2351542

Russisches Botnet aus 500 000 gekaperten Routern aufgedeckt

24.05.2018 | 13:31 Uhr |

Die mit VPN Filter kontrollierten Router stammen von Herstellern wie Netgear, Linksys, MikroTik und TP-Link.

Viele Heimanwender starten ihren Router nur sehr selten neu, in Zukunft könnte dies aber bald häufiger geschehen – um Malware zu entfernen.

Ein jetzt in Gemeinschaftsarbeit von FBI, Cisco und Symantec unschädlich gemachtes Netz aus gehackten Routern bestand aus etwa 500 000 Routern der Hersteller Linksys, MikroTik, Netgear und TP-Link, wie Forbes berichtet . Eine Liste der Geräte hat mittlerweile Symantec veröffentlicht , auch einige NAS von QNAP waren betroffen. Im Blog von Talos (Cisco) ist ebenfalls Näheres über die technischen Hintergründe zu erfahren.

Über bekannte aber noch nicht korrigierte Schwachstellen sollen die Hacker, die laut Forbes der russischen Gruppe Fancy Bear zugeordnet werden, die Heimrouter kontrolliert haben. Die Malware besteht aus mehreren Komponenten und kann eigentlich auch einen Neustart des Rechners überstehen. Dazu muss sich das Tool allerdings mit einer Kontrollserver oder einem Backupserver verbinden um einige Module neu zu laden. Mittlerweile hat das FBI neben der Verbindung zum Hauptserver aber nun auch die Verbindung zum Backup-Server unterbrochen. Die Folge: Nach einem Neustart des Routers ist die Malware lahmgelegt.

Ziel der Malware, die laut Symantec vor allem auf Router in der Ukraine absah, war offenbar die Überwachung des Surfverhaltens, Suche nach Anmeldedateien und dem Protokoll Modbus SCADA, einem in der Industrie übliche Protokoll. Die Malware könne einen Router aber auch komplett lahmlegen.

Startet man seinen Router aktuell neu, kann die Malware keine Schadsoftware mehr nachladen, eine Art Rumpfsystem der Software bleibt aber auf dem Router. Um diese Malware komplett zu entfernen, empfiehlt Symantec deshalb einen Reset eines betroffenen Routers. Laut Cisco waren Geräte in 54 Ländern betroffen, man stünde aber bei der Analyse des Botnetzes noch in den Anfängen. Cisco geht deshalb sogar so weit, allen Besitzern eines Routers eine kompletten Reset und Reboot zu empfehlen und rät Internetprovidern, die von ihnen betreuten Router neu zu starten. Zusätzlich sollten alle Nutzer auf eine aktuelle Firmware achten und Provider dies ebenso. Der Routerhersteller Netgear hat zusätzlich empfohlen, die Funktion Remote Management auf seinen Routern zu deaktivieren. Diese ist zwar als Standardeinstelllung deaktiviert, sollte aber über die Verwaltungsoberfläche überprüft werden.

Unsere Meinung: Das von Cisco empfohlene Zurücksetzen auf die Werkseinstellungen ist nicht ganz unproblematisch, da hier auch alle Voreinstellungen und Anmeldedaten verloren gehen. Diese kann man bei den meisten Routern zwar vorher als Datei speichern, was aber nicht ganz einfach ist. Zumindest bei Nutzern eines der betroffenen Modelle würden wir aber aktuell zumindest einen Neustart empfehlen.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2351542