Ein Botnetz aus Routern soll als Infrastruktur für kriminelle Angriffe dienen. Betroffen sind vor allem Netgear- und Linksys-Geräte. Die IoT-Malware übersteht sogar einen Neustart der Geräte.

Die Sicherheitsfirma Cisco hat ein Botnetz mit rund 500.000 infizierten Routern entdeckt (https://blog.talosintelligence.com/2018/05/VPNFilter.html). Das Unternehmen geht davon aus, dass es sich dabei um Infrastruktur für kriminelle Handlungen handelt - möglicherweise sogar für einen staatlichen Akteur. Betroffen sind Router zahlreicher Hersteller, darunter Linksys, Mikrotik, Netgear und TP-Link.

Die auf den Routern installierte Malware soll anders als übliche ioT-Malware einen Reboot des Gerätes überleben können. Infizierte Geräte stehen nach Angaben von Ciscos Talos-Team in 54 Staaten, die Infektionen seien seit 2016 Schritt für Schritt angestiegen. In den vergangenen drei Wochen soll es allerdings zu einem erheblichen Anstieg der Infektionen gekommen sein, betroffen seien vor allem Geräte in der Ukraine.

"Wir gehen mit hoher Sicherheit davon aus, dass die Malware genutzt wird um eine leistungsstarke, schwer zu attribuierende Infrastruktur zu schaffen, die verschiedene operationelle Bedürfnisse eines Gefährdungsakteurs befriedigen kann," sagte William Largent von Cisco. Da die infizierte Infrastruktur von Privatpersonen oder kleinen Unternehmen betrieben werde, könnten Angriffe dann fälschlicherweise auf diese Personen oder Organisationen zurückgeführt werden.

Linksys, Netgear und QNAP
Die infizierten Router seien für Privatnutzer kaum erkennbar, man könne von ihnen auch nicht die technischen Fähigkeiten erwarten, diese von der Malware zu bereinigen. Die Malware befällt offenbar vor allem Router mit einer Busybox- oder Linux-basierten Firmware. Konkret identifizierte die Sicherheitsfirma Symantec die Modelle Linksys E1200, E2500 und WRVS4400N sowie die Netgear-Geräte DGN2200, R6400, R7000, R8000, WNR1000 und WNR2000. Auch einige NAS von QNAP sollen betroffen sein.

Cisco und Symantec empfehlen Besitzern entsprechender Geräte, diese auf den Auslieferungszustand zurückzusetzen. Dabei gehen natürlich alle individuellen Konfigurationen verloren und die Geräte müssen neu eingerichtet werden. Die US-Bundespolizei FBI hat einen Server der Angreifer beschlagnahmt.

Quelle: Golem.de (https://www.golem.de/news/vpnfilter-router-botnetz-mit-500-000-geraeten-aufgedeckt-1805-134557.html)

Ist Cisco nicht selbst Router Hersteller? :emoji51:

Nur so als Anmerkung ...

angeblich aber schon entschärft steht seit Nachmittag auf Heise:

Router- und NAS-Botnetz VPNFilter: FBI kapert Kontrollserver

Das jetzt aufgedeckte, riesige Router- und NAS-Botnetz VPNFilter hat ein wichtiges Fundament verloren: Nach einem Neustart findet die Malware nicht mehr die Informationen, um sich neu zu installieren, da das FBI den dafür nötigen Server kontrolliert.

Parallel zum Bekanntwerden eines massiven Hackerangriffs auf mindestens 500.000 Router und Netzwerkspeichergeräte (NAS) ist die Gefahr offenbar bereits deutlich verringert worden. Wie das US-Magazin The Daily Beast berichtet, hat die US-Bundespolizei FBI im Verlauf der Woche Zugriff auf jene Internetadresse erlangt, über die sich die Malware neue Anweisungen herholt, wenn sie größtenteils entfernt worden ist und andere Wege verschlossen sind.

Wer also jetzt ein infiziertes Gerät neustartet, wird die Schadsoftware zwar nicht sofort los, sie verbindet sich aber nur noch mit einer Seite des FBI. Das kann so infizierte Geräte identifizieren, die schädlichen Teile der Malware werden aber nicht mehr neu installiert. Die Malware wartet danach aber wohl auf weitere Anweisungen, kann also von den Hintermännern immer noch kontaktiert werden. Geschlagen ist sie damit also noch nicht.

Zuvor hatte die US-Sicherheitsfirma Talos vor einer raffinierten Malware namens VPNFilter gewarnt. Die bestehe aus mehreren Stufen, von der sich die erste permanent im System einnistet und dann die eigentliche Schadfunktion nachlädt (Stage 2). Diese wiederum lassen sich durch zusätzliche Module um weitere Funktionen erweitern (Stage 3). Wie das US-Magazin erklärt, sucht die erste Stufe nach einem Neustart automatisch nach einem bestimmten Bild auf der Foto-Plattform Photobucket.com. In dessen Metadaten waren Informationen für die Neuinstallation versteckt. Das Bild wurde inzwischen gelöscht und deswegen surft die Malware die fest vorgegebene Adresse ToKnowAll.com an, um an die Daten zu kommen. Da die nun in der Hand des FBI ist, könne sie sich nicht mehr direkt neu installieren.

Geschwächt, aber nicht geschlagen

Angesichts einer besonders besorgniserregende Funktion von VPNFilter sollten nun also alle möglicherweise betroffenen Geräte neugestartet und die Malware damit zumindest vorerst gelöscht werden. Denn deren Autoren haben eine Funktion eingebaut, die das infizierte Gerät auf Zuruf unbrauchbar macht: VPNFilter löscht nach einem "kill"-Befehl die ersten 5000 Byte des ersten Block-Devices (/dev/mtdblock0), was dazu führt, dass es nicht mehr startet. Das ermögliche es den Besitzern des Bot-Netzes, "eine zerstörerische Attacke im großen Stil" loszutreten. Jetzt könnten die Hintermänner diesen Befehl losschicken, um Schaden anzurichten. Was der eigentliche Zweck ihrer Malware ist, ist noch nicht bekannt. Talos hatte mit dem Finger in Richtung Russland gezeigt.

Betroffene Geräte:

Linksys

E1200
E2500
WRVS4400N

Mikrotik

1016
1036
1072

Netgear

DGN2200
R6400
R7000
R8000
WNR1000
WNR2000

Qnap

TS251
TS439 Pro
und andere Qnap NAS-Geräte mit QTS-Software

TP-Link

R600VPN
https://www.heise.de/security/meldung/Router-und-NAS-Botnetz-VPNFilter-FBI-kapert-Kontrollserver-4057613.html