{"id":204982,"date":"2018-06-03T08:42:59","date_gmt":"2018-06-03T06:42:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=204982"},"modified":"2024-10-04T21:08:13","modified_gmt":"2024-10-04T19:08:13","slug":"vpn-botnetz-versucht-ein-comeback-ukraine-im-visier","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/03\/vpn-botnetz-versucht-ein-comeback-ukraine-im-visier\/","title":{"rendered":"VPNFilter-Botnetz versucht ein Comeback, Ukraine im Visier"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2018\/06\/03\/vpnfilter-botnet-tries-a-comeback-focuses-on-ukraine\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Cyber-Kriminelle versuchen erneut ein Router-basierendes VPN-Botnetz aufzubauen, nachdem die erste Variante von US-Beh\u00f6rden abgeschaltet wurde. Der Angriff wird der staatlichen russischen APT28-Gruppe zugeschrieben, die nach dem UEFA Champions League-Endspiel vom 26. Mai 2018 einen Angriff auf die IT-Struktur der Ukraine plant.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/e6d64f6879874b0aa99ce927bb22f5cf\" alt=\"\" width=\"1\" height=\"1\" \/>Die Sicherheitsfirma Talos hatte k\u00fcrzlich in <a href=\"https:\/\/blog.talosintelligence.com\/2018\/05\/VPNFilter.html\" target=\"_blank\" rel=\"noopener\">einem Blog-Beitrag<\/a> Informationen zu einem riesigen Botnet mit dem Namen VPNFilter ver\u00f6ffentlicht. Dieses bef\u00e4llt Router und NAS-Ger\u00e4te, 500 Millionen Ger\u00e4te waren befallen.<\/p>\n<h2>Popul\u00e4re Router, auch in Deutschland befallen<\/h2>\n<p><strong>Deutschland<\/strong> <strong>lag in der Zahl der Infektionen<\/strong> <strong>auf Platz 2<\/strong>, hinter der Ukraine, da hierzulande einige der infizierbaren Router von Linksys, Mikrotik und Netgear, TP-Link VPN-Systeme sowie QNAP-NAS-Ger\u00e4te im Einsatz sind. Ursache ist ungepatchte Firmware \u2013 bei Mikrotik ist die benutzte L\u00fccke bereits im M\u00e4rz 2017 geschlossen worden.<\/p>\n<p>Das FBI hat dann die C&amp;C-Server beschlagnahmt und das Botnet abgeschaltet. Ende Mai 2018 hatte ich im Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20240302053611\/https:\/\/borncity.com\/blog\/2018\/05\/31\/sicherheitsinfos-zum-31-mai-2018\/\" target=\"_blank\" rel=\"noopener\">Sicherheitsinfos zum 31. Mai 2018<\/a> \u00fcber das VPN-Botnetz berichtet.<\/p>\n<h2>Comeback des VPNFilter Botnet<\/h2>\n<p>Das VPNFilter Botnet versucht aktuell wohl ein Comeback. Sicherheitsforscher von <a href=\"https:\/\/web.archive.org\/web\/20180601130139\/https:\/\/jask.com\/from-russia-with-love\/\" target=\"_blank\" rel=\"noopener\">JASK<\/a> (Polen) und GreyNoise Intelligence haben am Freitag berichtet, dass die gleichen Cyber-Kriminellen, die die erste Variante des VPNFilter-Botnets aufgebaut haben, versuchen, ein neues VPNFilter-Botnet aufzubauen. Das geht aus Beobachtungen hervor, die man bei der \u00dcberwachung der Infrastruktur gemacht hat.<\/p>\n<p>Aktuell sind aber wohl nur Router in der Ukraine im Visier. Denn alle Scans des Botnets suchen nach Mikrotik-Routern mit offenen Port 2000, die in ukrainischen Netzwerken eingesetzt werden.<\/p>\n<p>Die Sicherheitsforscher sehen darin die Vermutung best\u00e4tigt, dass die Staatshacker der russischen APT28-Gruppe hinter dem Angriff stehen. Denn die in den Exploits verwendeten Ans\u00e4tze werden nur von staatlichen Akteuren eingesetzt.<\/p>\n<h2>Infos zur VPNFilter-Malware<\/h2>\n<p>Die VPNFilter-Malware, die ITO-Ger\u00e4te infiziert, gilt als eine der fortschrittlichsten Arten von IoT-Malware und enth\u00e4lt wohl drei Arten sogenannter Payloads.<\/p>\n<ul>\n<li>In der ersten Stufe wird die Firmware der IoT-Ger\u00e4te angegriffen und ein Loader installiert. Dieser \u00fcbersteht einen Neustart des betreffenden Ger\u00e4ts.\u00a0 Nebenbei: Das ist erst die zweite Malware, der dies gelungen ist.<\/li>\n<li>Die Komponente der zweiten Infektionsstufe \u00e4hnelt einem Remote Access Trojaner (RAT), die dann von C&amp;C-Servern nachgeladen wird.<\/li>\n<li>Die eigentlichen Nutzlasten der dritten Stufe kommen als Plugins f\u00fcr diese RAT-Komponente. Damit l\u00e4sst sich dann die zus\u00e4tzliche Funktionalit\u00e4t zu den infizierten Ger\u00e4ten hinzuf\u00fcgen.<\/li>\n<\/ul>\n<p>Sicherheitsforscher, die die VPNFilter-Malware analysiert haben, sagen, dass diese Malware die lokale Firmware l\u00f6schen, den lokalen Datenverkehr \u00fcberpr\u00fcfen, \u00fcber Tor kommunizieren und nach ICS-Ger\u00e4teverkehr im lokalen Netzwerk suchen kann. Dazu sucht die Malware nach Modbus-bezogenem Datenverkehr auf Port 502. <a href=\"https:\/\/de.wikipedia.org\/wiki\/Modbus\" target=\"_blank\" rel=\"noopener\">Modbus<\/a> ist ein Kommunikationsprotokoll, welches in Industrieanlagen in Mess-, Steuer- und Regelungskomponenten eingesetzt wird (kenne ich noch aus den Anf\u00e4ngen meiner Industriet\u00e4tigkeit vor \u00fcber 25 Jahren). Bleeping Computer hat <a href=\"https:\/\/web.archive.org\/web\/20210308051201\/https:\/\/www.bleepingcomputer.com\/news\/security\/the-vpnfilter-botnet-is-attempting-a-comeback\/\" target=\"_blank\" rel=\"noopener\">hier n\u00e4heres<\/a>.<\/p>\n<h2>Was sollte ich tun?<\/h2>\n<p>Wer Router und\/oder NAS-Laufwerke betreibt, sollte unbedingt darauf achten, dass deren Firmware auf dem neuesten Stand ist. Denn Ursache f\u00fcr die Infektion sind Ger\u00e4te mit ungepatchter Firmware. Die bei der zweiten Angriffswelle im Visier befindlichen\u00a0 Mikrotik-Router weisen eine uralte Sicherheitsl\u00fccke auf. Mikrotik hat die ausgenutzte L\u00fccke bereits im M\u00e4rz 2017 geschlossen worden (siehe <a href=\"https:\/\/forum.mikrotik.com\/viewtopic.php?f=21&amp;t=132499\" target=\"_blank\" rel=\"noopener\">Mikrotik-Advisory<\/a>).<\/p>\n<blockquote><p>Wed Mar 28, 2018 3:44 pm<\/p>\n<p>I has come to our attention that a rogue botnet is currently scanning random public IP addresses to find open Winbox (8291) and WWW (80) ports, to exploit a vulnerability in the RouterOS www server that was patched more than a year ago (in RouterOS v6.38.5, march 2017).<br \/>\nSince all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the \"Check for updates\" button, if you haven't done so within the last year.<\/p>\n<p>Your devices are safe if the port 80 is firewalled, or if you have upgraded to v6.38.5 or newer. If you are using our home access point devices with default configuration, they are firewalled from the factory, and you should also be safe, but please upgrade never the less.<br \/>\nThe vulnerability in question was fixed in March 2017:<br \/>\n<em>Current<\/em> release chain:<\/p>\n<blockquote><p>What's new in 6.38.5 (2017-Mar-09 11:32):<br \/>\n!) www &#8211; fixed http server vulnerability;<\/p><\/blockquote>\n<p>And also <em>Bugfix<\/em> release chain:<\/p>\n<blockquote><p>What's new in 6.37.5 (2017-Mar-09 11:54):<br \/>\n!) www &#8211; fixed http server vulnerability;<\/p><\/blockquote>\n<p>Currently this botnet only spreads and scans. It doesn't do anything else, but we still suggest to change your password and upgrade your firewall, just in case. Recommendations about securing your router: <a href=\"https:\/\/wiki.mikrotik.com\/wiki\/Manual:Securing_Your_Router\" target=\"_blank\" rel=\"noopener\">https:\/\/wiki.mikrotik.com\/wiki\/Manual:S &#8230; our_Router<\/a><\/p><\/blockquote>\n<p>Bei Syslink gibt es beispielsweise <a href=\"https:\/\/web.archive.org\/web\/20200228200848\/https:\/\/community.linksys.com\/t5\/Wireless-Routers\/VPNFilter-Malware-Update\/td-p\/1315372\" target=\"_blank\" rel=\"noopener\">diesen Community-Eintrag<\/a>\u00a0 und <a href=\"https:\/\/web.archive.org\/web\/20220706070259\/https:\/\/www.linksys.com\/eg\/support-article?articleNum=139791\" target=\"_blank\" rel=\"noopener\">diesen Link<\/a> mit Hinweisen, zum \u00c4ndern des Router Administrator-Kennworts. Bei QNAP gibt es f\u00fcr die NAS-Laufwerke <a href=\"https:\/\/www.qnap.com\/de-de\/security-advisory\/nas-201805-24\" target=\"_blank\" rel=\"noopener\">dieses Security Advisory<\/a>, welches die betroffenen Firmware-Versionen auflistet (QNAP NAS running QTS 4.2.6 build 20170628, 4.3.3 build 20170703, and earlier versions or using the default password for the administrator account). Abhilfe: Das Update QTS Version 4.2.6 Build 0729, 4.3.3 Build 0727 oder h\u00f6her installieren,d as QNAP Malware-Removal-Tool ausf\u00fchren und das Standard-Passwort f\u00fcr den Administrator \u00e4ndern. Die nachfolgenden Links verweisen auf Seiten der Ger\u00e4tehersteller, wo weitere Informationen verf\u00fcgbar sind.<\/p>\n<p><strong>Links:<\/strong><br \/>\n<a href=\"https:\/\/forum.mikrotik.com\/viewtopic.php?f=21&amp;t=132499\" target=\"_blank\" rel=\"noopener\">VPNFilter malware<\/a> (Mikrotik-Advisory)<br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20200228200848\/https:\/\/community.linksys.com\/t5\/Wireless-Routers\/VPNFilter-Malware-Update\/td-p\/1315372\" target=\"_blank\" rel=\"noopener\">VPNFilter Malware Update<\/a> (Linksys Comunity)<br \/>\n<a href=\"https:\/\/www.tp-link.com\/us\/faq-2212.html\" target=\"_blank\" rel=\"noopener\">VPNFilter Malware Security<\/a> (T-Link)<br \/>\n<a href=\"https:\/\/www.qnap.com\/de-de\/security-advisory\/nas-201805-24\" target=\"_blank\" rel=\"noopener\">Security Advisory for VPNFilter Malware<\/a><br \/>\n<a href=\"https:\/\/www.administrator.de\/wissen\/achtung-vpnfilter-botnetz-probt-comeback-administratoren-aufgepasst-375913.html\" target=\"_blank\" rel=\"noopener\">Mein Beitrag bei administrator.de<\/a><\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20240302053611\/https:\/\/borncity.com\/blog\/2018\/05\/31\/sicherheitsinfos-zum-31-mai-2018\/\" target=\"_blank\" rel=\"noopener\">Sicherheitsinfos zum 31. Mai 2018<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/04\/25\/mikrotik-router-patchen-angriffe-erfolgen\/\">MikroTik-Router patchen, Angriffe erfolgen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/04\/23\/mikrotik-router-sicherheitslcke-im-winbox-port\/\">Mikrotik-Router: Sicherheitsl\u00fccke im Winbox-Port<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/08\/01\/qnap-fixt-heimlich-kritischen-bug-der-datenverlust-bewirkt\/\">QNAP fixt kritischen Bug, der Datenverlust bewirkt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/01\/31\/nas-qnap-und-synology-von-meltdown-spectre-betroffen\/\">NAS: QNAP und Synology von Meltdown\/Spectre betroffen<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20240614070503\/http:\/\/www.borncity.com\/blog\/2014\/02\/15\/sicherheitslcke-bei-linksys-routern-befall-durch-wurm\/\">Sicherheitsl\u00fccke bei Linksys-Routern, Befall durch Wurm<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/02\/09\/netgear-router-leicht-hackbar-firmware-aktualisieren\/\">Netgear-Router leicht hackbar \u2013 Firmware aktualisieren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/10\/20\/neues-botnet-iot_reaper-befllt-iot-gerte\/\">Neues Botnet IoT_reaper bef\u00e4llt IoT-Ger\u00e4te<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Cyber-Kriminelle versuchen erneut ein Router-basierendes VPN-Botnetz aufzubauen, nachdem die erste Variante von US-Beh\u00f6rden abgeschaltet wurde. Der Angriff wird der staatlichen russischen APT28-Gruppe zugeschrieben, die nach dem UEFA Champions League-Endspiel vom 26. Mai 2018 einen Angriff auf die IT-Struktur der Ukraine &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/06\/03\/vpn-botnetz-versucht-ein-comeback-ukraine-im-visier\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-204982","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204982","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=204982"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204982\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=204982"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=204982"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=204982"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}