Aufruf zum Reset: Riesiges Router- und NAS-Botnetz auch in Deutschland

Frank Hüber 127 Kommentare
Aufruf zum Reset: Riesiges Router- und NAS-Botnetz auch in Deutschland
Bild: jarmoluk | CC0 1.0

Das Tochterunternehmen von Cisco, die Sicherheitsfirma Talos, hat ein Botnetz bestehend aus rund 500.000 Router und NAS-Systemen aufgedeckt. Die Malware VPNFilter soll russischer Herkunft sein und ermöglicht es, die Geräte jederzeit zu zerstören.

Deutschland nach Ukraine am stärksten betroffen

Talos konnte bislang infizierte Router und NAS in 54 Ländern ausfindig machen, die meisten davon befinden sich in der Ukraine. Mit mehr als 30.000 infizierten Endgeräten liegt Deutschland allerdings auf dem zweiten Platz der unrühmlichen Liste infizierter Geräte, so Talos gegenüber Heise. Das FBI hat bereits mit einem Gegenschlag begonnen, bei dem versucht wird, das Botnetz unter eigene Kontrolle zu bringen. Durch den Zugriff auf die von der Malware kontaktierten Domains soll das Laden der Malware unterbunden werden, so dass ein Neustart betroffener Geräte ausreicht, um das Botnetz unschädlich zu machen. Die ukrainische Regierung sieht indes einen Zusammenhang zum Finale der Champions League am Samstag in Kiew und warnt vor einem russischen Hackerangriff auf die Infrastruktur.

Infizierungsweg noch unbekannt

Die Malware VPNFilter ist mehrstufig aufgebaut. Die erste Stufe nistet sich dauerhaft im System ein und übersteht auch einen Neustart des Geräts problemlos. Sie löst Stufe 2 aus, durch die wiederum das eigentliche Schadprogramm geladen und ausgeführt wird. Stufe 3 ermöglicht dann wiederum das Nachladen zusätzlicher Module, um die Schadsoftware nachträglich zu erweitern. Talos hat bislang nicht bekannt gegeben, welchen Zweck die Malware verfolgt und wie der genaue Verbreitungsweg aussieht. Nur dass Tor und Proxies genutzt werden, eventuell um die Kommunikation mit eigenen Servern zu verbergen, ist bislang bekannt. Talos selbst hat die Auswertung der gewonnenen Daten jedoch noch nicht abgeschlossen und insbesondere noch nicht alle Module abschließend untersucht. Alle bislang entdeckten, infizierten Router und NAS weisen jedoch Sicherheitslücken auf oder würden mit Standard-Passwörtern genutzt, so Talos. Betroffen sind nach bisherigen Erkenntnissen Netzwerk-Geräte der Hersteller Linksys, MikroTik, Netgear, TP-Link und QNAP.

Verbreitungsstufen von VPNFilter
Verbreitungsstufen von VPNFilter (Bild: Talos)

NAS-Systeme von QNAP betroffen

QNAP hat bereits einen Security-Advisor zur Malware VPNFilter veröffentlicht, in dem der Einsatz des Malware Remover 2.2.1 empfohlen wird, der VPNFilter nicht nur entdecken, sondern auch unschädlich machen soll. QNAP spricht zudem davon, dass VPNFilter Daten stehlen würde, ohne weitere Details zu nennen. Betroffen sollen alle NAS-Systeme von QNAP mit QTS 4.2.6 Build 20170628, 4.3.3 Build 20170703 und früher sein, oder sofern sie die Standard-Einstellungen für das Passwort des Administrator-Accounts verwenden. Durch ein Upgrade und den Einsatz des Malware Remover 2.2.1 könne ein kompletter Reset auf die Werkseinstellungen mit komplettem Datenverlust vermieden werden.

Kill-Befehl, um Geräte zu zerstören

VPNFilter beinhaltet zudem einen kill-Befehl, der es den Angreifern ermöglicht, das infiltrierte Endgerät jederzeit zu zerstören. VPNFilter überschreibt hierfür die ersten 5000 Byte des ersten Block-Devices, so dass der Router oder das NAS nicht mehr startet.

Kompletter Reset aller Router und NAS empfohlen

Einziger Ausweg, um alle infizierten Geräte von der Malware zu befreien, ist ein kompletter Reset notwendig. Ein Neustart würde Stufe 2 und 3 zurücksetzen, Stufe 1 aber nicht entfernen, so dass ein Nachladen und erneutes Ausführen der Malware vorprogrammiert ist. Talos geht sogar so weit, einen kompletten Reset aller Router und NAS aller Hersteller anzuraten, um das Botnetz auszuschalten, da man noch nicht wisse, welche Hersteller tatsächlich betroffen seien. Internet-Providern, die Zugriff auf die Router ihrer Kunden etwa bei Kabelanschlüssen haben, wird empfohlen, diese zumindest neuzustarten. Durch einen Reset müssen aber nicht nur alle Einstellungen neu vorgenommen werden, sondern insbesondere bei NAS-Systemen können sämtliche Daten verloren gehen, weshalb dieser Schritt ebenso gut überlegt sein sollte.

Staatliche Angreifer aus Russland?

Bisherige Vermutungen zur Herkunft der Malware deuten aufgrund von Parallelen zu anderer Malware auf staatliche Akteure aus Russland hin, was Parallelen zu den jüngsten Warnungen der USA und Großbritannien über eine globale Cyberattacke über infiltrierte Router aus Russland erkennen lässt. Dass es sich hierbei um dasselbe Botnetz handelt, ist noch nicht bestätigt.

Bislang sind folgende Router und NAS als betroffen bestätigt:

  • Linksys
    • E1200
    • E2500
    • WRVS4400N
  • MikroTik
    • 1016
    • 1036
    • 1072
  • Netgear
    • DGN2200
    • R6400
    • R7000
    • R8000
    • WNR1000
    • WNR2000
  • QNAP
    • potentiell alle NAS
  • TP-Link
    • R600VPN