Vor einigen Wochen
warnten Experten
für Informationssicherheit
vor einer gefährlichen Malware namens VPNFilter. Wie sich herausstellte, sind Router verschiedener Hersteller das Hauptziel dieser Malware. Einer der ersten bei VPNFilter war ein Team
von Cisco Talos- Experten für Informationssicherheit.
Die Malware wird von Entwicklern ständig verbessert. Kürzlich wurde ein neues Modul entdeckt, das den
Man-in-the-Middle-Angriffstyp in Bezug auf eingehenden Datenverkehr verwendet. Angreifer können den Datenverkehr über den Router ändern. Sie können auch problemlos Daten auf ihre Server umleiten. Das Virenmodul heißt ssler.
Neben der Änderung des eingehenden Datenverkehrs kann ssler auch die persönlichen Daten des Opfers an seine Ersteller übertragen. Dies können Passwörter für verschiedene Ressourcen sein, die Cyberkriminelle dann für verschiedene Zwecke verwenden.
Um den Diebstahl persönlicher Daten zu verhindern, wird normalerweise eine TLS-Verschlüsselung verwendet, die die Malware umgehen kann. Dies erfolgt durch „Downgrade“ von HTTPS-Verbindungen auf HTTP-Verkehr, der durch nichts geschützt ist. Anschließend werden die Anforderungsheader ersetzt, was als Signal dafür dient, dass der Zugriffspunkt anfällig ist. Ssler ändert speziell den Datenverkehr verschiedener Ressourcen, darunter Google, Facebook, Twitter und Youtube. Tatsache ist, dass diese Dienste zusätzlichen Schutz bieten. Beispielsweise leitet Google den HTTP-Verkehr an HTTPS-Server weiter. Mit dem Modul können Sie diesen Schutz jedoch umgehen, sodass Angreifer unverschlüsselten Datenverkehr erhalten.
Ab dem Moment, in dem ein Virus entdeckt wird, untersuchen Experten für Informationssicherheit
seine Funktionen . Jetzt stellte sich heraus, dass er gefährlicher war als gedacht. Zuvor behaupteten beispielsweise Cisco-Experten, dass die Hauptaufgabe von Angreifern darin bestehe, Netzwerkgeräte in Unternehmensbüros und in den Häusern der Opfer zu infizieren. Vielleicht um ein Botnetz zu bilden. Aber jetzt stellte sich heraus, dass es die Benutzer oder vielmehr ihre Daten waren - das Hauptziel.
„Als wir den Virus entdeckten, glaubten wir zunächst, dass er für die Implementierung verschiedener Arten von Netzwerkangriffen entwickelt wurde. Es stellte sich jedoch heraus, dass dies überhaupt nicht die Hauptaufgabe und die Möglichkeit von Malware ist. Es wurde hauptsächlich erstellt, um Benutzerdaten zu stehlen und den Datenverkehr zu ändern. Beispielsweise kann ein Virus den Datenverkehr so ändern, dass ein Client-Bank-Benutzer denselben Betrag auf seinem Konto sieht. Tatsächlich ist Geld schon lange nicht mehr da “, heißt es in dem Bericht von Cybersicherheitsexperten.
Interessanterweise befinden sich die meisten infizierten Geräte in / in der Ukraine. Schutzmaßnahmen wie
HTTP Strict Transport Security sind hier nicht sehr verbreitet, sodass Benutzerdaten gefährdet sind. In anderen Ländern gibt es jedoch Probleme - beispielsweise in den USA und Westeuropa unterstützen viele Geräte, die moralisch veraltet sind, die Arbeit mit HTTPS nicht und verwenden weiterhin HTTP.
Es wurde bereits berichtet, dass die anfälligsten Routermodelle für diesen Virus Geräte sind, die von ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE hergestellt werden. Tatsächlich ist die Anzahl der für den Virus anfälligen Geräte viel größer. Dies schließt Modelle von Linksys, MikroTik, Netgear und TP-Link ein.
Vollständige Liste der anfälligen GeräteAsus:
RT-AC66U (neu)
RT-N10 (neu)
RT-N10E (neu)
RT-N10U (neu)
RT-N56U (neu)
RT-N66U (neu)
D-Link:
DES-1210-08P (neu)
DIR-300 (neu)
DIR-300A (neu)
DSR-250N (neu)
DSR-500N (neu)
DSR-1000 (neu)
DSR-1000N (neu)
Huawei:
HG8245 (neu)
Linksys:
E1200
E2500
E3000 (neu)
E3200 (neu)
E4200 (neu)
RV082 (neu)
WRVS4400N
Mikrotik:
CCR1009 (neu)
CCR1016
CCR1036
CCR1072
CRS109 (neu)
CRS112 (neu)
CRS125 (neu)
RB411 (neu)
RB450 (neu)
RB750 (neu)
RB911 (neu)
RB921 (neu)
RB941 (neu)
RB951 (neu)
RB952 (neu)
RB960 (neu)
RB962 (neu)
RB1100 (neu)
RB1200 (neu)
RB2011 (neu)
RB3011 (neu)
RB Groove (neu)
RB Omnitik (neu)
STX5 (neu)
Netgear:
DG834 (neu)
DGN1000 (neu)
DGN2200
DGN3500 (neu)
FVS318N (neu)
MBRN3000 (neu)
R6400
R7000
R8000
Wnr1000
Wnr2000
WNR2200 (neu)
WNR4000 (neu)
WNDR3700 (neu)
WNDR4000 (neu)
WNDR4300 (neu)
WNDR4300-TN (neu)
UTM50 (neu)
QNAP:
TS251
TS439 Pro
Andere QNAP NAS mit QTS
TP-Link:
R600VPN
TL-WR741ND (neu)
TL-WR841N (neu)
Ubiquiti:
NSM2 (neu)
PBE M5 (neu)
Upvel:
Unbekannte Modelle * (neu)
ZTE:
ZXHN H108N (neu)
Und das ist noch nicht alles
Zusätzlich zu all dem, was oben angekündigt wurde, berichtete Talos über die Entdeckung eines Sniffer-Moduls. Es analysiert den Verkehr bei der Suche nach Daten eines bestimmten Typs, die mit dem Betrieb industrieller Systeme verbunden sind. Dieser Verkehr läuft über den TP-Link R600, der vom Modul bestimmt wird. Darüber hinaus sucht das Modul nach IP-Zugriffen aus einem bestimmten Bereich sowie nach Datenpaketen mit einer Größe von 150 Byte oder mehr.
„Die Schöpfer des Virus suchen nach ganz bestimmten Dingen. Sie versuchen nicht, so viele Informationen wie möglich zu sammeln, überhaupt nicht. Sie benötigen Passwörter, Anmeldungen, Zugriff auf einen bestimmten IP-Bereich und dergleichen. Wir versuchen zu verstehen, wer das alles braucht “, sagen die Forscher.
Dies ist jedoch noch nicht alles, da der Virus jetzt aktualisiert wird und ein Selbstzerstörungsmodul in seiner Funktionalität angezeigt wird. Wenn das Modul aktiviert ist, wird der Virus spurlos vom Gerät entfernt.
Trotz der Tatsache, dass das FBI den Hauptserver vor etwa einer Woche entdeckt und beschlagnahmt hat, das Botnetz immer noch aktiv ist, reichten die ergriffenen Maßnahmen eindeutig nicht aus.