VPNFilter: Bedrohung grösser als gedacht

VPNFilter ist nicht tot: Weitere betroffene Geräte gefunden. Angreifer können über infizierte Router in Netzwerke eindringen.
 
Talos, der Security-Research-Bereich von Cisco, hat ein Update zu seinen Erkenntnissen bezüglich der Malware "VPNFilter" veröffentlicht. Und Talos hat einige durchaus beunruhigende neue Erkenntnisse, vor allem für Security-Verantwortliche von KMU: Erstens kann die Schadsoftware deutlich mehr Geräte, auch von anderen Herstellern als ursprünglich aufgelistet, infizieren. Die neu betroffenen Hersteller sind ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE.
 
Immerhin können sich unserer Einschätzung nach die Security-Teams von grösseren Unternehmen einigermassen in Sicherheit wiegen: Nach unserem Eindruck sind auch die neu gefundenen Geräte wohl hauptsächlich für Privatanwender und kleinere KMU konzipiert. Eine vollständige Liste der für VPNFilter verwundbaren Modelle findet man ganz unten im erwähnten Blogpost von Talos.
 
Dies ändert nichts an der Raffiniertheit der Malware, die weiterhin einem möglicherweise der Regierung nahestehenden Hackerteam aus Russland zugeschrieben wird. Sie hat viel weitgehendere Fähigkeiten, vor allem zur Spionage, als ursprünglich gedacht. Mittlerweile von Talos gefundene und analysierte weitere Module könnten den kompletten Internet-Traffic eines Unternehmens ausspionieren, automatisiert Login-Daten abfangen und auch ans Netz angeschlossene Clients gezielt mit weiterer Malware infizieren. Die Malware könnte verschlüsselte Https-Verbindungen verhindern. Bei E-Banking-Transaktionen könnten sich Angreifer als "Man-in-the-middle" einklinken und Geld abzapfen, während sie dem Opfer gleichzeitig vorgaukeln, dass mit seinen Kontoständen alles in Ordnung sei.
 
Diese Erkenntnisse sind insbesondere beunruhigend, weil das VPNFilter-Botnetz immer noch aktiv ist, wie 'Ars technica' schreibt. Dies obwohl seine Existenz schon vor zwei Wochen bekannt wurde und man anfänglich dachte, dass ihm das FBI sozusagen die Zähne gezogen hatte.
 
Die Hintertüren sind immer noch da
Mindestens 500'000 Router und NAS-Geräte wurden weltweit von VPNFilter befallen. Die Malware, ist in drei "Stufen" aufgebaut. Die erste Stufe überlebt, im Gegensatz zur meisten anderen "IoT-Malware", einen Reboot der infizierten Geräte. Nach einer Infektion wartet sie auf Kommandos, welche Schadmodule der zweiten und dritten Stufe sie nachladen soll. Zwei der Wege, mit denen die Hintermänner Kommandos an die Malware geben konnten, wurden vor zwei Wochen geschlossen. Einerseits konnte die Malware Bilder von Photobucket herunterladen, in die Kommandos eingebettet waren. Diese Bilder wurden entfernt. Der Kommandoserver unter der Adresse ToKnowAll.com wurde vom FBI beschlagnahmt.
 
Allerdings hat die erste VPNFilter-Stufe laut 'Ars' auch einen passiven "Zuhör"-Modus. Dies erlaube es den Hintermännern, mit bestimmten Datenpaketen manuell den Download spezifischer Module der späteren VPNFilter-Stufen auf infizierte Geräte auszulösen.
 
Aber geht es nicht nur um die Ukraine?
Es ist völlig unbekannt, wie viele User von betroffenen Geräten in den letzten Tagen der auch von uns weitergegebenen Aufforderung des FBI nachgekommen sind, ihre Router und NAS-Geräte neu zu starten. Aber wie gesagt, auch nach einem Neustart bleiben die Geräte mit Stufe 1 von VPNFilter infiziert. Inzwischen sagen manche Security-Fachleute, dass diese Aufforderung ein Fehler war, weil sich manche User dadurch in falscher Sicherheit wiegten.
 
Weiterhin gibt es Hinweise, dass sich der Einsatz von VPNFilter durch die wahrscheinlich russischen Hintermänner auf Ziele in der Ukraine konzentriert. Es ist also unklar, ob auch Besitzer von mit Stufe 1 infizierten Geräten mit Angriffen rechnen müssen. Aber die Gefahr ist auf jeden Fall da: Es gibt nichts, was die Hintermänner daran hindern würde, die Hintertür auf Geräten ausserhalb der Ukraine zu nützen, wenn sie ein interessantes Ziel wittern.
 
Desinfektion schwierig
Leider ist es auch nicht einfach, Usern konkrete Ratschläge zu geben, was zu tun ist, wie 'Ars Technica' ebenfalls schreibt. Eine Infektion festzustellen ist fast nur für Fachleute möglich. Dafür müsste man Logfiles nach bestimmten von Talos erwähnten Datensignaturen durchforsten.
 
Eine Entfernung der Infektion auf Verdacht hin dürfte bei den meisten Geräten durch ein Reset auf den Lieferzustand möglich sein. Dann aber müsste man auch noch die Firmware sofort auf den neusten Stand updaten, und dies, um eine sofortige Neuinfektion zu verhindern, möglichst ohne dass das Gerät zwischendurch mit dem Internet in Kontakt kommt. (hjm)