Experten von Cisco warnen vor einer hochentwickelten Malware namens VPNFilter, die sich bereits weltweit in über 54 Ländern und mehr als ein halbe Million Routern und Netzwerkgeräten eingenistet hat.
Die Malware „VPNFilter“ wird als mehrstufige und modular aufgebaute Malware beschrieben, die sehr vielfältig in ihren Aktionen (Bild) ist. So ist die Malware sowohl für das Sammeln von Daten u.a. von Logins und Passwörtern, das Überwachen und Kontrollieren von SCADA-Industriesteuerungssystemen als auch für zerstörerische Cyberangriffe ausgelegt. Die technische Umsetzung der VPNFilter Malware zeigt, dass es sich hier um eine professionell entwickelte und durchgeführte Malware-Kampagne handelt.
Laut den Experten von Talos zeigt die „VPNFilter“ in Teilen des Codes große Überschneidungen mit der Malware BlackEnergy, die zuvor für groß angelegte Cyberangriffe in der Ukraine verantwortlich gemacht wurde. Die Experten von Cisco befürchten mit „VPNFilter“ selbiges und geht somit an die Öffentlichkeit.
Während Botnetze wie Mirai wahllos alle anfälligen Geräte weltweit infizieren, hat es die Malware „VPNFilter“ bislang auf Router und Netzwerkgeräte der Hersteller Linksys, MikroTik, NETGEAR, TP-Link und Qnap abgesehen.
Im Gegensatz zu den meisten Infektionen, die es auf Geräte des Internets (IoT) abgesehen haben, kann „VPNFilter“ in seiner ersten Phase einen Neustart des Systems überleben. Dies gilt jedoch nicht für die zweite Phase, in der Informationen gesammelt werden. Zudem zeigt die Malware in verschiedenen Versionen der zweiten Phase eine Art “Selbstzerstörung“, die u.a. einen Teil der Firmware überschreibt und das Gerät nach Neustart unbrauchbar macht.
VPNFilter ist modular aufgebaut und arbeitet in mehreren Stufen:
Stufe 1 wird zuerst installiert und wird verwendet, um eine dauerhafte Anwesenheit auf dem infizierten Gerät aufrechtzuerhalten, kontaktiert einen C & C-Server, um weitere Module herunterzuladen.
Stufe 2 enthält die Hauptnutzlast und ist in der Lage, Daten zu sammeln, Befehle auszuführen, Daten zu exfiltrieren und Geräte zu verwalten. Es hat auch eine zerstörerische Fähigkeit und kann das Gerät auf Befehl unbrauchbar machen. Dazu wird ein Teil der Firmware des Geräts überschrieben und neu gestartet.
Es gibt mehrere bekannte Stage 3-Module, die als Plugins für Stufe 2 fungieren. Dazu gehört ein Paket-Sniffer, der den Datenverkehr überwacht und u.a. Anmeldeinformationen der Website und Überwachung von Modbus-SCADA-Protokollen entwendet. Ein anderes Stage 3-Modul ermöglicht Stage 2 die Kommunikation mit dem Tor-Netzwerk.
Bild: blog.talosintelligence.com
Symantec hat eine Liste aller bisher betroffenen Router veröffentlicht:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Other QNAP NAS devices running QTS software
- TP-Link R600VPN
Infektionsweg unbekannt:
Wie die Geräte jedoch infiziert bzw. welches Exploit zu Kompromittierung genutzt wird, ist noch ungeklärt, aber alle Netzwerkgeräte enthalten bekannte Sicherheitslücken, die über Remote angegriffen werden können. Laut Largent von Cisco ist es schwierig, sich gegen diese Malware zu schützen. Detaillierte Informationen zu “VPNFilter” finden Sie auf dem Blog von Talos.
Zusammenfassend empfiehlt Cisco den Benutzern:
- Benutzer von Routern und / oder NAS-Geräten sollen die Geräte auf die Werkseinstellungen zurücksetzen und neu starten. Hierbei wird möglicherweise zerstörerische, nicht persistente Malware der Stufe 2 und Stufe 3 entfernt.
- Dienstleister, die ihren Benutzern SOHO-Router bereitstellen, starten die Router im Namen ihrer Kunden neu.
- Wenn bei Ihnen ein infiziertes Geräte bekannt bzw. vermutet wird, ist es äußerst wichtig, dass Sie mit dem Hersteller zusammenarbeiten und das Gerät über neueste Patch-Versionen auf den neuesten Stand bringen.
- Spielen Sie aktuelle Patches ein.
- ISPs sollen sicherstellen, dass die Geräte ihrer Kunden mit den neuesten Firmware- / Softwareversionen gepatcht wurden.
