Okt 15
 In den letzten Tagen tauchen mehr und mehr Meldungen über eine Software namens Wifatch oder Linux.Wifatch auf, die offene Türen in Routern schließt und teilweise sogar Firmwareupdates einspielt. Das klingt nach einer nützlichen Software, aber man kann sie nirgendwo downloaden.
Aber Linux.Wifatch ist erst mal ein Trojaner, wie andere auch. Er befällt in erster Linie Router und andere Geräte der Internet of Things Welt. Diese sind sehr häufig erschreckend schlecht abgesichert, so dass der Befall sehr einfach ist. Default-Passwörter wie „0000“ oder „password“ für den mächtigen Telnet-Zugang sind die Regel, nicht die Ausnahme. Und ein infizierter Router wird häufig selten oder gar nicht vom Besitzer als solches wahr genommen.Einige Besonderheiten gibt es beim Wifatch:

  1. Er schließt Einfallstore auf Routern wie z.B. unsichere Telnet-Dienste. Bei einigen Geräten macht er regelmäßige Reboots, um evtl. andere Malware zu entfernen.
  2. Bei einigen Geräten wird die Firmware aktualisiert.
  3. Der Trojaner klinkt die Router in ein Bot-Netz ein, er scheint aber keinen Schadcode auszuführen, also SPAM zu verschicken oder DDOS Attacken zu fahren. Für beides wäre ein Botnetz auf Basis von Routern oder Smart-TVs eigentlich gut geeignet.
  4. Der Trojaner tarnt sich nicht.

Sinn und Zweck ist vermutlich die Demonstration, wie ungeschützt viele Router sind. So freundlich und nützlich das Verhalten von Wifatch auch sein mag, es ist Software, die illegal ist. Sie manipuliert den Router und öffnet eine Hintertür (das eigene Botnetz). Man weiß nicht, wer dahinter steckt und ob das Botnetz nicht doch eines Tages zu kriminellen Zwecken genutzt wird.

Daher sollte man lieber selber den Router „abdichten“ und aktuelle Firmware einspielen. Ein infizierter Router ist eine ganz üble Sache. Sämtlicher Internetverkehr geht durch ihn und es ist leichtes, einen infizierten Router so manipulieren, dass die Eingabe z.B. von Sparkasse.de auf eine Webseite führt, die so aussieht wie die Sparkasse, aber nur zum Abfangen von Logindaten dient. Oder Kinder rufen den Disney-Channel auf und bekommen dann IS-Terrorvideos zu sehen oder oder oder.

Der Router ist extrem wichtig. Daher ist ja auch die freie Routerwahl so wichtig, damit man an seinen Anschluss den Router seines Vertrauens anschließen kann und nicht eine Billigbüchse, bei deren Einkauf der Netzbetreiber um das letzte Cent mit dem Lieferanten feilscht und die hinterher ohne Ende Sicherheitslücken aufweist, die niemand stopfen will.

Einen von Wifatch infizierten Router kann man relativ leicht säubern. Man rebootet ihn, spielt eine saubere Firmware vom Hersteller auf und sollte sicherheitshalber danach einen Reset auf Werkseinstellungen machen. Danach unbedingt nicht benötigte Zugänge wie Telnet abschalten.

geschrieben von Holger \\ tags: , , , , , ,

Hinterlasse ein Kommentar