Cisco hat neue Untersuchungsergebnisse zur Malware VPNFilter veröffentlicht, die sich gegen Router, Netzwerkgeräte und Network-Attached-Storage-Systeme im KMU-Umfeld richtet. Neu ist unter anderem, dass offenbar auch bestimmte Modelle von Asus, D-Link, Huawei, Ubiquiti, Upvel und ZTE für VPNFilter anfällig sind. Die Zahl der weltweit infizierten Geräte erhöht sich damit um mindestens 200.000.Die Angreifer können von diesen Geräten den gesamten Netzwerkverkehr mitlesen.
Zunächst gingen die Experten davon aus, dass VPNFilter vor allem verteilt wurde, um ein Botnetz aufzubauen, mit dem dann Angriffe auf andere Ziele möglich werden. Allerdings zeigt es sich nun, dass offenbar auch die Besitzer der infizierten Geräte, im Visier der Angreifer stehen.
Foto: Cisco Talos
Ende Mai hatte die Cisco-Sparte Talos bereits erste Erkenntnisse zur Malware VPNFilter vorgelegt. Die Experten schätzten damals, dass weltweit mindestens 500.000 Geräte in 54 Ländern damit infiziert waren. Die Schadsoftware fand sich auf Netzwerkgeräte für KMU und Homeoffice-Nutzer von Linksys, MikroTik, Netgear und TP-Link sowie auf NAS-Produkten von QNAP. Sie erlaubt es den Hintermännern, eine ganze Reihe von Aktionen auszuführen, die deren Besitzern ernsthaft schaden können.
Empfehlungen der Hersteller zum Umgang mit VPNFilter
AVM hatte bereits anlässlich der ersten Berichte zu VPNFilter in einem kurzen Sicherheitshinweis mitgeteilt, dass die Geräte der Berliner davon nicht betroffen sind. Besitzern der von Talos als angreifbar bezeichneten Geräte rät D-Link dringend, die neueste Firmware-Version einzuspielen. Auch Netgear geht davon aus, dass sich mit VPN-Filter hauptsächlich bereits bekannte und früher geschlossene Sicherheitslücken ausnutzen lassen. Empfehlung ist daher auch hier, die aktuelleste Version der jeweiligen Firmware zu verwenden. TP-Link rät Nutzern seiner Geräte zudem, sofern noch nicht geschehen, die ab Werk eingestellten Werte für den admimistrativen Benutzer zu ändern sowie Remote-Management-Funktionen abzustellen, wenn sie nicht tatsächlich gebraucht und verwendet werden.
Die von Cisco Talos vorgelegten, zusätzlichen Untersuchungsergebnisse zeigen, dass die Malware noch deutlich vielseitiger ist als zunächst angenommen. Das liegt vor allem an einem neu entdeckten Modul, das eine Man-in-the-Middle-Attacke auf eingehenden Web-Traffic ermöglicht. Die Angreifer können darüber von ihnen manipulierte Payloads in den Datenverkehr einschleusen.
Lesetipp: WLAN-Versorgung in KMU verbessern
Die Manipulationen lassen sich in Abhängigkeit der über den Router mit dem Internet kommunizierenden Geräte variieren und es lassen sich offenbar auch die Inhalte aufgerufener Websites manipulieren. Damit ist einer Vielzahl von Betrugsszenarien Tür und Tor geöffnet. Außerdem können von infizierten Geräten auch vertrauliche Daten aus verschlüsselten Verbindungen gestohlen werden. Dazu prüft die Malware URLs auf Anzeichen, dass dort Passwörter oder Nutzernamen übertragen werden, die sie dann kopiert und an Server schickt, die trotz der bereits Ende Mai angekündigten Maßnahmen des FBI gegen VPNFilter immer noch unter der Kontrolle der Autoren der Malware stehen.
Um die TLS-Verschlüsselung auszuhebeln, setzt die Malware HTTPS-Verbindungen im Router auf HTTP zurück. Dann modifiziert sie den Header so, damit der Empfänger ausgehender Datenpakete annehmen muss, der Sender könne keine verschlüsselten Datenpakete annehmen.
Lesetipp: Die besten VPN-Anbieter und Apps für sichere Netzwerke