Nachrichten

Wer ist betroffen und was ist zu tun?

Schadsoftware VPNFilter auf mehr als 500.000 Routern und NAS-Geräten entdeckt

Internet | HT4U.net
Die zu Cisco gehörende Sicherheitsfirma Talos hat eine perfide Schadsoftware namens VPNFilter auf mehr als einer halben Million Router und Netzwerkspeicher (NAS) in 54 Ländern entdeckt. Betroffen sind unter anderem Geräte von Linksys, Mikrotik, Netgear und TP-Link. Der modulare Schädling ist hochentwickelt und wurde vermutlich mit staatlicher Hilfe erstellt. Er dient als Einfallstor, zum Datenabgriff und kann die befallenen Geräte sogar zerstören.

Laut Talos erinnern Teile des Codes an die Schadsoftware "BlackEnergy", welche insbesondere gegen Ziele in der Ukraine eingesetzt wurde. Somit verwundert es nicht, dass sich auch VPNFilter am stärksten in der Ukraine verbreitet hat. Aufgrund der Komplexität des Schädlings liegt eine russische Urheberschaft nahe, bewiesen ist eine solche aber noch nicht. Im Gegensatz zu anderen Schadprogrammen nistet sich VPNFilter dauerhaft im Netzwerkgerät ein und lässt sich durch einen simplen Neustart nicht vollständig entfernen.

Betroffene Geräte und Software:

Stufe 1: Der Reset-resistente Teil

Diese permanente Infektion stellt die erste Stufe von VPNFilter dar. Angriffsziele sind Geräte mit einer Firmware, welche auf Busybox oder Linux basiert, wobei auch unterschiedliche CPU-Architekturen – zumindest MIPS und x86 – attackiert werden. VPNFilter nutzt verschiedene Sicherheitslücken, um sich in den nicht flüchtigen Speicher (NVRAM) und in die Liste der zu startenden Dienste (Crontab) einzutragen. Die erste Stufe lädt im Anschluss weiteren Schadcode über verschlüsselte Verbindungen (SSL oder Tor) nach und erweist sich hinsichtlich des Verbindungsaufbaus zum Kontrollserver als äußerst robust.

Stufe 2: Herunterladen, Ausführen, Kopieren und Zerstören

Die zweite Stufe wird bei einem Zurücksetzen des Netzwerkgeräts gelöscht. Sie legt zunächst Ordner für zusätzliche Module (/var/run/vpnfilterm) sowie ein Arbeitsverzeichnis (/var/run/vpnfilterw) an, danach versucht sie über das Tor-Netz eine Verbindung zum Kontrollserver aufzubauen. Stufe 2 umfasst etliche Funktionen, von denen die folgenden besonders wichtig sind:
  • kill überschreibt die ersten 5.000 Bytes des nicht flüchtigen Speichers (/dev/mtdblock0) mit Nullen und löst im Anschluss einen Neustart aus. Damit ist das Gerät funktionslos und in den meisten Fällen Elektronikschrott.
  • exec führt einen Befehl auf der Kommandozeile aus oder startet ein Plug-in.
  • tor bestimmt, ob Tor zur Kommunikation genutzt wird oder nicht.
  • copy kopiert Dateien vom Opfer auf den Kontrollserver.
  • download lädt Daten von einer URL herunter und speichert diese als Datei.

Stufe 3: Die Plug-in-Module

Die Stufe umfasst eine unbekannte Zahl von Plug-in-Modulen, die beim Zurücksetzen des Netzwerkgeräts entfernt werden. Von Talos wurden zwei dieser Plug-ins untersucht, ein Packet-Sniffer und ein Kommunikationsmodul, welches eine Datenübertragung und Steuerung über Tor ermöglicht. Die Sicherheitsexperten gehen aber davon aus, dass es weit mehr Plug-ins gibt. Das Tor-Modul, welches unter "/var/run/tor" gespeichert wird, operiert unabhängig von dem aus der zweiten Stufe. Es legt seine Konfiguration unter "/var/run/torrc" ab und erstellt unter "/var/run/tord" ein Arbeitsverzeichnis.

Was ist zu tun?

Man sollte angreifbare Geräte vom Internet trennen und auf den Auslieferungszustand zurücksetzen. Dies entfernt zumindest die Stufen 2 und 3 der Schadsoftware. Um auch die erste Stufe loszuwerden, muss man die Firmware aktualisieren. Sollte der Hersteller noch keine aktualisierte Firmware anbieten, hilft eventuell auch das Überspielen der Firmware mit der bereits installierten Version. Hierbei gibt es allerdings keine Erfolgsgarantie. Wird ein Gerät mit angreifbarer Firmware wieder mit dem Internet verbunden, besteht zudem das Risiko einer Neuinfektion. QNAP hat bereits reagiert und bietet sein NAS-Betriebssystem QTS in den abgesicherten Versionen 4.2.6 Build 0729 und 4.3.3 Build 0727 zum Download an. Darüber hinaus empfiehlt QNAP, das Programm "Malware Remover 2.2.1" oder neuer auf dem NAS zu installieren und damit nach Schadsoftware zu suchen.

Autor: mid
[]