VPNFilter-Botnetz versucht ein Comeback, Ukraine im Visier

Publiziert am 3. Juni 2018 von Günter Born

[English]Cyber-Kriminelle versuchen erneut ein Router-basierendes VPN-Botnetz aufzubauen, nachdem die erste Variante von US-Behörden abgeschaltet wurde. Der Angriff wird der staatlichen russischen APT28-Gruppe zugeschrieben, die nach dem UEFA Champions League-Endspiel vom 26. Mai 2018 einen Angriff auf die IT-Struktur der Ukraine plant.

Anzeige

Worum geht es?

Die Sicherheitsfirma Talos hatte kürzlich in einem Blog-Beitrag Informationen zu einem riesigen Botnet mit dem Namen VPNFilter veröffentlicht. Dieses befällt Router und NAS-Geräte, 500 Millionen Geräte waren befallen.

Populäre Router, auch in Deutschland befallen

Deutschland lag in der Zahl der Infektionen auf Platz 2, hinter der Ukraine, da hierzulande einige der infizierbaren Router von Linksys, Mikrotik und Netgear, TP-Link VPN-Systeme sowie QNAP-NAS-Geräte im Einsatz sind. Ursache ist ungepatchte Firmware – bei Mikrotik ist die benutzte Lücke bereits im März 2017 geschlossen worden.

Das FBI hat dann die C&C-Server beschlagnahmt und das Botnet abgeschaltet. Ende Mai 2018 hatte ich im Blog-Beitrag Sicherheitsinfos zum 31. Mai 2018 über das VPN-Botnetz berichtet.

Comeback des VPNFilter Botnet

Das VPNFilter Botnet versucht aktuell wohl ein Comeback. Sicherheitsforscher von JASK (Polen) und GreyNoise Intelligence haben am Freitag berichtet, dass die gleichen Cyber-Kriminellen, die die erste Variante des VPNFilter-Botnets aufgebaut haben, versuchen, ein neues VPNFilter-Botnet aufzubauen. Das geht aus Beobachtungen hervor, die man bei der Überwachung der Infrastruktur gemacht hat.

Aktuell sind aber wohl nur Router in der Ukraine im Visier. Denn alle Scans des Botnets suchen nach Mikrotik-Routern mit offenen Port 2000, die in ukrainischen Netzwerken eingesetzt werden.

Die Sicherheitsforscher sehen darin die Vermutung bestätigt, dass die Staatshacker der russischen APT28-Gruppe hinter dem Angriff stehen. Denn die in den Exploits verwendeten Ansätze werden nur von staatlichen Akteuren eingesetzt.

Infos zur VPNFilter-Malware

Die VPNFilter-Malware, die ITO-Geräte infiziert, gilt als eine der fortschrittlichsten Arten von IoT-Malware und enthält wohl drei Arten sogenannter Payloads.

  • In der ersten Stufe wird die Firmware der IoT-Geräte angegriffen und ein Loader installiert. Dieser übersteht einen Neustart des betreffenden Geräts.  Nebenbei: Das ist erst die zweite Malware, der dies gelungen ist.
  • Die Komponente der zweiten Infektionsstufe ähnelt einem Remote Access Trojaner (RAT), die dann von C&C-Servern nachgeladen wird.
  • Die eigentlichen Nutzlasten der dritten Stufe kommen als Plugins für diese RAT-Komponente. Damit lässt sich dann die zusätzliche Funktionalität zu den infizierten Geräten hinzufügen.

Sicherheitsforscher, die die VPNFilter-Malware analysiert haben, sagen, dass diese Malware die lokale Firmware löschen, den lokalen Datenverkehr überprüfen, über Tor kommunizieren und nach ICS-Geräteverkehr im lokalen Netzwerk suchen kann. Dazu sucht die Malware nach Modbus-bezogenem Datenverkehr auf Port 502. Modbus ist ein Kommunikationsprotokoll, welches in Industrieanlagen in Mess-, Steuer- und Regelungskomponenten eingesetzt wird (kenne ich noch aus den Anfängen meiner Industrietätigkeit vor über 25 Jahren). Bleeping Computer hat hier näheres.

Anzeige

Was sollte ich tun?

Wer Router und/oder NAS-Laufwerke betreibt, sollte unbedingt darauf achten, dass deren Firmware auf dem neuesten Stand ist. Denn Ursache für die Infektion sind Geräte mit ungepatchter Firmware. Die bei der zweiten Angriffswelle im Visier befindlichen  Mikrotik-Router weisen eine uralte Sicherheitslücke auf. Mikrotik hat die ausgenutzte Lücke bereits im März 2017 geschlossen worden (siehe Mikrotik-Advisory).

Wed Mar 28, 2018 3:44 pm

I has come to our attention that a rogue botnet is currently scanning random public IP addresses to find open Winbox (8291) and WWW (80) ports, to exploit a vulnerability in the RouterOS www server that was patched more than a year ago (in RouterOS v6.38.5, march 2017).
Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so within the last year.

Your devices are safe if the port 80 is firewalled, or if you have upgraded to v6.38.5 or newer. If you are using our home access point devices with default configuration, they are firewalled from the factory, and you should also be safe, but please upgrade never the less.
The vulnerability in question was fixed in March 2017:
Current release chain:

What's new in 6.38.5 (2017-Mar-09 11:32):
!) www – fixed http server vulnerability;

And also Bugfix release chain:

What's new in 6.37.5 (2017-Mar-09 11:54):
!) www – fixed http server vulnerability;

Currently this botnet only spreads and scans. It doesn't do anything else, but we still suggest to change your password and upgrade your firewall, just in case. Recommendations about securing your router: https://wiki.mikrotik.com/wiki/Manual:S … our_Router

Bei Syslink gibt es beispielsweise diesen Community-Eintrag  und diesen Link mit Hinweisen, zum Ändern des Router Administrator-Kennworts. Bei QNAP gibt es für die NAS-Laufwerke dieses Security Advisory, welches die betroffenen Firmware-Versionen auflistet (QNAP NAS running QTS 4.2.6 build 20170628, 4.3.3 build 20170703, and earlier versions or using the default password for the administrator account). Abhilfe: Das Update QTS Version 4.2.6 Build 0729, 4.3.3 Build 0727 oder höher installieren,d as QNAP Malware-Removal-Tool ausführen und das Standard-Passwort für den Administrator ändern. Die nachfolgenden Links verweisen auf Seiten der Gerätehersteller, wo weitere Informationen verfügbar sind.

Links:
VPNFilter malware (Mikrotik-Advisory)
VPNFilter Malware Update (Linksys Comunity)
VPNFilter Malware Security (T-Link)
Security Advisory for VPNFilter Malware
Mein Beitrag bei administrator.de

Ähnliche Artikel:
Sicherheitsinfos zum 31. Mai 2018
MikroTik-Router patchen, Angriffe erfolgen
Mikrotik-Router: Sicherheitslücke im Winbox-Port
QNAP fixt kritischen Bug, der Datenverlust bewirkt
NAS: QNAP und Synology von Meltdown/Spectre betroffen
Sicherheitslücke bei Linksys-Routern, Befall durch Wurm
Netgear-Router leicht hackbar – Firmware aktualisieren
Neues Botnet IoT_reaper befällt IoT-Geräte

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu VPNFilter-Botnetz versucht ein Comeback, Ukraine im Visier

  1. Anonymous sagt:
    4. Juni 2018 um 11:12 Uhr

    Mikrotik-Router

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.