Eine Malware hat eine große Anzahl von SoHo-Routern mit Linux-Betriebssystem infiziert. Ziel der Attacke ist es, ein Botnetz zu formen, durch das die Betreiber des Netzes kriminelle Aktivitäten wie Werbebetrug durchführen können. Rund 70.000 Router sollen betroffen sein.

Seit mindestens Mai 2021 hat eine heimliche Malware namens AVrecon rund 70.000 Linux-basierte SoHo-Router befallen und sie in ein Botnetzwerk verwandelt. Eine Malware ist eine schädliche Software, die dazu entwickelt wurde, Computer, Netzwerke oder andere Geräte zu infizieren und so oft kriminelle Aktivitäten auszuführen zu können, ohne dass Nutzer wissen, dass sie betroffen sind.  

Das SoHo in SoHo-Router steht für „Small Office/Home Office“. Dabei handelt es sich um Netzwerkgeräte, die (wie der Name schon sagt) in kleinen Büros oder für das Homeoffice verbaut und genutzt werden. Solche Router sind speziell für den Einsatz in kleineren Räumlichkeiten konzipiert.

Malware blieb zwei Jahre unentdeckt

Betroffen von der Malware sind SoHo-Router, die mit dem Betriebssystem der Software Linux ausgestattet sind. Das Botnetz, zu dem die infizierten Router hinzugefügt werden, besteht aktuell aus ungefähr 40.000 Knoten in 20 Ländern. Somit sind also nicht alle infizierten Router auch Teil des Netzwerkes. Das Botnetz ermöglicht den Betreibern verschiedene kriminelle Aktivitäten, darunter digitalen Werbebetrug und Passwort-Spam. Außerdem soll die Malware es den Angreifern ermöglichen, eine sogenannte „Remote-Shell“ zu starten, durch die es diesen möglich gemacht wird auf den infizierten Routern beliebige Systembefehle auszuführen und weitere Schadsoftwares zu installieren.

Überraschenderweise blieb die Malware nach ihrem ersten Auftreten im Jahr 2021 mehr als zwei Jahre lang unentdeckt. In dieser Zeit gewann sie kontinuierlich neue Bots hinzu und entwickelte sich zu einem der größten Botnets, die die SoHo-Router in den letzten Jahren attackiert haben.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

SoHo-Router beliebtes Angriffsziel

Da SoHo-Router hauptsächlich in kleinen Büros oder im Homeoffice eingesetzt werden, pokern die Kriminellen darauf, dass die Benutzer selten Systemupdates durchführen, um die Router zu schützen – anders als in größeren Unternehmen, in denen solche Updates häufiger durchgeführt werden.

Sobald die Malware infiziert ist, sendet die Schadsoftware Informationen über den kompromittierten Router an einen eingebetteten Command-and-Control-Server (C2). Anschließend erhält der gehackte Router Anweisungen, eine Kommunikation mit einer unabhängigen Gruppe von Servern, den sogenannten C2-Servern der zweiten Stufe, herzustellen. Dieser Server dient dann als eine Art Infrastruktur oder auch Kontrollzentrale für die Steuerung und Koordination der kriminellen Aktivitäten. Die Betreiber des Botnetzes können also beliebig auf den Router zugreifen, sobald er mit dem Netzwerk verknüpft ist. Bisher sollen 15 unterschiedliche C2-Server gefunden worden sein, über die die Steuerung des Botnetzes erfolgen soll.

Wer einen SoHo-Router mit Linux-Betriebssystem hat, sollte diesen erstmal nicht weiterverwenden, ohne sich von Fachleuten beraten oder seinen Router überprüfen zu lassen. Denn sollte der eigene Router wirklich betroffen sein, sind die eigenen Daten in Gefahr.

agü