Inhaltsverzeichnis
Riesiges Botnetz aus Routern und Netzwerkspeichern entdeckt – aktives Handeln angeraten
Die Sicherheitsfirma Talos, welche zu Cisco Systems gehört, konnte ein Botnetz aus mindestens 500.000 Routern und NAS-Geräten aufspüren. All diese Geräte sind mit der VPNFilter Malware infiziert. Während Sinn und Zweck des Ganzen noch im Unklaren liegen, empfehlen US-Behörden und Talos selbst, ein Reset bei potentiell betroffenen Routern und NAS-Speichern durchzuführen, um die Bedrohungen zu minimieren.
Wer ist betroffen?
Eine Reihe von Herstellern und spezifischen Modellen konnte bereits näher benannt werden. Es handelt sich vor allem um Router für den privaten Bereich und kleine Unternehmen (SOHO) sowie Netzwerkspeicher mit einer bestimmten Software. Bei Linksys geht es um die Modelle E1200, E2500 und WRVS4400N. Bei Mikrotik um die Geräte 1016, 1036 und 1072. Betroffen sind bei Netgear die Modellen DGN2200, R6400, R7000, R8000, WNR1000 sowie WNR2000. Außerdem ist der Router R600VPN von TP-Link auf der Liste. Bei den NAS-Geräte wurde nur Modelle von Qnap ausfindig gemacht. Neben den Geräten TS251 und TS439 Pro sind auch andere Modelle mit der QTS-Software gefährdet. Keinesfalls darf diese Liste als abgeschlossen angesehen werden. Es ist durchaus vorstellbar, dass bei anderen Modellen und auch Herstellern ähnliche oder sogar identische Lücken ausgenutzt wurden, um die VPNFilter Malware aufzuspielen. Konkret identifiziert werden konnten aber keine Geräte anderer Hersteller.
Bei einer halben Million entdeckter Infektionen in über 50 Ländern weltweit sollte jedes der genannten Geräte als potentiell betroffen angesehen werden. Die meisten davon finden sich in der Ukraine, während Deutschland immerhin den zweiten Platz bei den Infektionen belegt.
Wie gilt es zu verfahren?
Laut Talos ist das empfohlene Vorgehen das Zurücksetzen des Gerätes auf die Werkseinstellungen. Damit werden zwar alle Zugangsdaten und persönlichen Einstellungen gelöscht, aber mit einem frischen Betriebssystem werden die zweite und dritte Stufe der VPNFilter Malware ebenfalls beseitigt. Das ursprüngliche Programm wird eventuell erneut versuchen, die schädlichen Elemente aus dem Internet zu laden. Jedoch wurden entscheidende Punkte des Netzwerks, darunter die Internetadresse toknowall.com, vom FBI übernommen. Eigentlich wurden über diese URL Befehle an die betroffenen Router gesendet.
Des Weiteren sollten alle Aktualisierungen installiert werden, die die jeweiligen Hersteller zur Verfügung stellen.
Einen weiteren Aufruf hat das FBI gestartet, in welchem um einen einfachen Neustart der Router gebeten wird. Wird dies unternommen, bevor der Urzustand wieder hergestellt wurde, kann die US-Behörde anhand der darauf folgenden Zugriffe auf die mittlerweile übernommene Domain zumindest ansatzweise das Ausmaß des Botnetzwerks erkennen.
Warum gerade diese Geräte?
Sowohl Router als auch Netzwerkspeicher sind permanent mit dem Internet verbunden. Wird ein solcher Computer gekapert, steht dieser deshalb im Normalfall immer zur Verfügung, um Befehle zu empfangen. Einfache PCs oder Laptops hingegen lassen sich nicht mehr gebrauchen, sobald sie vom Internet getrennt wurden. Hinzu kommt, dass viele Geräte, die im Endverbraucherbereich oder für kleine Unternehmen zum Einsatz kommen, oftmals keine besonderen Schutzmaßnahmen aufweisen. Statt erhöhter Sicherheit steht häufig ein niedriger Verkaufspreis im Mittelpunkt.
Dem Blog des Internetauftritts von Talos zufolge gab es bei allen identifizierten Routern und NAS-Geräten bekannte Schwachstellen. Das bedeutet zum einen, dass die Hersteller nicht oder zumindest nicht rechtzeitig auf eine denkbare Bedrohung reagiert haben. Spätestens mit Bekanntwerden einer Sicherheitslücke sollte zeitnah an einer Lösung gearbeitet werden. Denn wie das aktuelle Beispiel zeigt, arbeiten auch Hacker sich an die Ausnutzung publik gewordener Schwächen heran.
Zum anderen kommt mit dieser Situation zum Ausdruck, wie viele solcher Geräte in einer Ecke neben dem Telefonanschluss vor sich hin laufen, ohne dass vom Nutzer über derartige Szenarien nachgedacht wird oder werden müsste. Das Angriffsziel war klug gewählt. Virenscanner mögen den PC am Arbeitsplatz oder das Notebook zu Hause überwachen. Dass der Router des Nachts irgendwelchen anderen Befehlen gehorcht, fällt längst nicht so schnell auf wie ein heiß laufender Laptop, dessen Arbeitsgeschwindigkeit immer geringer wird.
Welche Ziele verfolgt das Botnetz?
Derzeit konnten zwei Plugins der VPNFilter Malware ausgemacht werden. Diese können den Datenverkehr, der über das jeweilige Gerät gesendet wird, überwachen. Außerdem wird eine Kommunikation über das Tor-Netzwerk ermöglicht. Ein paralleler Einsatz unzähliger solcher Bots ist denkbar, um gezielt ein Netzwerk mit Anfragen zu überlasten. Außerdem könnte ein Angreifer seine Kommunikation über zahlreiche der gekaperten Geräte leiten, bevor er sein eigentliches Ziel kontaktiert. Es ist davon auszugehen, dass noch weitere Plugins existieren, die zusätzliche Funktionalitäten bereitstellen. Insgesamt stellt das entdeckte Botnetz eine sehr umfangreiche Infrastruktur dar, die aufgrund der Art der verwendeten Geräte nur schwer zu identifizieren wäre. Weil es sich die Router von Unternehmen und Privatpersonen handelt, könnten im schlimmsten Fall die kriminellen Aktionen der eigentlichen Hintermänner mit den Betroffenen assoziiert werden, die lediglich ein Gerät mit der Schadsoftware besitzen.
Gibt es einen generellen Schutz?
Nein. Schwachstellen können bei jedem Hersteller und jeder Hardware auftreten. Bestes Beispiel hier für sind die Prozessoren von Intel, die seit 1995 eine ausnutzbare Sicherheitslücke aufwiesen. Wichtig ist vor allem, sämtliche Systemaktualisierungen und Updates unmittelbar nach deren Veröffentlichung zu installieren, um bei der verwendeten Software immer auf dem neusten Stand zu sein. Viele Router können das automatisch ausführen. Bei einigen jedoch muss manuell vorgegangen werden. Dieser etwas sperrige Weg wiederum gewährt auf der anderen Seite ebenfalls zusätzliche Sicherheit. Bei automatischen Aktualisierungen ist stets ein Weg von außen auf den Router geöffnet, weil die Software sonst nicht an ihr Ziel gelangt. Die Gefahr, dass eine bekannte Lücke bestehen bleibt, weil kein Update gemacht wurde, erscheint jedoch mindestens genauso groß.
Zu guter Letzt gilt es, Warnungen wie die vor der VPNFilter Malware nicht einfach zu ignorieren und zu hoffen, dass es einen nicht selbst betrifft. Noch dazu bei einem Router, einem Gerät, das in fast jeder Wohnung steht.
Hier schiebt auch Talos eine letzte Empfehlung hinterher: Um sicher zu gehen, sollte das Reset von Router oder Netzwerkspeicher unabhängig davon ausgeführt werden, ob das spezielle Modell in der oben genannten Liste aufgeführt ist oder nicht.