Deutschland Platz zwei: Riesiges Router- und NAS-Botnetz aufgedeckt

Sicherheitsforscher haben ein Botnetz entdeckt, bei dem vermutlich staatliche Angreifer mit der Schadsoftware VPNFilter die Kontrolle über mehr als eine halbe Million Geräte übernommen haben. Nach der Ukraine liegt Deutschland bei der Zahl der betroffenen Systeme auf Platz zwei.

500.000 Bots sind im Netz angeschlossen

Die US-Sicherheitsfirma Talos, Tochter des Router-Herstellers Cisco hat ein sehr großes Botnetz entdeckt, das sich bei seiner Verbreitung vor allem auf Router- und Netzwerkspeichergeräte zu konzentrieren scheint. Nach eigenen Angaben will man bisher 500.000 Systeme ermittelt haben, die alle mit einer ausgefeilten, mehrstufigen Schadsoftware mit dem Namen VPNFilter infiziert wurden. Verbreitung findet der Angriff in insgesamt 54 Ländern, der Schwerpunkt der Aktivitäten liegt laut den Forschern aber in der Ukraine. Auf Platz Zwei der Verbreitungsstatistik kann sich Deutschland mit über 30.000 infizierten Geräten einreihen, so Talos gegenüber heise.


Wie das Unternehmen beschreibt, nistet sich die erste Stufe von VPNFilter permanent in dem System ein und beginnt damit, eigentliche Schadfunktionen nachzuladen. Zusätzliche Module machen es möglich, dass die Software um weitere Funktionen erweitert werden kann. Zu dem genauen Ziel der Hintermänner liefert Talon aktuell keine Informationen und kann nur attestieren, dass die Schadsoftware Tor und Proxies nutzt - vermutlich um mit dem Kontrollserver zu kommunizieren oder ein Relay bereitzustellen. Auch der genaue Verbreitungsweg ist noch nicht bekannt.

Kill-Switch eingebaut

Wie Talos betont, seien die Untersuchungen des Botnet und der dazugehörigen Schadsoftware noch nicht abgeschlossen, aktuell habe man noch nicht einmal alle Module einsehen können. Allerdings waren die Sicherheitsexperten schon jetzt auf eine Funktion gestoßen, auf die sie mit Nachdruck hinweisen: Offenbar haben die Hintermänner VPNFilter mit einem Befehl ausgerüstet, der Systeme auf Zuruf unbrauchbar machen kann. Damit wäre es möglich "eine zerstörerische Attacke im großen Stil" durchzuführen, so Talon.

Da durch einen Neustart von betroffenen Geräten nur Stufe zwei und drei der Schadsoftware entfernt werden, reicht dies nicht, um die Infektion zu entfernen. Talos liefert hier nur den Hinweis, dass betroffene Router und NAS-Geräte auf Werkseinstellungen zurückgesetzt werden sollten - da dies mit komplettem Datenverlust einhergeht gerade für Netzwerkspeicher eine sehr radikale Empfehlung. Besonders drastisch: in Talos Blog-Beitrag zu VPNFilter wird diese Vorgehensweise für "alle SOHO oder NAS-Geräte, unabhängig davon, ob sie bekanntermaßen von der Bedrohung betroffen sind oder nicht" empfohlen.

Download RouterPassView - Router-Passwörter auslesen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!