Router-Malware: VPN Filter bricht HTTPS-Verbindungen auf

Die Router-Malware VPN Filter kann mehr als bislang angenommen. Die Software soll neben einem Selbstzerstörungsmodul auch eines zum Aufbrechen verschlüsselter Verbindungen haben.

Artikel veröffentlicht am ,
Ein Router von Netgear
Ein Router von Netgear (Bild: Pixabay/CC0 1.0)

Eine Malware, die sich auf mindestens 500.000 Routern weltweit eingenistet hat, soll ein deutlich umfangreicheres Spektrum an Funktionen bieten als bislang bekannt. Ciscos Talos-Team glaubt nach weiteren Analysen, dass die infizierten Geräte per Man-in-the-Middle-Angriff verschlüsselte Verbindungen attackieren können.

Stellenmarkt
  1. IT Security Consultant (m/w/d)
    SySS GmbH, Tübingen, Frankfurt am Main, München, Wien (Österreich)
  2. Solution Expert (m/w/d) IT & Digitalization
    Wienerberger Deutschland Service GmbH, Hannover
Detailsuche

Cisco beschreibt mehrere neue Module der Malware, die nach einer Infektion nachgeladen werden. Das bestätigt die These eines umfassenden, professionell gesteuerten Angriffs. Diese Module sind vermutlich nicht auf allen der 500.000 infizierten Geräte aktiv, sondern werden zur Spionage oder zur weiteren Kompromittierung infizierter Personen oder Unternehmen ausgenutzt.

Das Modul ssler wird genutzt, um Webseiten, wenn möglich, den HTTPS-Schutz zu entziehen und bösartigen Code unterzuschieben. Webseiten können dem Einsatz von HSTS entgegenwirken. Der Befehl dst verändert dabei Einstellungen der Iptables-Firewall und kann diese auf bestimmte IP-Adressen anwenden. Mit dump werden alle HTTP-Header durchlaufender Domains abgespeichert. Mit site können bestimmte Webseiten für die Injektion von Javascript markiert werden, mit hook wiederum wird die Zieladresse des Payloads bestimmt.

Modul als Selbstzerstörungsknopf

Ein weiteres Modul mit dem Namen dstr kann genutzt werden, um das infizierte Gerät betriebsunfähig zu machen. Dazu werden zahlreiche Dateien gelöscht, die für einen ordnungsgemäßen Betrieb notwendig sind. Unter anderem werden die auf dem Gerät abgelegten Client-Zertifikate gelöscht. Ebenfalls möglich ist die Installation eines Paket-Sniffers.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Ansible Fundamentals: Systemdeployment & -management
    20.-24. September 2021, online
Weitere IT-Trainings

Von der Malware befallen sind zahlreiche Geräte der Hersteller Asus, D-Link, Huawei, Linksys, Mikrotik, Netgear, Qnap, TP-Link, Ubiquiti, Upvel und ZTE. Cisco bietet eine vollständige Übersicht aller bekannten Geräte am Ende dieses Blogposts an. Auf einigen Routern soll die Malware Persistenz erlangen können, also auch einen Reboot der Geräte überleben. Im Zweifel sollten Kunden bei den Herstellern der Geräte nach Instruktionen oder Updates fragen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Halbleiterfertigung
Aus 10 nm wird "Intel 7"

Intel orientiert sich vorerst an TSMC, will aber dank RibbonFets und PowerVias ab 2025 führend bei der Halbleiterfertigung sein.
Ein Bericht von Marc Sauter

Halbleiterfertigung: Aus 10 nm wird Intel 7
Artikel
  1. Elektroautos: Amazon und Ford verhelfen Rivian zu weiteren Milliarden
    Elektroautos
    Amazon und Ford verhelfen Rivian zu weiteren Milliarden

    Der US-Elektroautohersteller Rivian hat weitere 2,5 Milliarden Dollar eingesammelt. Damit könnte ein zweiter Produktionsstandort gebaut werden.

  2. Form Energy: Eisen-Luft-Akku soll Energiespeicherprobleme lösen
    Form Energy
    Eisen-Luft-Akku soll Energiespeicherprobleme lösen

    Mit Geld von Bill Gates und Jeff Bezos sollen große, billige Akkus Strom für mehrere Tage speichern. Kann die Technik liefern, was sie verspricht?
    Eine Analyse von Frank Wunderlich-Pfeiffer

  3. Brickit ausprobiert: Lego scannen einfach gemacht?
    Brickit ausprobiert
    Lego scannen einfach gemacht?

    Mit Kamera und Bilderkennung kann Brickit Lego digital einscannen. Das ist es aber nicht, was die App so praktisch macht.
    Ein Hands-on von Oliver Nickel

Bizzi 08. Jun 2018

Hauptsache es sieht nach etwas aus!

Bizzi 08. Jun 2018

Hauptsache es sieht nach etwas aus!

k2r 07. Jun 2018

auch für Golem, bzw. die Redakteure, die die Bilder auswählen.

derdiedas 07. Jun 2018

Für Man in the Middle reicht schon ein SoC - die Verschlüsselung wird ja nicht geknackt...

narfomat 07. Jun 2018

gute info danke, genau das hab ich mir naemlich auch gedacht...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional Amazon-Exklusives günstiger • Samsung G7 27" QLED Curved WQHD 240Hz 459€ • Kingston Fury 32GB Kit 3200MHz 149,90€ • 3 für 2 & Sony-TV-Aktion bei MM • New World vorbestellbar ab 39,99€ • Alternate (u. a. Deepcool RGB LED-Streifen 10,99€) • Apple Days [Werbung]
    •  /