Original-URL des Artikels: https://www.golem.de/news/vpnfilter-router-botnetz-mit-500-000-geraeten-aufgedeckt-1805-134557.html    Veröffentlicht: 24.05.2018 11:53    Kurz-URL: https://glm.io/134557

VPNFilter

Router-Botnetz mit 500.000 Geräten aufgedeckt

Ein Botnetz aus Routern soll als Infrastruktur für kriminelle Angriffe dienen. Betroffen sind vor allem Netgear- und Linksys-Geräte. Die IoT-Malware übersteht sogar einen Neustart der Geräte.

Die Sicherheitsfirma Cisco hat ein Botnetz mit rund 500.000 infizierten Routern entdeckt. Das Unternehmen geht davon aus, dass es sich dabei um Infrastruktur für kriminelle Handlungen handelt - möglicherweise sogar für einen staatlichen Akteur. Betroffen sind Router zahlreicher Hersteller, darunter Linksys, Mikrotik, Netgear und TP-Link.

Die auf den Routern installierte Malware soll anders als übliche ioT-Malware einen Reboot des Gerätes überleben können. Infizierte Geräte stehen nach Angaben von Ciscos Talos-Team in 54 Staaten, die Infektionen seien seit 2016 Schritt für Schritt angestiegen. In den vergangenen drei Wochen soll es allerdings zu einem erheblichen Anstieg der Infektionen gekommen sein, betroffen seien vor allem Geräte in der Ukraine.

"Wir gehen mit hoher Sicherheit davon aus, dass die Malware genutzt wird um eine leistungsstarke, schwer zu attribuierende Infrastruktur zu schaffen, die verschiedene operationelle Bedürfnisse eines Gefährdungsakteurs befriedigen kann," sagte William Largent von Cisco. Da die infizierte Infrastruktur von Privatpersonen oder kleinen Unternehmen betrieben werde, könnten Angriffe dann fälschlicherweise auf diese Personen oder Organisationen zurückgeführt werden.

Linksys, Netgear und QNAP

Die infizierten Router seien für Privatnutzer kaum erkennbar, man könne von ihnen auch nicht die technischen Fähigkeiten erwarten, diese von der Malware zu bereinigen. Die Malware befällt offenbar vor allem Router mit einer Busybox- oder Linux-basierten Firmware. Konkret identifizierte die Sicherheitsfirma Symantec die Modelle Linksys E1200, E2500 und WRVS4400N sowie die Netgear-Geräte DGN2200, R6400, R7000, R8000, WNR1000 und WNR2000. Auch einige NAS von QNAP sollen betroffen sein.

Cisco und Symantec empfehlen Besitzern entsprechender Geräte, diese auf den Auslieferungszustand zurückzusetzen. Dabei gehen natürlich alle individuellen Konfigurationen verloren und die Geräte müssen neu eingerichtet werden. Die US-Bundespolizei FBI hat einen Server der Angreifer beschlagnahmt.  (hg)


Verwandte Artikel:
Cybersecurity Tech Accord: IT-Branche verbündet sich gegen Nationalstaaten   
(17.04.2018, https://glm.io/133900 )
MKR Vidor 4000 und Uno Wifi Rev. 2: Zwei neue Arduino-Boards für Bastler und IoT   
(22.05.2018, https://glm.io/134499 )
Smominru: Riesiges Botnetz missbraucht Windows-Server für Kryptomining   
(05.02.2018, https://glm.io/132595 )
Netzwerkhardware: Das war's für Apples Airport-Router   
(27.04.2018, https://glm.io/134099 )
Security: Iranische Hacker erlangen Daten von 23 deutschen Unis   
(20.04.2018, https://glm.io/133976 )

© 1997–2019 Golem.de, https://www.golem.de/