Parallel zum Bekanntwerden eines massiven Hackerangriffs auf mindestens 500.000 Router und Netzwerkspeichergeräte (NAS) ist die Gefahr offenbar bereits deutlich verringert worden. Wie das US-Magazin The Daily Beast berichtet, hat die US-Bundespolizei FBI im Verlauf der Woche Zugriff auf jene Internetadresse erlangt, über die sich die Malware neue Anweisungen herholt, wenn sie größtenteils entfernt worden ist und andere Wege verschlossen sind.

Wer also jetzt ein infiziertes Gerät neustartet, wird die Schadsoftware zwar nicht sofort los, sie verbindet sich aber nur noch mit einer Seite des FBI. Das kann so infizierte Geräte identifizieren, die schädlichen Teile der Malware werden aber nicht mehr neu installiert. Die Malware wartet danach aber wohl auf weitere Anweisungen, kann also von den Hintermännern immer noch kontaktiert werden. Geschlagen ist sie damit also noch nicht.

Zuvor hatte die US-Sicherheitsfirma Talos vor einer raffinierten Malware namens VPNFilter gewarnt. Die bestehe aus mehreren Stufen, von der sich die erste permanent im System einnistet und dann die eigentliche Schadfunktion nachlädt (Stage 2). Diese wiederum lassen sich durch zusätzliche Module um weitere Funktionen erweitern (Stage 3). Wie das US-Magazin erklärt, sucht die erste Stufe nach einem Neustart automatisch nach einem bestimmten Bild auf der Foto-Plattform Photobucket.com. In dessen Metadaten waren Informationen für die Neuinstallation versteckt. Das Bild wurde inzwischen gelöscht und deswegen surft die Malware die fest vorgegebene Adresse ToKnowAll.com an, um an die Daten zu kommen. Da die nun in der Hand des FBI ist, könne sie sich nicht mehr direkt neu installieren.

Geschwächt, aber nicht geschlagen

Angesichts einer besonders besorgniserregende Funktion von VPNFilter sollten nun also alle möglicherweise betroffenen Geräte neugestartet und die Malware damit zumindest vorerst gelöscht werden. Denn deren Autoren haben eine Funktion eingebaut, die das infizierte Gerät auf Zuruf unbrauchbar macht: VPNFilter löscht nach einem "kill"-Befehl die ersten 5000 Byte des ersten Block-Devices (/dev/mtdblock0), was dazu führt, dass es nicht mehr startet. Das ermögliche es den Besitzern des Bot-Netzes, "eine zerstörerische Attacke im großen Stil" loszutreten. Jetzt könnten die Hintermänner diesen Befehl losschicken, um Schaden anzurichten. Was der eigentliche Zweck ihrer Malware ist, ist noch nicht bekannt. Talos hatte mit dem Finger in Richtung Russland gezeigt.

Betroffene Geräte:

Linksys



E1200

E2500

WRVS4400N

1016

1036

1072

DGN2200

R6400

R7000

R8000

WNR1000

WNR2000

TS251

TS439 Pro

und andere Qnap NAS-Geräte mit QTS-Software

R600VPN

(mho)