Das Cisco Security Research Team hat einen Hackerangriff aufgedeckt, der auf mehr als 500.000 Wi-Fi-Router von Verbrauchern abzielt. Diese infizierten Router können verwendet werden, um eine massive Botnet-Armee aufzubauen und einen schweren Cyberangriff zu starten.

Laut den Ergebnissen scheint dieser Angriff eine Arbeit eines staatlich gesponserten Schauspielers zu sein. Die zur Infektion der Geräte verwendete Malware wurde in diesem Fall als VPNFilter bezeichnet. Da die Malware eine Menge Code mit der BlackEnergy-Malware teilt, mit der umfangreiche Angriffe auf die Ukraine durchgeführt wurden, könnte sie an die russische Regierung gebunden sein.

Es ist erwähnenswert, dass der Cisco-Bericht Russland nicht direkt erwähnt hat, aber die Überschneidung des Codes weist sicherlich auf dasselbe hin. In einer verwandten Entwicklung hat das FBI einen wichtigen Server beschlagnahmt. Laut den Agenten wurde der Server ToKnowAll.com von russischen Hackern verwendet, um einen Malware-Angriff der zweiten Stufe zu verbreiten.

Zurück zu den derzeit infizierten Routern gehören die Geräte zu den wichtigsten Unternehmen, darunter TP-Link, NETGEAR, Linksys und MikroTik.

Die VPNFilter-Malware, die für den Angriff verantwortlich ist, ist besonders besorgniserregend, da sie Code enthält, der die Anmeldeinformationen der Website stiehlt und den infizierten Router unbrauchbar macht. Darüber hinaus hat es "das Potenzial, den Internetzugang für Hunderttausende von Opfern weltweit zu sperren".

Diese mehrstufige, modulare Plattform-Malware bleibt in der Anfangsphase durch einen Neustart bestehen. In der zweiten Stufe werden verschiedene Befehls- und Kontrollmechanismen zum Auffinden des Bereitstellungsservers für IP-Adresse der Stufe 2 verwendet. Anschließend wird der Prozess der Aufklärung der Informationen eingeleitet. Es hat auch eine Fähigkeit zur Selbstzerstörung. Die Module der Stufe 3 fungieren außerdem als Plugins für Malware der Stufe 2.

Die wahrscheinlichste Ursache für die Verbreitung der Malware könnte die fehlende Authentifizierung und die Verwendung von Standardanmeldeinformationen auf den Routern sein. Während Cisco sich von der Bestätigung des jeweiligen Exploits abgibt, scheint das Fehlen grundlegender Sicherheitsmaßnahmen für Heim- und Bürorouter der Grund zu sein.

Arbeitete Für Sie: Robert Gaines & George Fleming | Möchten Sie Uns Kontaktieren?

Kommentare Auf Der Website: