Raffinierte Malware attackiert zahlreiche Router

Eine ungewöhnlich fortgeschrittene Hackergruppe hat fast 2 Jahre damit verbracht, eine Vielzahl von Routern mit Malware zu infizieren, die die volle Kontrolle über verbundene Geräte übernimmt. Sowohl Windows-Rechner als auch macOS- und Linux-Geräte seien betroffen.

Router für kleine Büros oder Homeoffice betroffen

Forscher*innen des US-Kommunikationsunternehmens Lumen Technologies gaben am 28. Juni bekannt, dass sie rund 80 Router ausmachen konnten, die von der Malware infiziert wurden. Die Geräte stammen dabei von Cisco, Netgear, Asus und DrayTek. Es handelt sich dabei um sogenannte SoHo-Router, die meist in kleinen Büros oder im Homeoffice eingesetzt werden.

Nach der Installation listet der ZuoRAT genannte Trojaner die mit dem infizierten Router verbundenen Geräte auf. Die Angreifer*innen können dann DNS-Hijacking und HTTP-Hijacking verwenden, um angeschlossene Geräte dazu zu bringen, andere Malware zu installieren. Bei DNS-Hijacking werden die Nutzer*innen des Routernetzwerks etwa auf Webseiten umgeleitet, die unter der Kontrolle der Angreifer*innen stehen. Bei HTTP-Hijacking werden User*innen ebenso auf andere IP-Adresse umgeleitet.

Trojaner wird durch Neustart beseitigt

Wie die meiste Router-Malware wird auch ZuoRAT durch einen Neustart beseitigt. Durch einfaches Neustarten eines infizierten Geräts wird der ZuoRAT-Exploit entfernt, da die Dateien in einem temporären Verzeichnis gespeichert sind. Für eine vollständige Eliminierung sollten infizierte Router jedoch auf die Werkseinstellungen zurückgesetzt werden.

Für angeschlossene Geräte, die bereits mit anderer Malware infiziert wurden, empfiehlt sich ein Virenscan durchlaufen zu lassen.