Die Security-Szene ist aktuell aufgrund der neuen Version einer Botnetz-Malware alarmiert, die darauf ausgelegt ist, WLAN-Router verschiedener Hersteller zu einer Infrastruktur zusammenzuschließen. Das ist für die Angreifer eine ziemlich sichere Bank.
Die Malware ist in ihrer Basis-Variante schon seit dem Jahr 2014 bekannt und wird als Gafgyt oder Bashlite bezeichnet. Jetzt ist eine neue Version aufgetaucht, die gleich mehrere Exploits im Schlepptau hat, um Schwachstellen in Firmwares zu attackieren. Ein weiteres Problem besteht darin, dass auch ein Scanner integriert ist, mit dem der Schadcode im Netz nach weiteren Routern sucht, die potenzielle Ziele darstellen können.
Die Exploits, über die die neue Gafgyt-Variante angreift, richten sich allesamt gegen längst bekannte Sicherheitslücken, für die auch Patches vorliegen. Allerdings ist es weiterhin so, dass zahlreiche Home-Router im Grunde nie aktualisiert werden. Denn sie stehen vielfach bei Nutzern, die froh sind, dass sie ihren Internet-Zugang überhaupt eingerichtet bekommen haben - und so lange der graue, blinkende Kasten nicht komplett ausfällt, rührt man ihn einfach überhaupt nicht an.
Es kann nur einen geben
Das Botnetz hat von Start an erst einmal keine konkrete Schad-Funktion an Bord. Vielmehr sollen seine Kapazitäten wahrscheinlich vermietet werden. So könnten dann beispielsweise zahlreiche Systeme für einen DDoS-Angriff gebucht werden. Damit die Betreiber der Infrastruktur auch hohe Qualität bieten können, suchen sie auf den infizierten Routern auch erst einmal nach anderer Botnetz-Malware und schalten diese möglichst aus.
Befallen werden von der Malware Router der Hersteller Huawei und Zyxel. Hinzu kommen jene, die auf dem Realtek RTL81XX-Chipsatz basieren. Dabei handelt es sich um Systeme, die unter verschiedenen kleineren Marken günstig auf den Markt geworfen oder teils auch mit einem Branding von Internet-Providern selbst an die Kunden ausgegeben werden.
Siehe auch: Noch im Verkauf, aber mit Lücke: D-Link-Router stehen ohne Update da 