Bot Netzwerk Erkennen

Call for reset: Großer Router und NAS-Botnet auch in Deutschland

Die Cisco-Tochtergesellschaft Talkos hat ein Botnet mit rund 500.000 Routern und NAS-Systemen entdeckt. Der VPNFilter soll russischen Ursprungs sein und erlaubt es, die Endgeräte zu jeder Zeit zu vernichten. In 54 Staaten hat die Firma in der Ukraine angesteckte Routers und NAS gefunden.

Deutschland rangiert mit mehr als dreißigtausend befallenen Geräten auf dem zweiten Rang in der Rangliste der befallenen Produkte, sagte Talos Heise. Indem auf die von der Schadsoftware angesprochenen Domains zugegriffen wird, soll das Aufladen der Schadsoftware verhindert werden, so dass ein Restart der betroffenen Endgeräte ausreichend ist, um das Botnet zu schonen.

Der VPNFilter von Schadsoftware ist mehrschichtig strukturiert. Den Verwendungszweck der Schadsoftware und den genauen Vertriebsweg hat die Firma noch nicht bekanntgeben. Lediglich, dass Tors und Proxys verwendet werden, möglicherweise um die Verbindung zu eigenen Server zu verstecken, ist bisher bekannt. Allerdings hat die Firma Talos selbst die Bewertung der erhobenen Informationen noch nicht vollständig durchlaufen.

Allerdings haben alle bisher gefundenen angesteckten Routers und NAS Sicherheitslöcher oder werden mit Standardpasswörtern verwendet, sagt Talos. Nach heutigem Kenntnisstand sind Netzwerkgeräte von Linkys, MicroTik, Netgear, TP-Link und QNAP davon betroffen. 2. Die QNAP hat bereits einen Sicherheitsberater für das Programm Schadprogramm VNFilter freigegeben, der den Gebrauch von VNFilter 2.2.1 empfiehlt, der das Programm nicht nur erkennen, sondern auch unbedenklich machen soll.

Auch QNAP sagt, dass es sich bei diesem Verfahren um einen Datenklau von Virtual Private Networks (VPNFilter) handelt, ohne weitere Angaben zu machen. Ein vollständiges Zurücksetzen auf die Werkseinstellung mit vollständigem Verlust der Messdaten kann durch ein Update und den Gebrauch von Schadprogrammen des Schädlingsbekämpfers 2.2.1 umgangen werden. Ein Kill-Befehl erlaubt es dem Angreifer, das eingedrungene Gerät zu jeder Zeit zu vernichten.

Der VPNFilter übersteuert die ersten 5000 Bytes des ersten Blockgeräts, so dass der Rechner oder der NAS nicht mehr gestartet wird. Der einzige Weg, alle betroffenen Computer von der Schadsoftware zu entlasten, ist ein vollständiger Rücksetzung. Bei einem Restart würden die Ebenen 2 und 3 zurückgesetzt, aber nicht die Ebene 1 entfernt, so dass das erneute Laden und Starten der Schadsoftware bereits programmiert ist.

Um das Botnet abzuschalten, empfiehlt die Firma die komplette Rücksetzung aller Routers und NAS aller Anbieter, da sie noch nicht weiß, welche Anbieter davon wirklich betroffen sind. Internet-Providern, die Zugang zu den Routern ihrer Kundschaft haben, z.B. für Kabelverbindungen, wird ein Neustart mindestens empfehlen. Nicht nur müssen alle Parameter zurückgesetzt werden, sondern vor allem bei NAS-Systemen können alle Informationen untergehen.

Die bisherigen Verdachtsmomente bezüglich der Entstehung von Schadsoftware weisen auf Staatsakteure aus Russland aufgrund von Ähnlichkeiten zu anderer Schadsoftware hin, die eine Parallele zu den aktuellen Warnhinweisen aus den USA und Großbritannien vor einem globalen Cyberattack über eingedrungene Routers aus Russland aufweisen. Bisher wurden die folgenden Routers und NAS als davon beeinträchtigt bestätigt: