Sicherheitsexpert*innen haben einen neuen Trojaner identifiziert, der sich über deinen WLAN-Router Zugang in dein Netzwerk schleicht. Menschen, die vermehrt im Homeoffice arbeiten, sind besonders gefährdet. Wenn auch du einen SoHo-Router (Small Office, Home Office) zu Hause angeschlossen hast, musst du bei vier Marken besonders aufmerksam sein. Dort haben in der Vergangenheit bereits gefährliche Zugriffe stattgefunden.
Zugriff auf WLAN-Router auf zwei Weisen möglich
Die Funktionsweise von ZuoRAT setzt dabei auf verschiedene Formen der „Man-in-the-middle-Attack“, wie Analysen vom Black Lotus Labs-Team der Firma Lumen Technologies zeigen. Bei diesem Angriffsmuster wird eine schädliche Instanz zwischen Opfer und ihrer Internetressource, also etwa beim WLAN-Router selbst, geschaltet. Die Angriffstypen, DNS-Hijacking (auch verborgener Servertausch genannt) und HTTP- beziehungsweise Session-Hijacking sind eher selten und weisen auf „eine komplexe und zielgerichtete Operation“ hin.
Bevor ZuoRAT zuschlägt und auf deinen Geräten zunehmend die Kontrolle übernimmt, späht es den Router sowie die dazugehörigen Sicherheitskomponenten aus. Dabei werden auch schon erste Anmeldeinformationen abgegriffen, um den Angriff später komplettieren zu können.
Über deinen WLAN-Router würde der Trojaner nicht nur Zugriff auf deinen Arbeitslaptop erhalten. Auch andere verbundene Geräte, wie dein privates Smartphone, könnten betroffen sein.
Diese 4 Marken sind nachgewiesenermaßen bereits betroffen gewesen
Problem von SoHo-WLAN-Routern ist laut der Analysen vom Black Lotus Lab die mangelnde Pflege. Die kleinen Router werden selten auf dem neusten Stand gehalten und entwickeln so mit der Zeit Sicherheitslücken. Der schädliche Trojaner konnte so bereits bei WLAN-Routern vier verschiedener Marken eindringen:
- ASUS
- Cisco
- DrayTek
- NETGEAR
Einmal im System kann der Trojaner schädliche Daten ohne dein Zutun herunterladen oder auch von deinem PC aus im Netz verbreiten. ZuoRAT kann ebenso beliebige Befehle auf deinem PC oder Laptop durchführen.
Mit DNS- und HTTP-Hijacking kann ZuoRAT über deinen WLAN-Router die Internetseiten, auf denen du dich bewegst umleiten. Ohne dass du es merkst, bewegst du dich auf unsicherem Terrain, wo weitere sensible Daten von dir abgegriffen werden.
Ursprung des Trojaners wird in China vermutet
Zudem deuten mehrere Indizien darauf hin, dass der Ursprung von ZuoRAT womöglich in China zu verorten ist. In der Analyse der Datenpakete fand sich ein chinesisches Schriftzeichen immer wieder. Auch andere personalisierte Elemente der Schadsoftware verweisen zumindest auf den asiatischen Sprachraum. Dass Teile von ZuoRAT in China gehostet werden, verhärtet den Verdacht für das Sicherheitsteam vom Black Lotus Labs.
Darüber hinaus kommen sie zu dem Schluss, dass mindestens 80 Ziele dem Trojaner bereits zum Opfer gefallen sind. Eine erste Probe der Schadsoftware, die sich über WLAN-Router einspeist und verbreitet, erhielten sie bereits im Dezember 2020. Ob dort auch die Geburtsstunde von ZuoRAT war oder ob der Trojaner schon länger sein Unwesen treibt, ist unklar.
Quelle: Lumen Technologies
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.