FBI empfiehlt dringend einen Routerneustart gegen VPNFilter-Malware

FBI empfiehlt dringend einen Routerneustart gegen VPNFilter-Malware

Die US-Sicherheitsfirma Talos, Tochter des Router-Herstellers Cisco, warnte in der vergangenen Woche vor einem riesigen Bot-Netz, das es mittels neuer VPNFilter-Malware weltweit auf mindestens 500 K Netzwerkgeräte abzielte. Betroffen davon waren vor allem Router und Netzwerkspeichergeräte (NAS). Nun rät das FBI dringend, die betroffenen Geräte zu rebooten.

Ausländische Cyber-Akteure installierten auf den Routern und NAS eine mehrstufige Malware namens VPNFilter. Mindestens 500.000 infizierte Geräte in insgesamt 54 Ländern hat Talos bereits ermittelt. Einen Schwerpunkt der Aktivitäten sieht Talos in der Ukraine, Deutschland folgt aber gleich auf Platz zwei. Das besonders perfide an der Schadsoftware wäre, dass die Autoren der Schadsoftware VPNFilter offenbar einen Schalter eingebaut haben, der die infizierten Systeme auf Befehl zerstört. Konkret überschreibt VPNFilter nach einem “kill”-Befehl die ersten 5000 Byte des ersten Block-Devices (/dev/mtdblock0). In Folge führt das dazu, dass sich das System nicht mehr starten lässt. Somit ist für die Besitzer des Bot-Netzes der Weg frei für “eine zerstörerische Attacke im großen Stil”.

Einmal erfolgreich im System integriert, führt die VPNFilter-Malware mehrere Stufen aus. Stufe eins besteht in der Infiltrierung. In Stufe zwei kommt die eigentliche Schadfunktion zum Einsatz, die in Stufe drei nochmals durch zusätzliche Module erweitert wird. Talos weißt allerdings darauf hin, dass sie die Untersuchungen diesbezüglich noch nicht abgeschlossen haben. VPNFilter wurde bisher auf Netzwerk-Geräten von Linksys, MikroTik, Netgear und TP-Link aus dem SOHO-Bereich entdeckt . Zudem waren NAS-Geräten des Herstellers QNAP betroffen (siehe auch Auflistung am Textende).

Im Verlauf der letzten Woche hat das FBI Zugriff auf den entsprechenden Kontrollserver jener Internetadresse erlangt, über die sich die Malware neue Anweisungen holt, wenn sie größtenteils entfernt worden ist und andere Wege verschlossen sind. Deshalb findet die Malware nach einem Neustart nicht mehr die Informationen, um sich neu zu installieren. VPNFilter sucht die erste Stufe nach einem Neustart automatisch nach einem bestimmten Bild auf der Foto-Plattform Photobucket.com. Innerhalb der Metadaten waren Informationen für die Neuinstallation versteckt. Das Bild allerdings wurde inzwischen gelöscht. Deswegen surft die Malware nun die fest vorgegebene Adresse ToKnowAll.com an, um weiterhin an die Daten zu gelangen. Da die nun in der Hand des FBI ist, könne sie sich nicht mehr direkt neu installieren.

Wie das FBI jedoch mitteilt, wäre es aktuell nicht einfach, die Netzwerkaktivität der Malware zu entdecken, da diese zur Verschleierung auf Verschlüsselung und falsche Netzwerkzuordnung setzt. Die Konsequenzen für Besitzer infizierter Router, die sich nur darauf beschränen, ihre Geräte neu zu starten, wären dann die, dass sie die Malware zwar nicht losgeworden sind, das Schadprogramm aber zumindest nicht mehr zu einer Neuinfesktion beiträgt. Sie verbindet sich lediglich mit besagter Seite vom FBI. Dennoch ist zu weiterer Vorsicht geraten, wie das FBI bekannt gibt, denn die Malware wartet danach ständig noch auf weitere Anweisungen, kann also von den Hintermännern auch immer noch kontaktiert werden. Unschädlich gemacht ist sie damit folglich noch nicht, denn die Gefahr besteht in der Kill-Funktion der Autoren, wodurch es weiterhin gegeben bleibt, dass die Cyber-Akteure gerade diesen Befehl abschicken, um zusätzlichen Schaden zu verursachen. Wer also ganz sicher gehen will, der sollte sein Gerät auf Werkseinstellungen zurück stellen.

Wies Talos noch darauf hin, es würde nicht genügen, wie etwa beim Botnetzwerk Mirai, das Gerät neu zu starten und empfahl unbeding die Zurückstellung auf Werkseinstellungen, weil der Vorgang beim Neustart nur die Stufen zwei und drei der Malware entfernt und danach eine erneute Infektion durch Stufe 1 dann schon vorprogrammiert sei, so hat sich durch den Zugriff auf den entsprechenden Kontrollserver seitens des FBIs die Lage etwas entschärft. Das US-amerikanische FBI schaltet sich nun in den Fall ein und gibt eine eigene Empfehlung für den Umgang mit der Malware VPNFilter heraus. Die US-Bundespolizei rät in seiner offiziellen Mitteilung Besitzern bestimmter Router-Modelle dringend zu einem Neustart der Hardware. Zusätzlich zu dem Reboot empfiehlt das FBI bei diesen Geräten, alle Möglichkeiten zum Fernzugriff zu deaktivieren. Dazu sollten die üblichen Sicherheitsempfehlungen Beachtung finden, wie die Nutzung eines starken Passworts und einer Verschlüsselung, falls vorhanden. Zudem wäre es angebracht, die Firmware immer auf dem neuesten Stand zu halten. Gemäß Mitteilung des US-Justizministerium bleibt eine Neuinfektion nach dem Reboot zwar weiterhin gegeben, wird aber durch den Neustart deutlich erschwert und außerdem ermögliche der eine Abschätzung des gesamten Ausmaßes.

Zu den Routern, die von VPNFilter betroffen sein können, zählen:

      • Linksys E1200
      • Linksys E2500
      • Linksys WRVS4400N
      • Mikrotik RouterOS für Cloud Core Routers: Versions 1016, 1036, und 1072
      • Netgear DGN2200
      • Netgear R6400
      • Netgear R7000
      • Netgear R8000
      • Netgear WNR1000
      • Netgear WNR2000
      • QNAP TS251
      • QNAP TS439 Pro
      • Andere QNAP NAS Geräte mit QTS Software
      • TP-Link R600VPN

    Bildquelle: TheDigitalArtist, thx! (CC0 Public Domain)

Related Post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.