VPNFilter-Botnetz: US-Behörden raten dringend zu Router- und NAS-Neustart

Weil wichtige Teile der Infrastruktur des Botnetzes VPNFilter gekapert wurden, kann ein Neustart die Infektion entschärfen. Deswegen raten FBI und US-Justizministerium zum Neustart von SOHO-Routern und NAS-Geräten.

Angesichts eines riesigen Botnetzes aus Hunderttausenden Routern und Netzwerkspeichern (NAS), rufen das FBI und das US-Justizministerium nachdrücklich dazu auf, die Geräte neu zu starten, um die Gefahr durch eine mögliche Infektion zu verringern. Durch den Neustart wird die Malware VPNFilter zwar nicht komplett gelöscht, sie kann sich aber nicht mehr einfach direkt neu installieren. Eine Neuinfektion bleibt möglich, schreibt etwa das US-Justizministerium, wird aber durch den Neustart deutlich erschwert und außerdem ermögliche der eine Abschätzung des gesamten Ausmaßes. Hintergrund ist die erfolgreiche Übernahme einer wichtigen URL durch das FBI, über die die Malware nach einem Neustart Instruktionen abgerufen hätte.

Details zu VPNFilter hatte zuvor die US-Sicherheitsfirma Talos öffentlich gemacht. Mit der ausgefeilten Malware waren demnach mindestens 500.000 Geräte infiziert. Sie besteht aus mehreren Stufen, von der sich die erste permanent im System einnistet und dann die eigentliche Schadfunktion nachlädt, die noch erweiterbar ist. Nur die erste Stufe übersteht einen Neustart, war aber so programmiert, dass sie die anderen Stufen mithilfe von Details aus dem Internet automatisch neu installiert. Dieser Weg wurde aber größtenteils abgeschnitten, als das FBI die Kontrolle über URL ToKnowAll.com übernommen hat. Zwar hat die Malware noch eine weitere Möglichkeit, sich neu zu installieren, die klappt aber nicht mit einer vergleichbaren Automatik. Problematisch ist, dass die Software eine Funktion umfasst, über die das infizierte Gerät aus der Ferne unbrauchbar gemacht werden kann.

Weder das FBI noch das US-Justizministerium listen auf, welche Geräte betroffen sein können. Die US-Bundespolizei rät dagegen jedem Besitzer von Routern für Kleinunternehmen (SOHO), das Gerät einmal neuzustarten, das US-Justizministerium schließt NAS-Geräte ein. Dadurch werden bis auf die erste Stufe alle Teile der Malware gelöscht. Gleichzeitig versucht die Rest-Malware danach, sich wieder zu vervollständigen und kontaktiert deswegen die URL, die inzwischen unter der Kontrolle des FBI ist. Dort kann dadurch eine Abschätzung über die Ausbreitung der Gefahr erfolgen. Talos hatte erklärt, dass die meisten betroffenen Geräte in der Ukraine stehen, Deutschland lag dahinter auf Platz zwei. Das Unternehmen hatte auch eine Liste der betroffenen Geräte veröffentlicht:

Linksys

E1200
E2500
WRVS4400N

Mikrotik

1016
1036
1072

Netgear

DGN2200
R6400
R7000
R8000
WNR1000
WNR2000

Qnap

TS251
TS439 Pro
und andere Qnap NAS-Geräte mit QTS-Software

TP-Link

R600VPN

2018-05-27T15:01:08+00:00