Forscher der Black Lotus Labs von Lumen Technologies haben eine Malware-Kampagne entdeckt, bei der gezielt Business-grade Router - insbesondere die Draytek-Modelle 2960 und 3900 - angegriffen werden. Dabei scheint die Malware-Kampagne, die Forscher tauften sie auf HiatusRAT - RAT für Remote Access Trojaner - zwei Ziele zu verfolgen: Das Abhören von E-Mails und Dateitransfers auf den Ports 21 (FTP), 25 (SMTP), 110 (POP3) sowie 143 (IMAP). Darüber hinaus installiert die Schadsoftware auf den infizierten Routern eine Command-and-Control-Struktur, über die die betroffenen Router ferngesteuert werden können, um sie für andere Angriffe zu missbrauchen.
Erneut Router im Visier
Die Forsche entdeckten die Kampagne neun Monate nach ZuoRat, einer Malware, die es primär auf SOHO-Router von Asus, Cisco, Draytek und Netgear abgesehen hatte. Bei der jetzigen Kampagne sind laut Black Lotus Labs vor allem die i386-basierten Vigor-Modelle 2960 und 3900 das Ziel. Alles Modelle, die bereits den End-of-Life-Status erreicht haben. Die Forscher wollen aber auch bereits vorkompilierte Dateien für Router mit MIPS- und ARM-Architekturen gefunden haben.
Schwerpunkt der Angriffe in Europa
Deshalb sehen die Forscher auch keinen Anlass zur Entwarnung, auch wenn von den Mitte Februar im Internet gefundenen rund 4.100 Draytek-Modellen der Reihen 2960 und 3900 bislang nur etwa 100 mit der Schadsoftware infiziert waren. Schwerpunktmäßig handelt es sich dabei um Router in Europa und Lateinamerika. Die Forscher vermuten, dass der unbekannte Akteur, der hinter HiatusRAT steckt, seinen Fußabdruck absichtlich klein hält, um mit seiner Operation nicht großartig aufzufallen. Darüber, wie die Router gehackt werden konnten, tappen die Forscher von Black Lotus noch im Dunkeln.
So arbeitet die Malware
Ist der Angreifer in ein System eingedrungen, so wird die Malware durch ein Bash-Skript installiert. Dieses lädt zwei weitere Dateien herunter. Die erste ist HiatusRAT. Nach der Installation kann ein entfernter Angreifer etwa Befehle ausführen oder neue Software auf dem Gerät installieren. Zudem verfüge der Trojaner über zwei ungewöhnliche Zusatzfunktionen: Zum einen kann der kompromittierte Router in einen verdeckten Proxy für den Angreifer umgewandelt werden, um so den Ursprung bösartigen Datenverkehrs zu verschleiern, indem er ihn über den infizierten Router leitet. Zum anderen kann die mitgelieferte Paketerfassungs-Datei dazu verwendet werden, um den Router-Verkehr auf Ports zu überwachen, die für E-Mail- und Dateiübertragungen genutzt werden.
So schützen Sie sich
Vor dem Hintergrund dieser Malware appellieren die Forscher an alle User, die noch unverschlüsselte E-Mails versenden, dies als Alarmsignal zu betrachten. Sie empfehlen, E-Mail-Konten so zu konfigurieren, dass die Kommunikation mit dem Mail-Server verschlüsselt stattfindet - etwa unter Verwendung von Protokollen wie SSL/TLS über Port 993 oder STARTTLS auf Port 143. Des Weiteren sollten sich die Nutzer bewusst sein, dass Router im Prinzip mit dem Internet verbundene Computer sind und deshalb wie ein PC Updates benötigen und die Kennwörter regelmäßig zu ändern sind. Unternehmen raten sie ferner, spezielle Software zur Router-Überwachung einzusetzen.