2
Administratoren aufgepasst: VPNFilter-Botnetz probt das Comeback
Ihr betreibt Netze mit QNAP-NAS-Systemen oder Routern von Mikrotik, TP-Link, Linksys und Netgear? Dann lesen und handeln.
Die Sicherheitsfirma Talos hatte kürzlichInformationen zu einem riesigen Botnet mit dem Namen VPNFilter veröffentlicht. Dieses befällt Router und NAS-Geräte, 500 Millionen Geräte waren/sind betroffen. Deutschland lag/liegt nach der Ukraine auf Platz 2 der Infektionen.
Da das Botnetz auch die US-Infrastruktur bedrohte, hatte das FBI die C&C-Server des Botnetzes beschlagnahmt und die Kommunikationsinfrastruktur lahm gelegt. Anschließend gab es einen Aufruf, einfach die Router und NAS-Geräte neu zu booten, um die Schadsoftware los zu werden.
Ging vor Tagen breit durch die Presse. Ich hatte im Blog-Beitrag Sicherheitsinfos zum 31. Mai 2018 darüber berichtet, aber auch erwähnt, dass mit dem Neustart die Kuh nicht vom Eis ist. Hintergrund ist, dass die erste Stufe der Malware boot-persistent ist, d.h. einen Neustart überlebt. Die C&C-Server der ersten Angriffswelle sind zwar abgeschaltet, so dass keine Malware nachgeladen werden kann. Aber es sollte jedem klar sein, dass dies nur eine Atempause darstellt.
Polnische Sicherheitsfirmen habe die Information veröffentlicht, dass das VPNFilter-Botnetz erneut ein Comeback versucht. Momentan werden Scans der Infrastruktur in der Ukraine beobachtet. Die Scans des Botnets suchen bisher nach Mikrotik-Routern mit offenen Port 2000, die in ukrainischen Netzwerken eingesetzt werden.
Da Deutschland auf Platz 2 der Infektionen bei der ersten Stufe des Botnetzes stand, gehe ich davon aus, dass da auch schnell Angriffe auf die Geräte aus diesem IP-Adresskreis erfolgen. Denn es stehen mutmaßlich russische Staatshacker der APT28-Gruppe hinter dem Botnetz - welches auf die Überwachung des Modbus-Verkehrs abstellt.
Ich habe im Blog-Beitrag VPN-Botnetz versucht ein Comeback, Ukraine im Visier einige zusätzliche Informationen veröffentlicht. Dort gibt es auch kurze Hinweise, was man tun kann.
Artikel zum Nachlesen:
Sicherheitsinfos zum 31. Mai 2018
VPN-Botnetz versucht ein Comeback, Ukraine im Visier
Worum geht es?
Die Sicherheitsfirma Talos hatte kürzlichInformationen zu einem riesigen Botnet mit dem Namen VPNFilter veröffentlicht. Dieses befällt Router und NAS-Geräte, 500 Millionen Geräte waren/sind betroffen. Deutschland lag/liegt nach der Ukraine auf Platz 2 der Infektionen.Da das Botnetz auch die US-Infrastruktur bedrohte, hatte das FBI die C&C-Server des Botnetzes beschlagnahmt und die Kommunikationsinfrastruktur lahm gelegt. Anschließend gab es einen Aufruf, einfach die Router und NAS-Geräte neu zu booten, um die Schadsoftware los zu werden.
Ging vor Tagen breit durch die Presse. Ich hatte im Blog-Beitrag Sicherheitsinfos zum 31. Mai 2018 darüber berichtet, aber auch erwähnt, dass mit dem Neustart die Kuh nicht vom Eis ist. Hintergrund ist, dass die erste Stufe der Malware boot-persistent ist, d.h. einen Neustart überlebt. Die C&C-Server der ersten Angriffswelle sind zwar abgeschaltet, so dass keine Malware nachgeladen werden kann. Aber es sollte jedem klar sein, dass dies nur eine Atempause darstellt.
Die zweite Stufe von VPNFilter zündet
Polnische Sicherheitsfirmen habe die Information veröffentlicht, dass das VPNFilter-Botnetz erneut ein Comeback versucht. Momentan werden Scans der Infrastruktur in der Ukraine beobachtet. Die Scans des Botnets suchen bisher nach Mikrotik-Routern mit offenen Port 2000, die in ukrainischen Netzwerken eingesetzt werden.
Da Deutschland auf Platz 2 der Infektionen bei der ersten Stufe des Botnetzes stand, gehe ich davon aus, dass da auch schnell Angriffe auf die Geräte aus diesem IP-Adresskreis erfolgen. Denn es stehen mutmaßlich russische Staatshacker der APT28-Gruppe hinter dem Botnetz - welches auf die Überwachung des Modbus-Verkehrs abstellt.
Ich habe im Blog-Beitrag VPN-Botnetz versucht ein Comeback, Ukraine im Visier einige zusätzliche Informationen veröffentlicht. Dort gibt es auch kurze Hinweise, was man tun kann.
Artikel zum Nachlesen:
Sicherheitsinfos zum 31. Mai 2018
VPN-Botnetz versucht ein Comeback, Ukraine im Visier
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 375913
Url: https://administrator.de/contentid/375913
Printed on: April 19, 2024 at 02:04 o'clock
2 Comments
Latest comment
Tag,
Sind auch APs von Cisco betroffen, oder Switche von Netgear?
Sind auch APs von Cisco betroffen, oder Switche von Netgear?
Unwahrscheinlich, denn ein reiner AP ist kein Router, sondern vereinfacht gesagt nur ein MediaGateway (mit ein paar ergänzenden Funktionen)...
Und dass es einen normalen L2/ L3-Switch trifft ist ebenso unwahrscheinlich, aufgrund der Architektur/ des OS.
Bei den mikrotik-Geräten (die bei VPNFilter immer genannt werden) sind es ja auch nicht nur "einfache" Switche, sondern die haben da schon eine richtig ausgewachsene Software an Board...
Schaue dir mal diesen Link an:
https://blog.talosintelligence.com/2018/05/VPNFilter.html
Im Bereich Multi-Stage Technical Details findest du ansätze, wie die MALWARE auf den Router gelangen kann/ könnte.
1
