WLAN-Router: „Regelmäßig ausschalten“ – Experten warnen vor speziellem Problem

Entdeckt hatte man die Schadsoftware bei WLAN-Routern von Unternehmen, kleinen Büros und Heimbüros. Sie dient Kriminellen dazu, Informationen zu überwachen, die darüber laufen, und dabei Authentifizierungsinformationen zu stehlen.

WLAN-Router: Das ist über Cuttlefish bekannt

Fachleute von Black Lotus Labs (Lumen Technologies) haben die Malware untersucht und berichten, dass Cuttlefish einen Proxy- oder VPN-Tunnel auf dem kompromittierten WLAN-Router erstellt, um Daten unauffällig zu extrahieren und dabei Sicherheitsmaßnahmen umgeht, die ungewöhnliche Anmeldungen erkennen. Zudem ist die Schadsoftware dazu in der Lage, DNS- und HTTP-Hijacking innerhalb privater IP-Bereiche durchzuführen, die interne Kommunikation zu stören und möglicherweise weitere Nutzdaten einzuschleusen.

„Unsere Analyse deutet darauf hin, dass diese Malware mindestens seit dem 27. Juli 2023 aktiv ist. […] Diese letzte Kampagne lief von Oktober 2023 bis April 2024. Das Infektionsmuster war einzigartig, da 99 % der Infektionen in der Türkei stattfanden und hauptsächlich von zwei Telekommunikationsanbietern stammten. […] Zu den wenigen nicht-türkischen Opfern gehörten IP-Adressen von Kunden, die wahrscheinlich mit globalen Satellitentelefonanbietern verbunden sind, sowie ein potenzielles Rechenzentrum in den USA“, erklärte man zur gegenwärtige Zielgruppe der Angriffe.

Lesetipp: Wer das mit dem WLAN-Router tut, verschlechtert sein Internet

So geht die Malware vor

Ist ein WLAN-Router erst einmal durch Cuttlefish infiziert, werden verschiedene Prozesse ausgelöst. Wie ein Gerät erstinfiziert wird, ist derzeit allerdings noch nicht bekannt. Man vermutet die Ausnutzung bekannter Schwachstellen oder eine Erzwingung von Zugangsdaten.

Liegt der Zugang zu einem WLAN-Router vor, wird ein Bash-Skript („s.sh“) ausgeführt, das damit beginnt, hostbasierte Daten zu sammeln, einschließlich Details über Verzeichnislisten, laufende Prozesse und aktive Verbindungen. Das Skript lädt dann die primäre Cuttlefish-Payload, also den Anteil der Software, der den eigentlichen Schaden auf dem Gerät anrichtet, herunter und führt sie aus.

Diese wird in den Speicher geladen, um die Entdeckung zu umgehen, während die heruntergeladene Datei aus dem Dateisystem gelöscht wird. Wie Black Lotus Labs weiter berichtet, ist Cuttlefish in verschiedenen Builds verfügbar, die für alle wichtigen Router-Architekturen ausgelegt sind.

Lesetipp: Dieser WLAN-Router „kann so viel wie ein Kühlschrank verbrauchen“

Aktive Datenüberwachung

Nach der Ausführung ist Cuttlefish über einen Filter in der Lage, alle Verbindungen über den WLAN-Router zu überwachen. Erkennt die Malware bestimmte Daten, führt sie eine Aktion aus, die auf Regeln basiert, die wiederum regelmäßig vom Server der Kriminellen aktualisiert werden.

Die Malware sucht dabei im Datenverkehr nach Anmeldeinformationen wie Benutzernamen, Passwörtern und Token, insbesondere, wenn diese mit öffentlichen Cloud-Diensten wie Alicloud, AWS, Digital Ocean, CloudFlare und BitBucket verbunden sind. „Dies hat unsere Aufmerksamkeit erregt, da viele dieser Dienste zum Speichern von Daten verwendet werden, die sich sonst im Netzwerk befinden“, erklärt der Bericht von Black Lotus Labs.

„Das Erfassen von Anmeldeinformationen während der Übertragung könnte es den Bedrohungsakteuren ermöglichen, Daten von Cloud-Ressourcen zu kopieren, die nicht über die gleiche Art von Protokollierung oder Kontrollen verfügen wie herkömmliche Netzwerkperimeter.“

Lesetipp: Bei 17 FritzBox-Routern sollte man den Stecker ziehen

Dazu wird Betroffenen geraten

Auch wenn die Gefahr, in Deutschland damit konfrontiert zu werden, aktuell nicht gegeben scheint, kann man präventiv auf verschiedene Maßnahmen zurückgreifen, um den Befall von WLAN-Routern zu verhindern. So raten die Expert*innen beispielsweise dazu, die Geräte regelmäßig neu zu starten und Sicherheitsupdates und Patches zu installieren.

Ebenso sei es wichtig, die Geräte „regelmäßig auszuschalten, um gespeicherte Malware-Muster zu entfernen. Wir empfehlen außerdem, die Geräte zu ersetzen, sobald sie das Ende ihrer Lebensdauer erreicht haben und nicht mehr unterstützt werden“, heißt es von Black Lotus Labs weiter.

WLAN Router

Quellen: Black Lotus Labs

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.