Die Sicherheitsexperten von Cisco haben ein Botnetz aufgedeckt. Es wird nicht ausgeschlossen, dass ein Staat dahinter steckt. Das FBI konnte bereits einen Server der Angreifer beschlagnahmen.
Das Sicherheitsunternehmen Cisco konnte ein Botnetz bestehend aus 500.000 Geräten aufspüren. Die Sicherheitsexperten gehen davon aus, dass die gefundene Infrastruktur für kriminelle Handlungen verwendet wurde. Es könne nicht ausgeschlossen werden, dass ein Staat dieses Botnetz eingerichtet hat. Hauptsächlich sind Router von Linksys, Netgear betroffen, aber auch Geräte von Mikrotik und TP-Link sind Teil des Netzwerks.
Bei Botnetzen handelt es sich um ein Netzwerk aus Rechnern. Diese sind mit Schadprogrammen infiziert. Die Nutzer der jeweiligen Rechner wissen nicht, dass ihre Geräte kompromittiert sind. Der Angreifer kann die PC aus der Ferne kontrollieren. Infiziert werden die Geräte dabei meistens auf zwei unterschiedliche Methoden. Entweder wird der User auf eine manipulierte Webseite geleitet (ein aufwändiges Verfahren). Beliebter ist bei Angreifern die Methode, Mails mit schädlichem Code im Anhang massenhaft aus. Ganz nach dem Motto "Ein paar werden schon anbeißen", entsteht ein Netz aus Rechnern. Beispiele bekannter Botnetze der letzten Jahre sind Conficker, Zeus, Waledac, Mariposa und Kelihos. Im Gegensatz zu anderen Botnetzen soll laut Cisco die Schadsoftware auch einen Reboot überleben.
In mehr als 57 Ländern wurden infizierte Rechner entdeckt. Dem Sicherheitsunternehmen zufolge entstand das Netzwerk um 2016. In den vergangenen Wochen wurde ein massiver Anstieg der Infektionen festgestellt. "Wir gehen mit hoher Sicherheit davon aus, dass die Malware genutzt wird um eine leistungsstarke, schwer zu attribuierende Infrastruktur zu schaffen, die verschiedene operationelle Bedürfnisse eines Gefährdungsakteurs befriedigen kann," sagte William Largent von Cisco.
Vom FBI wurde mittlerweile ein Server beschlagnahmt, der den Angreifern zugeordnet werden konnte. Dennoch empfiehlt Cisco allen Besitzern von den betroffenenen Routern (siehe Liste), ihre Geräte auf Werkseinstellungen zurückzusetzen. Zwar gehen dabei alle Einstellungen verloren, aber das Netzwerk könnte damit am schnellsten zerstört werden.
Hier eine Übersicht über die betroffenen Router:
Linksys
E1200
E2500
WRVS4400N
Mikrotik
1016
1036
1072
Netgear
DGN2200
R6400
R7000
R8000
WNR1000
WNR2000
Qnap
TS251
TS439 Pro
und andere Qnap NAS-Geräte mit QTS-Software
TP-Link
R600VPN
(bagre)