2351542

Russisches Botnet aus 500 000 gekaperten Routern aufgedeckt

24.05.2018 | 13:31 Uhr | Stephan Wiesend

Die mit VPN Filter kontrollierten Router stammen von Herstellern wie Netgear, Linksys, MikroTik und TP-Link.

Viele Heimanwender starten ihren Router nur sehr selten neu, in Zukunft k├Ânnte dies aber bald h├Ąufiger geschehen ÔÇô┬áum Malware zu entfernen.

Ein jetzt in Gemeinschaftsarbeit von FBI, Cisco und Symantec unsch├Ądlich gemachtes Netz aus gehackten Routern bestand aus etwa 500 000 Routern der Hersteller Linksys, MikroTik, Netgear und TP-Link, wie Forbes berichtet . Eine Liste der Ger├Ąte hat mittlerweile Symantec ver├Âffentlicht , auch einige NAS von QNAP waren betroffen. Im Blog von Talos (Cisco) ist ebenfalls N├Ąheres ├╝ber die technischen Hintergr├╝nde zu erfahren.

├ťber bekannte aber noch nicht korrigierte Schwachstellen sollen die Hacker, die laut Forbes der russischen Gruppe Fancy Bear zugeordnet werden, die Heimrouter kontrolliert haben. Die Malware besteht aus mehreren Komponenten und kann eigentlich auch einen Neustart des Rechners ├╝berstehen. Dazu muss sich das Tool allerdings mit einer Kontrollserver oder einem Backupserver verbinden um einige Module neu zu laden. Mittlerweile hat das FBI neben der Verbindung zum Hauptserver aber nun auch die Verbindung zum Backup-Server unterbrochen. Die Folge: Nach einem Neustart des Routers ist die Malware lahmgelegt.

Ziel der Malware, die laut Symantec vor allem auf Router in der Ukraine absah, war offenbar die ├ťberwachung des Surfverhaltens, Suche nach Anmeldedateien und dem Protokoll Modbus SCADA, einem in der Industrie ├╝bliche Protokoll. Die Malware k├Ânne einen Router aber auch komplett lahmlegen.

Startet man seinen Router aktuell neu, kann die Malware keine Schadsoftware mehr nachladen, eine Art Rumpfsystem der Software bleibt aber auf dem Router. Um diese Malware komplett zu entfernen, empfiehlt Symantec deshalb einen Reset eines betroffenen Routers. Laut Cisco waren Ger├Ąte in 54 L├Ąndern betroffen, man st├╝nde aber bei der Analyse des Botnetzes noch in den Anf├Ąngen. Cisco geht deshalb sogar so weit, allen Besitzern eines Routers eine kompletten Reset und Reboot zu empfehlen und r├Ąt Internetprovidern, die von ihnen betreuten Router neu zu starten. Zus├Ątzlich sollten alle Nutzer auf eine aktuelle Firmware achten und Provider dies ebenso. Der Routerhersteller Netgear hat zus├Ątzlich empfohlen, die Funktion Remote Management auf seinen Routern zu deaktivieren. Diese ist zwar als Standardeinstelllung deaktiviert, sollte aber ├╝ber die Verwaltungsoberfl├Ąche ├╝berpr├╝ft werden.

Unsere Meinung: Das von Cisco empfohlene Zur├╝cksetzen auf die Werkseinstellungen ist nicht ganz unproblematisch, da hier auch alle Voreinstellungen und Anmeldedaten verloren gehen. Diese kann man bei den meisten Routern zwar vorher als Datei speichern, was aber nicht ganz einfach ist. Zumindest bei Nutzern eines der betroffenen Modelle w├╝rden wir aber aktuell zumindest einen Neustart empfehlen.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2351542