Schadsoftware: VPNFilter greift Router an

Was genau ist VPNFilter?

VPNFilter ist ein Schad­programm, das Sicher­heits­lücken in Routern und Netz­werk­geräten nutzt, um sich unbe­merkt in den Geräten zu installieren. Der Angriff von VPNFilter ist professionell aufgebaut und erfolgt in drei Stufen.
Erste Stufe: Ein so genannter Türöffner installiert sich in der Firmware der Geräte. Die Erweiterung dringt so tief in die Firmware ein, dass sie sich auch durch einen Neustart des befallenen Geräts nicht mehr entfernen lässt.
Zweite Stufe: Über drei verschiedene Kommunikations­kanäle versucht der Türöffner weitere Schadroutinen nach­zuladen. Die Schadsoftware nutzt den Fotod­ienst Photobu­cket, um dort Informationen abzu­fragen. Mit ihrer Hilfe ermittelt sie die URL – also die Adresse – eines Servers, der ihr weitere Schad­programme zur Verfügung stellen soll. Außerdem kommuniziert das Schad­programm mit dem Server toknowall.com, um von dort ebenfalls Malware nach­zuladen.
Dritte Stufe: Das Schad­programm akti­viert einen Lauschmodus und horcht dauer­haft im Netz nach neuen Befehlen seiner Schöpfer. Außerdem sucht das Schad­programm im Netz nach anfäl­ligen Geräten, um sich weiter zu verbreiten.

Welche Geräte sind betroffen?

Vom Angriff betroffen waren zunächst 15 aktuelle Router und Netz­werk­geräte der Firmen Linksys, Netgear und TP-Link, die auf den Betriebs­sytemen Linux und Busybox basieren:

1. Linksys E1200
2. Linksys E2500
3. Linksys WRVS4400N
4. Mikrotik CCR1016
5. Mikrotik CCR1036-XX
6. Mikrotik CCR1072-XX
7. Netgear DGN2200
8. Netgear R6400
9. Netgear R7000
10. Netgear R8000
11. Netgear WNR1000
12. Netgear WNR2000
13. QNap TS251
14. QNap TS439 Pro
15. TP-Link R600VPN

Die betroffenen Modelle werden vor allem von Firmen genutzt, in Privathaushalten stehen sie nur selten. In Deutsch­land soll es rund 50 000 infizierte Geräte geben. Wer eines der oben genannten Modelle verwendet, sollte es vom Internet trennen und auf Werks­einstel­lungen zurück­setzen (Reset laut Anleitung durch­führen). Anschließend ist die neueste Firmware des Anbieters aufzuspielen und das Gerät neu zu konfigurieren.
Update: Inzwischen sind weitere Router bekannt, die von VPNFilter angegriffen werden können. Details nennt das Sicher­heits­unternehmen Cisco Talos.

Wie gefähr­lich ist der Angreifer?

In der Stufe zwei kann das Schad­programm unbe­merkt Verbindungen zum TOR-Netz­werk aufbauen und die infizierten Router per Firmware­löschung sogar zerstören. VPNFilter gilt als erster Angreifer, der sich nicht mehr durch einen Neustart entfernen lässt. Erst ein Reset auf Werks­einstel­lungen und die voll­ständige Neukonfiguration des Routers macht das infizierte Gerät wieder sicher. Die amerikanische Sicher­heits­behörde FBI nimmt den Angriff offen­bar ernst. Sie hat die Nach­lade-Dateien der Schadsoftware von den drei verwendeten Servern gelöscht. Das FBI hat nun Kontrolle über sämtliche bekannte Instanzen der Schadsoftware.

Weitere Infos im Netz

Die ersten Informationen über den neuen Angreifer VPNFilter stammen vom Sicher­heits­unternehmen Cisco Talos (23. Mai 2018). Weitere Informationen liefern die Sicher­heits­unternehmen Symantec, Sophos, das FBI und der Sicherheitsexperte Brian Krebs.

Tipp: Die Stiftung Warentest testet regel­mäßig Antivirus-Programme zum Test Antivirus-Programme. Viele weitere nützliche Informationen rund um die Sicherheit im Netz finden sie auf der Themenseite IT-Sicherheit: Antivirus und Firewall.

Newsletter: Bleiben Sie auf dem Laufenden

Mit den Newslettern der Stiftung Warentest haben Sie die neuesten Nach­richten für Verbraucher immer im Blick. Sie haben die Möglich­keit, Newsletter aus verschiedenen Themen­gebieten auszuwählen.

test.de-Newsletter bestellen

Diese Meldung ist am 1. Juni 2018 auf test.de erschienen. Wir haben sie am 11. Juni 2018 aktualisiert.