern entsprechender Geräte, diese auf den Auslieferungszustand zurückzusetzen. Dabei gehen natürlich alle individuellen Konfigurationen verloren und die Geräte müssen neu eingerichtet werden. Die US-Bundespolizei FBI hat einen Server der Angreifer beschlagnahmt.

    Quelle: Golem.de

    < Error establishing a database connection >


  2. Diesen Mitgliedern gefällt dieser Beitrag:


  3. Werbung - Hier werben?
  4. #2
    VIP Team
    Registriert
    May 2015
    Beiträge
    1,018
    Gefällt mir!
    862
    Du gefällst: 374
    Ist Cisco nicht selbst Router Hersteller?

    Nur so als Anmerkung ...

  5. #3
    Senior Avatar von delle
    Registriert
    May 2017
    Beiträge
    304
    Gefällt mir!
    534
    Du gefällst: 609
    angeblich aber schon entschärft steht seit Nachmittag auf Heise:

    Router- und NAS-Botnetz VPNFilter: FBI kapert Kontrollserver

    Spoiler ausklappen
    Das jetzt aufgedeckte, riesige Router- und NAS-Botnetz VPNFilter hat ein wichtiges Fundament verloren: Nach einem Neustart findet die Malware nicht mehr die Informationen, um sich neu zu installieren, da das FBI den dafür nötigen Server kontrolliert.

    Parallel zum Bekanntwerden eines massiven Hackerangriffs auf mindestens 500.000 Router und Netzwerkspeichergeräte (NAS) ist die Gefahr offenbar bereits deutlich verringert worden. Wie das US-Magazin The Daily Beast berichtet, hat die US-Bundespolizei FBI im Verlauf der Woche Zugriff auf jene Internetadresse erlangt, über die sich die Malware neue Anweisungen herholt, wenn sie größtenteils entfernt worden ist und andere Wege verschlossen sind.

    Wer also jetzt ein infiziertes Gerät neustartet, wird die Schadsoftware zwar nicht sofort los, sie verbindet sich aber nur noch mit einer Seite des FBI. Das kann so infizierte Geräte identifizieren, die schädlichen Teile der Malware werden aber nicht mehr neu installiert. Die Malware wartet danach aber wohl auf weitere Anweisungen, kann also von den Hintermännern immer noch kontaktiert werden. Geschlagen ist sie damit also noch nicht.

    Zuvor hatte die US-Sicherheitsfirma Talos vor einer raffinierten Malware namens VPNFilter gewarnt. Die bestehe aus mehreren Stufen, von der sich die erste permanent im System einnistet und dann die eigentliche Schadfunktion nachlädt (Stage 2). Diese wiederum lassen sich durch zusätzliche Module um weitere Funktionen erweitern (Stage 3). Wie das US-Magazin erklärt, sucht die erste Stufe nach einem Neustart automatisch nach einem bestimmten Bild auf der Foto-Plattform Photobucket.com. In dessen Metadaten waren Informationen für die Neuinstallation versteckt. Das Bild wurde inzwischen gelöscht und deswegen surft die Malware die fest vorgegebene Adresse ToKnowAll.com an, um an die Daten zu kommen. Da die nun in der Hand des FBI ist, könne sie sich nicht mehr direkt neu installieren.

    Geschwächt, aber nicht geschlagen

    Angesichts einer besonders besorgniserregende Funktion von VPNFilter sollten nun also alle möglicherweise betroffenen Geräte neugestartet und die Malware damit zumindest vorerst gelöscht werden. Denn deren Autoren haben eine Funktion eingebaut, die das infizierte Gerät auf Zuruf unbrauchbar macht: VPNFilter löscht nach einem "kill"-Befehl die ersten 5000 Byte des ersten Block-Devices (/dev/mtdblock0), was dazu führt, dass es nicht mehr startet. Das ermögliche es den Besitzern des Bot-Netzes, "eine zerstörerische Attacke im großen Stil" loszutreten. Jetzt könnten die Hintermänner diesen Befehl losschicken, um Schaden anzurichten. Was der eigentliche Zweck ihrer Malware ist, ist noch nicht bekannt. Talos hatte mit dem Finger in Richtung Russland gezeigt.

    Betroffene Geräte:

    Linksys

    E1200
    E2500
    WRVS4400N

    Mikrotik

    1016
    1036
    1072

    Netgear

    DGN2200
    R6400
    R7000
    R8000
    WNR1000
    WNR2000

    Qnap

    TS251
    TS439 Pro
    und andere Qnap NAS-Geräte mit QTS-Software

    TP-Link

    R600VPN
    https://www.heise.de/security/meldun...r-4057613.html

Ähnliche Themen

  1. UC Browser: Hacker können auf Android-Geräten Schadcode ausführen
    Von RedDevil im Forum Software & Hardware (inkl. Gaming)
    Antworten: 0
    Letzter Beitrag: 27.03.2019, 13:42
  2. Geschäftsmodell Botnetz: mehr als 20 Millionen Dollar Einnahmen pro Monat mittels Botnetz
    Von BigC im Forum Szene News (Webmaster, Downloads, etc.)
    Antworten: 3
    Letzter Beitrag: 18.06.2018, 21:04
  3. ShadowPad: Spionage-Hintertür in Admintools für Unix- und Linux-Server aufgedeckt
    Von delle im Forum Datenschutz & Privatsphäre (IT-Security)
    Antworten: 0
    Letzter Beitrag: 16.08.2017, 11:35
  4. OMEMO: Endlich auf vielen Geräten verschlüsselt chatten
    Von RedDevil im Forum Datenschutz & Privatsphäre (IT-Security)
    Antworten: 1
    Letzter Beitrag: 18.10.2016, 16:21
  5. Ordner verschlüsseln unter DSM 6.0 auf Synology Geräten
    Von Shepard im Forum Tutorials & Papers
    Antworten: 1
    Letzter Beitrag: 23.04.2016, 13:17

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
SzeneBox.org... im Mittelpunkt der Szene!
© since 2015 szeneBOX.org - All Rights Reserved
Domains: www.szenebox.org