Netzpolitik

VPNFilter: Neustart beseitigt Router-Malware doch nicht

Die von russischen Hackern verwendete Malware VPNFilter ist deutlich gefährlicher als bisher gedacht. Sicherheitsforscher von Cisco Talos haben VPNFilter näher unter die Lupe genommen und festgestellt, dass sich die Malware auf deutlich mehr Router-Modellen eingenistet haben könnte als bekannt war. Zudem wurde ein neues Modul („ssler“) entdeckt, das mithilfe einer „Man in the Middle“-Attacke Web-Traffic abfangen, manipulieren und mithören kann. 

„ssler“ sucht gezielt nach sensiblen Daten wie Passwörtern und kann verschlüsselte Verbindungen herabstufen und manipulierte Datenpakete einschleusen, die andere Geräte im Netzwerk mit VPNFilter infizieren. Die Server, an die die sensiblen Informationen übermittelt wurden, befinden sich auch heute noch unter der Kontrolle der Hacker.

Mehr als ein Botnet

Die Entdeckung von „ssler“ lässt die Sicherheitsforscher nun vermuten, dass die Malware nicht nur ein Botnet aufbauen sollte, sondern die Router-Besitzer eigentlich das Ziel der Angreifer waren. „Sie können deinen Kontostand so modifizieren, dass er normal aussieht, während sie Geld oder PGP-Schlüssel abziehen und ähnliche Dinge tun. Sie können alles manipulieren, was in das Gerät hineingeht und wieder hinauskommt“, sagt Craig Williams, einer der verantwortlichen Sicherheitsforscher bei Talos gegenüber Ars Technica.

Man gehe sehr gezielt auf die Suche nach Informationen, derzeit sei aber noch unklar, wonach die Hacker genau suchen. Neben Linksys, MikroTik, Netgear und TP-Link sollen auch Modelle von ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE potenzielle Opfer von VPNFilter sein. Damit steigt die Zahl der möglicherweise betroffenen Geräte von 500.000 auf 700.000. 

Neustart allein reicht nicht

Es ist schwer festzustellen, ob ein Router mit VPNFilter infiziert wurde. Auch der vom FBI erteilte Rat, den Router einfach neuzustarten, hilft offenbar doch nicht. Die Vorgehensweise variiert von Modell zu Modell: Manche Geräte müssen einfach nur auf Werkszustand zurückgesetzt, andere neugestartet und sofort mit einem Firmware-Update geflasht werden. Die Experten raten, im Zweifel beim Hersteller nachzufragen.

„Ich befürchte, dass das FBI mit seinem Ratschlag den Menschen ein falsches Sicherheitsgefühl gegeben haben könnte. VPNFilter ist immer noch aktiv. Es infiziert mehr Geräte als wir ursprünglich gedacht haben und seine Fähigkeiten übersteigen bei Weitem das, was wir bisher wussten. Die Menschen müssen das von ihren Netzwerken wegbekommen“, sagt Williams gegenüber Ars Technica.

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!