Großes Router Botnetz „VPNFilter“ – Neues NSA Spielzeug aufgeflogen ?

Hinter dem unscheinbaren Namen VPNFilter steckt eine neue Schadsoftware die es auf viele Router abgesehen hat. Der Datenverkehr zum Internet kann abgehört, manipuliert und unterbrochen werden. Zusätzlich ist VPNFilter in der Lage den Netzwerkrouter permanent zu zerstören. Medien bezeichnen VPNFilter gerne als „Malware“ aber im Grunde handelt es sich um eine ausgeklügelte geheimdienstliche Cyberwaffe in Form eines Botnetzes.


Wired.com hat schon über VPNFilter berichtet, jedoch geht man bei Wired fälschlicherweise davon aus dass es sich um eine Bande „raffinierter Hacker“ handelt die mal eben eine Sicherheitslücke entdeckt haben. Die tatsächliche Tragweite wird beim Lesen des Artikels leider nicht ersichtlich. TALOS Intelligence (Cisco) hat die Malware mal im Labor auseinandergenommen und erklärt dessen Funktionsweise. Informierten Menschen ist sofort klar dass es sich hier nicht um einen Hackerstreich handeln kann, sondern um eine Cyberwaffe des NSA. Laut Talos Intelligence sollen bereits über 500000 Geräte in 54 Ländern betroffen sein.

Schwer zu entdecken

Durch die Tatsache dass sich VPNFilter im Betriebssystem des Routers einnistet, ist sie sehr schwer aufzuspüren. Als Benutzer hat man in den wenigsten Fällen Zugriff auf das interne Betriebssystem des Routers. Die gesamte Infektion erfolgt also unbemerkt. Das ist ja auch Sinn und Zweck einer Cyberwaffe.

Was tut VPNFilter ?

Die Cyberwaffe „VPNFilter“ nistet sich in Netzwerkrouter der Marken Netgear, TP-Link, LinkSys, MicroTik und QNAP ein. Der erste Infektionsweg ist momentan noch nicht bekannt, Talos nimmt an dass es sich um eine bereits bekannte Schwachstelle handeln muss. Die Infektion verläuft über zwei Etappen. Die erste Etappe beinhaltet die Infektion und einen Neustart des Gerätes. Für gewöhnlich kann Malware einen Neustart in einem Router nicht überleben, aber in diesem Fall haben die Macher von VPNFilter eine Schwachstelle gefunden um auch dieses Problem zu umgehen. Bei Etappe 2 werden mehrere Module/Plugins nachgeladen die unterschiedlichen Zwecken dienen können. Beobachtet wurden bis jetzt nur 2 Module/Plugins. Eines zum ausspionieren (paketsniffer) sowie ein Kommunikationsmodul zum TOR Netzwerk. Interessanterweise hat man eine Menge Aufwand betrieben um VPNFilter für x86 und MIPS Mikroprozessoren kompatibel zu halten.

Selbstzerstörung

Mit Etappe 2 wird auch die Funktion zur Selbstzerstörung implementiert. Dazu kann ein Teil der Firmware überschrieben werden der das Gerät unbrauchbar macht. Es werden hierbei nur die ersten 5000 Bytes von /dev/mtdblock0 überschrieben. Dies ist natürlich sehr Hilfreich um seine Spuren zu verwischen. Das Opfer wird nie wissen dass es angegriffen wurde. Der Router funktioniert dann einfach nicht mehr. Man wird ihn dann einfach als Hardwaredefekt abschreiben. Ein weiterer Hinweis auf einen Geheimdienstlichen Ursprung.

Warum von der NSA ?

Der folgende Abschnitt wird die NSA festnageln: Mit der neuen Cyberwaffe VPNFilter wurden laut Talos bereits Grossangelegte Angriffe in der Ukraine geführt. Wer außer der USA hat ein Interesse daran in der Ukraine Chaos auszulösen ? Russland ganz sicher nicht. Damit hat die NSA sich als Urheber entlarvt. Wer die Enthüllungen um Edwart Snowden verfolgt, der wird auch hier Parallelen erkennen. Es besteht keinen Zweifel, VPNFilter trägt eindeutig die Handschrift der NSA. In der folgenden Grafik von Talos ist der sprunghafte Anstieg der infektionen mit VPNFilter in der Ukraine aufgezeichnet:

Geheimdienste und Nachrichtendienste haben aus Prinzip ein grosses Interesse an Daten. Es ist daher nicht verwunderlich dass sie sich Zugriff auf eben jene sensible Daten verschaffen möchten. Die NSA ist da unbestreitbarer Spitzenreiter. Deren technische Kompetenzen sind unbestritten Nummer 1 auf der ganzen Welt. Die Russen sind auch nicht schlecht aber wenn es um das ausspionieren der eigenen Bürger und anderer Länder geht, dann ist die NSA Marktführer. Früher hat man das Betriebssystem, üblicherweise Windows, selbst angegriffen um Spionageprogramme zu installieren. Windows ist mit der Zeit sicherer geworden und die Digitale Sicherheitsindustrie hat ebenfalls nachgezogen. Antivirenprogramme und Firewalls sind nun weit verbreitet. Es lohnt sich für die NSA schlicht nicht mehr für jedes System eine Hintertür offen stehen zu lassen, nur um massenhaft Daten abzugreifen. Dazu kommen noch Nutzer alternativer Systeme wie Linux und Mac.

Daher brauchen die Geheimdienste einen neuen Schnüffelvektor. Was bietet sich da besser an als einen Internetrouter mit integriertem Betriebssystem ? Die hängen direkt am Internet und der ganze Datenverkehr des Netzwerks zum Internet geht durch sie. Wenn es der NSA nun also gelänge dort ein Programm unbemerkt einzunisten, dann käme das einem Lottogewinn gleich. Mit VPNFilter durchgeführte Angriffe können schlussendlich nie jemand bestimmtem zugeordnet werden. Das ist ja Sinn und Zweck der Aktion. False Flag Angriffe werden damit Tür und Tor geöffnet.

[Update 24/05/2018, 15:00 Uhr]

Nebelkerzen und Desinformationen

Gerade hat Heise auch einen grösseren Artikel über VPNFilter gebracht. Es wird die Vermutung geäussert dass VPNFilter Russichen Ursprungs sein könnte. Ich gehe davon aus dass dieses Narrativ auch in gleich in den „Mainstream Medien“ Verbreitung findet. Vielleicht auch heute schon in den Abendnachrichten. In typischer Geheimdienstmanier wird auch hier gleich eine Nebelkerze gezündet und mit dem Finger auf Russland gezeigt. Das haben wir mit ISIL in Syrien ja schon öfters gesehen. Die Verbrechen der Terroristen (Rebellen) die durch die USA mit US Geldern gesteuert und gefüttert wurden, werden Russland in die Schuhe geschoben. Bei Golem gibt es auch schon einen Artikel, ich hatte diesen anfangs übersehen da er ziemlich weit unten aufzufinden war. Ein kleines Lob an Golem; dort wird nicht gleich gegen Russland gehetzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.