VPNFilter: Router-Botnetz knackt HTTPS, Neustart reicht doch nicht aus
Das kürzlich entdeckte Router- und NAS-Botnetz, das mindestens 500.000 infizierte Netzwerkgeräte umfasst, betrifft nicht nur deutlich mehr Router-Modelle als zunächst angenommen, sondern lässt sich auch nicht durch den empfohlenen Neustart der Geräte eliminieren und hört sogar verschlüsselte Verbindungen ab.
Malware knackt HTTPS
Cisco Talos hat die auf den Routern und NAS-Systemen installierte Malware VPNFilter weiter untersucht und festgestellt, dass diese noch weit mächtiger ist als bislang angenommen. Dabei wurde zum Beispiel ein neues Modul namens „SSLER“ entdeckt, das von der Malware nachgeladen werden und eine „Man-in-the-Middle“-Attacke auf eingehenden Internet-Datenverkehr ausführen kann, womit HTTPS erfolgreich ausgetrickst werden kann. So können verschlüsselte Daten nicht nur ausgespäht, sondern auch verändert werden.
Passwörter werden an externe Server übertragen
Das Modul versuche hierfür HTTPS auf HTTP herunterzustufen, indem vorgegaukelt wird, dass der Client nicht HTTPS-fähig sei. Gerade in der Ukraine, in der am meisten Geräte infiziert sind, sollen viele Anbieter noch HTTP als Ausweichlösung für HTTPS anbieten. Aber auch in den USA und West-Europa werde häufig noch eine HTTP-Verbindung unterstützt, wenn HTTPS fehlschlägt. Verbindungen zu Google, Facebook, Twitter und YouTube werden dabei besonders behandelt, da diese weitere Sicherheitseinstellungen nutzen. Das Modul sei jedoch explizit darauf ausgelegt, sensible Daten wie Passwörter abzufangen, so Talos. Diese würden von der Malware mitgelesen, kopiert und an externe Server übertragen.
VPNFilter is still operational. It infects even more devices than we initially thought, and its capabilities are far in excess of what we initially thought. People need to get it off their network.
Craig Williams, Talos
Server weiterhin in Hand der Hacker
Zudem sollen nicht alle Server vom FBI übernommen oder abgeschaltet worden sein, sondern weiterhin, zumindest teilweise, in der Hand der Angreifer sein. Abgefangene Passwörter würden beispielsweise weiterhin an Server im Zugriff der Angreifer übertragen werden, weshalb die Gefahr keineswegs gebannt sei.
Angreifer können gesamten Traffic manipulieren
Laut Talos sei die Malware in der Lage, den gesamtem Traffic, der über ein infiziertes Gerät läuft, zu verändern und exakt zu bestimmen, welche Inhalte dem Nutzer angezeigt werden sollen. Ging man vor zwei Wochen noch davon aus, dass das Botnetz für einen Angriff auf die Infrastruktur selbst geschaffen wurde, sieht Talos durch die neuen Erkenntnisse auch die Besitzer der Endgeräte als Angriffsziele der Hacker. So könnten diese beispielsweise problemlos das Bankkonto ahnungsloser Nutzer plündern, während diesen weiterhin der bisherige Kontostand beim Zugriff auf das inzwischen manipulierte Online-Banking angezeigt wird.
Neustart zur Beseitigung doch nicht ausreichend
Das FBI und Talos hatten alle Besitzern von Routern oder NAS geraten, diese neuzustarten, da so Stufe 2 und 3 der Malware, die die eigentliche Malware und die Module beinhaltet, ausgeschaltet werden könne, da die Domains, von denen diese nachgeladen werden, inzwischen unter Kontrolle des FBI seien. Dies erwies sich jedoch als Trugschluss, da die Malware darauf vorbereitet war, dass die primären Server nicht mehr erreichbar sein könnten. Hierfür sind Ausweichmöglichkeiten implementiert und die Malware sucht sich andere Server, um den Code und die Module nachzuladen. Selbst das Ausschalten weiterer Server reiche nicht, da die Angreifer über bestimmte Pakete, die sie an die Router schicken, mit spezifischen Triggern immer wieder das Nachladen der Module auslösen könnten. Weitere Details zu den Mechanismen der Malware hält der Blog-Beitrag von Talos bereit.
Zurücksetzen oder Neustart mit Firmware-Upgrade
Die Wege, um die Malware tatsächlich auszuschalten sind vielfältig und teils umständlich. Zudem ist es betroffenen Nutzern kaum möglich, infizierte Geräte zu erkennen. Bei manchen Geräten reicht es aus, einen Neustart durchzuführen und sofort im Anschluss die neueste Firmware für das Gerät aufzuspielen. Andere müssen komplett auf Werkseinstellungen zurückgesetzt werden, um auch Stufe 1 auszuschalten. Sofern das eigene Gerät auf der Liste vertreten ist, sollte zumindest geprüft werden, ob ein Neustart und Firmware-Upgrade möglich ist.
Liste betroffener Geräte massiv ausgeweitet
Die Liste der inzwischen bekannten, potenziell betroffenen Netzwerkgeräte ist deutlich umfassender als bisher. Dabei sind nicht nur Modelle bereits benannter Hersteller hinzugekommen, sondern auch neue Hersteller wie Asus, D-Link, Huawei, Ubiquiti, UPVEL und ZTE.
- Asus:
- RT-AC66U (neu)
- RT-N10 (neu)
- RT-N10E (neu)
- RT-N10U (neu)
- RT-N56U (neu)
- RT-N66U (neu)
- D-Link:
- DES-1210-08P (neu)
- DIR-300 (neu)
- DIR-300A (neu)
- DSR-250N (neu)
- DSR-500N (neu)
- DSR-1000 (neu)
- DSR-1000N (neu)
- Huawei:
- HG8245 (neu)
- Linksys:
- E1200
- E2500
- E3000 (neu)
- E3200 (neu)
- E4200 (neu)
- RV082 (neu)
- WRVS4400N
- Mikrotik:
- CCR1009 (neu)
- CCR1016
- CCR1036
- CCR1072
- CRS109 (neu)
- CRS112 (neu)
- CRS125 (neu)
- RB411 (neu)
- RB450 (neu)
- RB750 (neu)
- RB911 (neu)
- RB921 (neu)
- RB941 (neu)
- RB951 (neu)
- RB952 (neu)
- RB960 (neu)
- RB962 (neu)
- RB1100 (neu)
- RB1200 (neu)
- RB2011 (neu)
- RB3011 (neu)
- RB Groove (neu)
- RB Omnitik (neu)
- STX5 (neu)
- Netgear:
- DG834 (neu)
- DGN1000 (neu)
- DGN2200
- DGN3500 (neu)
- FVS318N (neu)
- MBRN3000 (neu)
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200 (neu)
- WNR4000 (neu)
- WNDR3700 (neu)
- WNDR4000 (neu)
- WNDR4300 (neu)
- WNDR4300-TN (neu)
- UTM50 (neu)
- Potentiell alle NAS
- TP-Link:
- R600VPN
- TL-WR741ND (neu)
- TL-WR841N (neu)
- Ubiquiti:
- NSM2 (neu)
- PBE M5 (neu)
- Upvel:
- Noch unbekannt (neu)
- ZTE:
- ZXHN H108N (neu)