Herrmann - Computer und Internet Service
Computer und Internet Service

Botnetz aus Routern und NAS-Systemen entdeckt

Ein amerikanisches Unternehmen für Cybersicherheit berichtet von einem neuen Botnetz, das hauptsächlich aus Routern und NAS-Systemen besteht. Betroffen sind auch Tausende Geräte in Deutschland. Besonders verheerend: Die Schadware ist in der Lage, die Geräte dauerhaft zu zerstören, sodass sie sich nicht mehr reparieren lassen. Anwender sind zum Handeln aufgerufen.

 

Was ist ein Botnetz überhaupt?


Ein Botnetz ist eine digitale Armee: Es besteht aus einer großen Anzahl von Netzwerkgeräten aller Art mit Internetzugang, auf denen sich eine spezielle Art von Schadsoftware eingenistet hat. Befallen sein können PC und Notebook. Besonders oft aber sind andere Netzwerkclients betroffen wie Router, NAS und Produkte aus dem wachsenden Smart Home Markt, z. B. günstige Netzwerkkameras. Denn während klassische Computersysteme in den Standardeinstellungen zuverlässig mit Sicherheitsupdates versorgt werden, ist das bei den neueren Geräteklassen oft nicht der Fall.


Infizierte Geräte verhalten sich zunächst vollkommen unauffällig, d. h. sie verrichten ihren Dienst wie vorgesehen. Es liegt normalerweise auch nicht im Interesse des Kriminellen, die Hardware unbrauchbar zu machen, denn er will sie für seine Zwecke missbrauchen: Für alle Anwendungen, bei denen sich eine möglichst große Anzahl an beteiligten Geräten vorteilhaft auswirkt, wird das Botnetz verwendet. Seine besondere Stärke besteht darin, dass die gekaperten Netzwerkgeräte auf Kommando des kriminellen Botnetzbetreibers gemeinsam Angriffe ausführen. Aufsehenerregende Fälle aus der Vergangenheit sind die Attacken aus dem Jahr 2016. Damals legte ein Botnetz auf Basis der Schadware Mirai die Internetseiten von Anbietern wie Amazon und Netflix lahm. Über das Internet bekamen die infizierten Geräte den Befehl, gleichzeitig eine hohe Anzahl an Verbindung mit den Servern dieser Unternehmen herzustellen. Die Server überlasteten und versagten den Dienst. Diese Art von Angriff wird als DDOS-Attacke bezeichnet, die sich grundsätzlich gegen alle möglichen Server richten kann – auch solche, die die Infrastruktur ganzer Staaten betreffen und nicht nur Videodienste. Botnetze werden aber nicht nur für DDOS-Attacken verwendet, sondern für allerlei verschiedene Internetkriminalität.


Wer ist aktuell betroffen und was kann man tun?


Die Opfer des kürzlich entdeckten Botnetzes sind Router verschiedener Hersteller und NAS von QNAP. Die zugrundeliegende Schadware hat den Namen "VPNFilter". Sie besteht aus mehreren Ebenen. Ein einfacher Neustart beseitigt zwar die höheren Funktionsebenen der Malware, die grundsätzliche Infektion bleibt aber bestehen. Die durch einen Neustart beseitigten Module werden vom verbliebenen Rest einfach wieder nachgeladen. Die radikale Kur besteht darin, die betroffenen Geräte auf Werkseinstellungen zurückzusetzen. Dabei gehen aber alle Daten und Einstellungen verloren – für die meisten Nutzer ist das ein nicht hinzunehmender Nachteil. Es geht aber zumindest bei den NAS von QNAP auch eleganter: Der Hersteller weist darauf hin, dass er schon letztes Jahr die Signaturdateien gegen VPNFilter für seine App Malware Remover bereitgestellt hat. Der Malware Remover ist eine App, die Nutzer von QNAP-NAS über das App Center des Systems laden können, und die die Infektion beseitigt.


Für die diversen Router steht solch eine Lösung gegenwärtig nicht zur Verfügung. Handeln muss man trotzdem, denn die Schadware hat eine gefährliche Zusatzfunktion eingebaut: Sie kann auf Befehl des Kriminellen den Start der Geräte verhindern – dauerhaft. Dann wären sie Schrott, der sich nicht mehr reparieren lässt und Anwender müssten neue Hardware kaufen. Wenn Sie sich den Reset Ihres Routers und / oder die anschließende Konfiguration nicht zutrauen, hilft Herrmann CIS schnell und unkompliziert weiter. Auf die lange Bank schieben sollte man das Problem keinesfalls: Es ist noch nicht bekannt, was die Angriffsziele des Botnetzes sein sollen, und auch nicht, ob die Zerstörung der Geräte praktisch umgesetzt werden wird. Ganz von den Einsatzzwecken des Botnetzes abgesehen bedeutet ein kompromittiertes Gerät im eigenen Netzwerk immer ein Risiko für die eigene Datensicherheit.


Eine Liste der betroffenen Hersteller und weitere Informationen bietet Heise unter:

https://www.heise.de/security/meldung/Cisco-Talos-deckt-riesiges-Router-und-NAS-Botnetz-auf-4056997.html