Router- und NAS-Botnetz VPNFilter: FBI kapert Kontrollserver
(Bild: xresch)
Das jetzt aufgedeckte, riesige Router- und NAS-Botnetz VPNFilter hat ein wichtiges Fundament verloren: Nach einem Neustart findet die Malware nicht mehr die Informationen, um sich neu zu installieren, da das FBI den dafĂŒr nötigen Server kontrolliert.
Parallel zum Bekanntwerden eines massiven Hackerangriffs auf mindestens 500.000 Router und NetzwerkspeichergerĂ€te (NAS) ist die Gefahr offenbar bereits deutlich verringert worden. Wie das US-Magazin The Daily Beast berichtet, hat die US-Bundespolizei FBI im Verlauf der Woche Zugriff auf jene Internetadresse [1] erlangt, ĂŒber die sich die Malware neue Anweisungen herholt, wenn sie gröĂtenteils entfernt worden ist und andere Wege verschlossen sind.
Wer also jetzt ein infiziertes GerÀt neustartet, wird die Schadsoftware zwar nicht sofort los, sie verbindet sich aber nur noch mit einer Seite des FBI. Das kann so infizierte GerÀte identifizieren, die schÀdlichen Teile der Malware werden aber nicht mehr neu installiert. Die Malware wartet danach aber wohl auf weitere Anweisungen, kann also von den HintermÀnnern immer noch kontaktiert werden. Geschlagen ist sie damit also noch nicht.
Zuvor hatte die US-Sicherheitsfirma Talos vor einer raffinierten Malware namens VPNFilter gewarnt [2]. Die bestehe aus mehreren Stufen, von der sich die erste permanent im System einnistet und dann die eigentliche Schadfunktion nachlĂ€dt (Stage 2). Diese wiederum lassen sich durch zusĂ€tzliche Module um weitere Funktionen erweitern (Stage 3). Wie das US-Magazin erklĂ€rt, sucht die erste Stufe nach einem Neustart automatisch nach einem bestimmten Bild auf der Foto-Plattform Photobucket.com. In dessen Metadaten waren Informationen fĂŒr die Neuinstallation versteckt. Das Bild wurde inzwischen gelöscht und deswegen surft die Malware die fest vorgegebene Adresse ToKnowAll.com an, um an die Daten zu kommen. Da die nun in der Hand des FBI ist, könne sie sich nicht mehr direkt neu installieren.
GeschwÀcht, aber nicht geschlagen
Angesichts einer besonders besorgniserregende Funktion von VPNFilter sollten nun also alle möglicherweise betroffenen GerĂ€te neugestartet und die Malware damit zumindest vorerst gelöscht werden. Denn deren Autoren haben eine Funktion eingebaut, die das infizierte GerĂ€t auf Zuruf unbrauchbar macht: VPNFilter löscht nach einem "kill"-Befehl die ersten 5000 Byte des ersten Block-Devices (/dev/mtdblock0), was dazu fĂŒhrt, dass es nicht mehr startet. Das ermögliche es den Besitzern des Bot-Netzes, "eine zerstörerische Attacke im groĂen Stil" loszutreten. Jetzt könnten die HintermĂ€nner diesen Befehl losschicken, um Schaden anzurichten. Was der eigentliche Zweck ihrer Malware ist, ist noch nicht bekannt. Talos hatte mit dem Finger in Richtung Russland gezeigt.
Betroffene GerÀte:
Linksys
- E1200
- E2500
- WRVS4400N
- 1016
- 1036
- 1072
- DGN2200
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- TS251
- TS439 Pro
- und andere Qnap NAS-GerÀte mit QTS-Software
- R600VPN
(mho [3])
URL dieses Artikels:
https://www.heise.de/-4057613
Links in diesem Artikel:
[1] https://thedailybeast.com/exclusive-fbi-seizes-control-of-russian-botnet
[2] https://www.heise.de/news/Cisco-Talos-deckt-riesiges-Router-und-NAS-Botnetz-auf-4056997.html
[3] mailto:mho@heise.de
Copyright © 2018 Heise Medien