VPNFilter heißt eine neue Schadsoftware, die Router und Netzwerkgeräte befällt. Es ist die erste Infektion, die sich dauerhaft im Speicher von Netzwerkgeräten festsetzen kann. Experten rechnen mit 500 000 infizierten Geräten in etwa 50 Ländern. Betroffen sind Router und Netzwerkgeräte der Firmen Linksys, Netgear und TP-Link. Die amerikanische Sicherheitsbehörde FBI ist alarmiert und geht gegen den Angriff vor. test.de sagt, wer sich schützen sollte.
Was genau ist VPNFilter?
VPNFilter ist ein Schadprogramm, das Sicherheitslücken in Routern und Netzwerkgeräten nutzt, um sich unbemerkt in den Geräten zu installieren. Der Angriff von VPNFilter ist professionell aufgebaut und erfolgt in drei Stufen.
Erste Stufe: Ein so genannter Türöffner installiert sich in der Firmware der Geräte. Die Erweiterung dringt so tief in die Firmware ein, dass sie sich auch durch einen Neustart des befallenen Geräts nicht mehr entfernen lässt.
Zweite Stufe: Über drei verschiedene Kommunikationskanäle versucht der Türöffner weitere Schadroutinen nachzuladen. Die Schadsoftware nutzt den Fotodienst Photobucket, um dort Informationen abzufragen. Mit ihrer Hilfe ermittelt sie die URL – also die Adresse – eines Servers, der ihr weitere Schadprogramme zur Verfügung stellen soll. Außerdem kommuniziert das Schadprogramm mit dem Server toknowall.com, um von dort ebenfalls Malware nachzuladen.
Dritte Stufe: Das Schadprogramm aktiviert einen Lauschmodus und horcht dauerhaft im Netz nach neuen Befehlen seiner Schöpfer. Außerdem sucht das Schadprogramm im Netz nach anfälligen Geräten, um sich weiter zu verbreiten.
Welche Geräte sind betroffen?
Vom Angriff betroffen waren zunächst 15 aktuelle Router und Netzwerkgeräte der Firmen Linksys, Netgear und TP-Link, die auf den Betriebssytemen Linux und Busybox basieren:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik CCR1016
- Mikrotik CCR1036-XX
- Mikrotik CCR1072-XX
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNap TS251
- QNap TS439 Pro
- TP-Link R600VPN
Die betroffenen Modelle werden vor allem von Firmen genutzt, in Privathaushalten stehen sie nur selten. In Deutschland soll es rund 50 000 infizierte Geräte geben. Wer eines der oben genannten Modelle verwendet, sollte es vom Internet trennen und auf Werkseinstellungen zurücksetzen (Reset laut Anleitung durchführen). Anschließend ist die neueste Firmware des Anbieters aufzuspielen und das Gerät neu zu konfigurieren.
Update: Inzwischen sind weitere Router bekannt, die von VPNFilter angegriffen werden können. Details nennt das Sicherheitsunternehmen Cisco Talos.
Wie gefährlich ist der Angreifer?
In der Stufe zwei kann das Schadprogramm unbemerkt Verbindungen zum TOR-Netzwerk aufbauen und die infizierten Router per Firmwarelöschung sogar zerstören. VPNFilter gilt als erster Angreifer, der sich nicht mehr durch einen Neustart entfernen lässt. Erst ein Reset auf Werkseinstellungen und die vollständige Neukonfiguration des Routers macht das infizierte Gerät wieder sicher. Die amerikanische Sicherheitsbehörde FBI nimmt den Angriff offenbar ernst. Sie hat die Nachlade-Dateien der Schadsoftware von den drei verwendeten Servern gelöscht. Das FBI hat nun Kontrolle über sämtliche bekannte Instanzen der Schadsoftware.
Weitere Infos im Netz
Die ersten Informationen über den neuen Angreifer VPNFilter stammen vom Sicherheitsunternehmen Cisco Talos (23. Mai 2018). Weitere Informationen liefern die Sicherheitsunternehmen Symantec, Sophos, das FBI und der Sicherheitsexperte Brian Krebs.
Tipp: Die Stiftung Warentest testet regelmäßig Antivirus-Programme zum Test Antivirus-Programme. Viele weitere nützliche Informationen rund um die Sicherheit im Netz finden sie auf der Themenseite IT-Sicherheit: Antivirus und Firewall.
Newsletter: Bleiben Sie auf dem Laufenden
Mit den Newslettern der Stiftung Warentest haben Sie die neuesten Nachrichten für Verbraucher immer im Blick. Sie haben die Möglichkeit, Newsletter aus verschiedenen Themengebieten auszuwählen.
Diese Meldung ist am 1. Juni 2018 auf test.de erschienen. Wir haben sie am 11. Juni 2018 aktualisiert.
-
- Virenscanner sind unverzichtbar: Sie schützen vor Schadsoftware und Phishing. Wir zeigen, welche Antivirenprogramme im Test am besten funktionieren.
-
- Händler müssen nicht auf Sicherheitslücken von Smartphones hinweisen. Das hat nun ein Kölner Gericht entschieden. Kunden können die Risiken aber immerhin mindern. Hier...
-
- Kaum jemand kennt sie, doch fast jeder braucht sie: VPN-Dienste schützen vor Datenraub durch Hacker im offenen WLan. Der VPN-Test zeigt die besten Programme.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.