Durch
Cisco ist bekannt geworden, dass die Malware VPNFilter weltweit mindestens 500'000 Router gekapert hat, womit sich wahrscheinlich Kriminelle eine Infrastruktur für Angriffe aufgebaut haben. Cisco Talos zeigt eine Reihe von
Modulen der Malware, die im Anschluss an die Infektion nachgeladen werden.
Laut "Golem" sind diese Module wohl nicht auf allen der befallenen Router aktiv, sondern werden individuell zur Spionage oder zum weiteren Kompromittieren befallener Privatrechner oder Firmen ausgenutzt.
So soll etwa das Modul SSLR Webseiten den HTTPS-Schutz entziehen können und bösartigen Code hineinschreiben. Ein weiteres Modul namens DSTR soll genutzt werden können, um befallene Rechner betriebsunfähig zu machen oder einen Paket-Sniffer zu installieren. "Winfuture"
vermutet, dass der modulare Aufbau die Entstehung immer neuer Varianten ermöglicht, die folglich von verschiedenen Betreibern zu immer neuen Zwecken und Exploits eingesetzt werden können.
Ein Kontrollserver der Angreifer soll bereits von der US-Polizei beschlagnahmt worden sein, was allerdings nicht bedeutet, dass die Malware nicht mehr aktiv ist. Befallene Geräte stammen unter anderem von
Linksys,
Netgear,
TP-Link,
Qnap, Mikrotik, Ubiquiti, Upvel und
ZTE. Die Malware soll teilweise auch nach einem Routerneustart noch aktiv bleiben können. Wer Zweifel hat, sollte die Geräte entweder in den Auslieferungszustand zurücksetzen, wonach eine Neueinrichtung erfolgen muss, und beim Hersteller nach Updates fragen.
(rpg)