VPNFilter Malware nistet auf 500'000 Routern weltweit

von Rosa Pegam

7. Juni 2018 - Cisco hat ein Botnetz mit einer halben Million Routern aufgedeckt, die von der IoT-Malware VPNFilter infiziert sind. Router zahlreicher Hersteller sind dabei betroffen – unter anderem Linksys, Netgear, TP-Link, Asus und Huawei.

Durch Cisco ist bekannt geworden, dass die Malware VPNFilter weltweit mindestens 500'000 Router gekapert hat, womit sich wahrscheinlich Kriminelle eine Infrastruktur für Angriffe aufgebaut haben. Cisco Talos zeigt eine Reihe von Modulen der Malware, die im Anschluss an die Infektion nachgeladen werden. Laut "Golem" sind diese Module wohl nicht auf allen der befallenen Router aktiv, sondern werden individuell zur Spionage oder zum weiteren Kompromittieren befallener Privatrechner oder Firmen ausgenutzt.

So soll etwa das Modul SSLR Webseiten den HTTPS-Schutz entziehen können und bösartigen Code hineinschreiben. Ein weiteres Modul namens DSTR soll genutzt werden können, um befallene Rechner betriebsunfähig zu machen oder einen Paket-Sniffer zu installieren. "Winfuture" vermutet, dass der modulare Aufbau die Entstehung immer neuer Varianten ermöglicht, die folglich von verschiedenen Betreibern zu immer neuen Zwecken und Exploits eingesetzt werden können.

Ein Kontrollserver der Angreifer soll bereits von der US-Polizei beschlagnahmt worden sein, was allerdings nicht bedeutet, dass die Malware nicht mehr aktiv ist. Befallene Geräte stammen unter anderem von Linksys, Netgear, TP-Link, Qnap, Mikrotik, Ubiquiti, Upvel und ZTE. Die Malware soll teilweise auch nach einem Routerneustart noch aktiv bleiben können. Wer Zweifel hat, sollte die Geräte entweder in den Auslieferungszustand zurücksetzen, wonach eine Neueinrichtung erfolgen muss, und beim Hersteller nach Updates fragen.

Copyright by Swiss IT Media GmbH / 2024