VPNFilter: Router-Malware deutlich gefährlicher als gedacht

Die Malware VPNFilter  sorgt seit fast zwei Wochen für Ärger, der jetzt wohl noch zunehmen dürfte. Das Sicherheitsteam Talos der Firma Cisco hat VPNFilter neu analysiert und dabei wenig Beruhigendes festgestellt. Die Experten haben ein Modul in VPNFilter ausgemacht, das Angriffe auf eingehenden Online-Traffic unternimmt. Dabei hat es das Modul auf Passwörter oder andere sensible Informationen abgesehen. Um diese auszulesen, versucht das Modul, TLS-verschlüsselte https-Verbindungen in offene http-Verbindungen umzuwandeln.

Bisher nahm Talos an, dass VPNFilter Router und andere Geräte „nur“ übernimmt, um sie in ein Botnetz zu integrieren. Nun scheint die Malware es also auch auf Daten der jeweiligen Gerätebesitzer abgesehen zu haben, wie die Talos-Analyse besagt. Zu allem Überfluss kommt Talos zu dem Schluss, dass weltweit zum einen deutlich mehr Geräte betroffen sind, als zuvor angenommen. Die erweiterte Liste können Sie im Anschluss einsehen. Zum anderen soll es weltweit auch deutlich mehr befallene Geräte geben. Anstat wie zuvor 500.000 nennt Talos nun die Zahl 700.000. Ein Neustart gegen VPNFilter, wie vom FBI empfohlen, dürfte dann in vielen Fällen nicht mehr ausreichen.

Die von VPNFilter betroffenen Geräte und Nutzer sollen vorrangig in der Ukraine sein. Doch auch Nutzergeräte in Europa oder in den USA sollen sich bereits infiziert haben. Der Ursprung von VPNFilter wird in Regierungskreisen Russlands vermutet. Weitere Erkenntnisse zu den Drahtziehern ließen sich jedoch nicht gewinnen. In der folgenden Liste sehen Sie, welche Geräte von VPNFilter betroffen sind. Die neu hinzugekommenen Geräte wurden von Talos gekennzeichnet.

VPNFilter: Betroffene Geräte

Asus Devices:

• RT-AC66U (new)
• RT-N10 (new)
• RT-N10E (new)
• RT-N10U (new)
• RT-N56U (new)
• RT-N66U (new)

D-Link Devices:

• DES-1210-08P (new)
• DIR-300 (new)
• DIR-300A (new)
• DSR-250N (new)
• DSR-500N (new)
• DSR-1000 (new)
• DSR-1000N (new)

Huawei Devices:

• HG8245 (new)

Linksys Devices:

• E1200
• E2500
• E3000 (new)
• E3200 (new)
• E4200 (new)
• RV082 (new)
• WRVS4400N

Mikrotik Devices:

• CCR1009 (new)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (new)
• CRS112 (new)
• CRS125 (new)
• RB411 (new)
• RB450 (new)
• RB750 (new)
• RB911 (new)
• RB921 (new)
• RB941 (new)
• RB951 (new)
• RB952 (new)
• RB960 (new)
• RB962 (new)
• RB1100 (new)
• RB1200 (new)
• RB2011 (new)
• RB3011 (new)
• RB Groove (new)
• RB Omnitik (new)
• STX5 (new)

Netgear Devices:

• DG834 (new)
• DGN1000 (new)
• DGN2200
• DGN3500 (new)
• FVS318N (new)
• MBRN3000 (new)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (new)
• WNR4000 (new)
• WNDR3700 (new)
• WNDR4000 (new)
• WNDR4300 (new)
• WNDR4300-TN (new)
• UTM50 (new)

QNAP Devices:

• TS251
• TS439 Pro
• Other QNAP NAS devices running QTS software

TP-Link Devices:

• R600VPN
  
• TL-WR741ND (new)
• TL-WR841N (new)

Ubiquiti Devices:

• NSM2 (new)
• PBE M5 (new)

Upvel Devices:

• Unknown Models* (new)

ZTE Devices:

• ZXHN H108N (new)

* Es wurden Angriffe auf Upvel-Geräte registriert. Es ist jedoch nicht möglich, spezifische Geräte auszumachen, auf die es die Malware abgesehen hat.