kgborn
Goto Top

Administratoren aufgepasst: VPNFilter-Botnetz probt das Comeback

Ihr betreibt Netze mit QNAP-NAS-Systemen oder Routern von Mikrotik, TP-Link, Linksys und Netgear? Dann lesen und handeln.

back-to-topWorum geht es?

Die Sicherheitsfirma Talos hatte kürzlichInformationen zu einem riesigen Botnet mit dem Namen VPNFilter veröffentlicht. Dieses befällt Router und NAS-Geräte, 500 Millionen Geräte waren/sind betroffen. Deutschland lag/liegt nach der Ukraine auf Platz 2 der Infektionen.

Da das Botnetz auch die US-Infrastruktur bedrohte, hatte das FBI die C&C-Server des Botnetzes beschlagnahmt und die Kommunikationsinfrastruktur lahm gelegt. Anschließend gab es einen Aufruf, einfach die Router und NAS-Geräte neu zu booten, um die Schadsoftware los zu werden.

Ging vor Tagen breit durch die Presse. Ich hatte im Blog-Beitrag Sicherheitsinfos zum 31. Mai 2018 darüber berichtet, aber auch erwähnt, dass mit dem Neustart die Kuh nicht vom Eis ist. Hintergrund ist, dass die erste Stufe der Malware boot-persistent ist, d.h. einen Neustart überlebt. Die C&C-Server der ersten Angriffswelle sind zwar abgeschaltet, so dass keine Malware nachgeladen werden kann. Aber es sollte jedem klar sein, dass dies nur eine Atempause darstellt.

back-to-topDie zweite Stufe von VPNFilter zündet


Polnische Sicherheitsfirmen habe die Information veröffentlicht, dass das VPNFilter-Botnetz erneut ein Comeback versucht. Momentan werden Scans der Infrastruktur in der Ukraine beobachtet. Die Scans des Botnets suchen bisher nach Mikrotik-Routern mit offenen Port 2000, die in ukrainischen Netzwerken eingesetzt werden.

Da Deutschland auf Platz 2 der Infektionen bei der ersten Stufe des Botnetzes stand, gehe ich davon aus, dass da auch schnell Angriffe auf die Geräte aus diesem IP-Adresskreis erfolgen. Denn es stehen mutmaßlich russische Staatshacker der APT28-Gruppe hinter dem Botnetz - welches auf die Überwachung des Modbus-Verkehrs abstellt.

Ich habe im Blog-Beitrag VPN-Botnetz versucht ein Comeback, Ukraine im Visier einige zusätzliche Informationen veröffentlicht. Dort gibt es auch kurze Hinweise, was man tun kann.

Artikel zum Nachlesen:
Sicherheitsinfos zum 31. Mai 2018
VPN-Botnetz versucht ein Comeback, Ukraine im Visier

Content-ID: 375913

Url: https://administrator.de/contentid/375913

Ausgedruckt am: 28.11.2024 um 12:11 Uhr

umount
umount 03.06.2018 aktualisiert um 16:55:50 Uhr
Goto Top
Tag,

Sind auch APs von Cisco betroffen, oder Switche von Netgear?
em-pie
em-pie 04.06.2018 um 09:35:39 Uhr
Goto Top
Zitat von @umount:

Tag,

Sind auch APs von Cisco betroffen, oder Switche von Netgear?

Unwahrscheinlich, denn ein reiner AP ist kein Router, sondern vereinfacht gesagt nur ein MediaGateway (mit ein paar ergänzenden Funktionen)...
Und dass es einen normalen L2/ L3-Switch trifft ist ebenso unwahrscheinlich, aufgrund der Architektur/ des OS.
Bei den mikrotik-Geräten (die bei VPNFilter immer genannt werden) sind es ja auch nicht nur "einfache" Switche, sondern die haben da schon eine richtig ausgewachsene Software an Board...

Schaue dir mal diesen Link an:
https://blog.talosintelligence.com/2018/05/VPNFilter.html
Im Bereich Multi-Stage Technical Details findest du ansätze, wie die MALWARE auf den Router gelangen kann/ könnte.