Die Schadsoftware VPNFilter habe mindestens 500'000 Router und NAS-Geräte von Privatusern und kleinen Unternehmen in 54 Ländern infiziert, wie Experten von Ciscos Security-Tochter Talos mitteilen. Und die Malware hat es in sich. Sie überwacht den gesamten Netzwerkverkehr und sucht gezielt nach Login-Daten. Besonders brisant aber: VPNFilter umfasst einen Mechanismus, mit dem die Angreifer den Router zerstören und damit Geräte vom Netz nehmen können.

Eine weitere schlechte Nachricht: VPNFilter soll, anders als die meiste bisher gefundene Schadsoftware, die Router infiziert, einen Neustart des befallenen Geräts überleben.

VPNFilter umfasst mehrere Stufen: Die erste infiziert das System permanent und setzt sich fest. Danach würden über verschiedene Wege die eigentlichen Schadfunktionen der Stufe zwei auf das Gerät geladen, die dann durch Module der Stufe drei ergänzt werden. Konkret wird nach der anfänglichen Infektion, die Lücken in Linux und Busybox ausnutzt, versucht ein Foto von Photobucket herunterzuladen. In dessen EXIF-Daten ist eine IP-Adresse versteckt, über welche weitere Funktionen heruntergeladen werden. VPNFilter ist aber raffiniert: Funktioniert dieser Weg nicht, wird als Backup-Angriffsweg die Domain toknowall.com benutzt – die allerdings mittlerweile vom FBI in Beschlag genommen wurde.

Die ersten Infektionen werden auf das Jahr 2016 zurückdatiert, blieben aber lange Zeit unbemerkt. Dass die Talos-Leute jetzt an die Öffentlichkeit gehen, liegt daran, dass die Infektionen in den letzten Wochen stark zugenommen haben. Man publiziere die Erkenntnisse deshalb bereits, bevor man die Untersuchungen abgeschlossen habe, schreiben die Forscher.

Die raffinierte Angriffsmethode verweise auf eine potente Hackergruppe. Schwerpunkt der Attacken soll die Ukraine sein. Zudem wird die beschlagnahmten C&C-Domain der berüchtigten russischen Hackergruppe "Fancy Bear" zugeordnet. Auch würde bei VPNFilter Code eingesetzt, der aus der Schadsoftware BlackEnergy stamme, die bereits von mutmasslich russischen Hackern für grossangelegte Angriffe gegen die Ukraine verwendet wurde. Zwar weist Talos nicht direkt Russland die Schuld zu, aber indirekt präsentiert Ciscos Tochter zumindest Indizien dafür.

Viele Fragen sind aber noch offen: So sind etwa die konkreten Lücken, die VPNFilter zur Infektion nutzt, noch nicht bekannt, auch wenn die meisten betroffenen Geräte bekannte Schwachstellen oder Default-Zugangsdaten aufweisen. Auch weist Talos darauf hin, dass die Untersuchungen noch laufen und man vermute, noch nicht alle Module von VPNFilter und deren konkrete Funktion zu kennen.

Betroffen von der Attacke sind laut Symantec Geräte von Linksys, Netgear, QNAP und TP-Link.

Symantec empfiehlt Usern der potentiell betroffenen Router und NAS-Devices, nach dem Aufspielen aller vorhandenen Updates ein Factory Reset durchzuführen, um den Befall zu beenden – dies bedeutet aber auch, dass man die Einstellungen neu vornehmen muss und bei vielen NAS-Geräten würden die Daten gelöscht. Der Ratschlag geht an alle User der betreffenden Router, da sich die Infektion nicht einfach feststellen lässt. Wer sich angesichts der Konsequenzen davor scheut, soll zumindest sein Gerät rebooten, womit immerhin Stufe zwei und drei der Malware entfernt würden. Vorläufig, denn solange Stufe eins nicht entfernt ist, versucht die Malware die weiteren Funktionen zu implementieren.

Die Liste der betroffenen Geräte:

Linksys E1200 / E2500 / WRVS4400N; Mikrotik RouterOS für Cloud Core Routers der Versionen 1016 / 1036 / 1072; Netgear DGN2200 / R6400 / R7000 / R8000 / WNR1000 / WNR2000; QNAP TS251 / TS439 Pro; weitere QNAP NAS-Geräte mit QTS-Software; TP-Link R600VPN.

Talos hat eine ausführliche Dokumentation mit technischen Details veröffentlicht. (ts)