Wohl kaum eine Hacker-Gruppe ist weltweit so berüchtigt wie Sandworm, auch bekannt als Voodoo Bear. Die dem russischen Auslandsgeheimdienst zugeordnete Gruppe hat in der Vergangenheit riesige Kampagnen gefahren und soll unter anderem für den Stromausfall in der Ukraine 2015 sowie die in ganz Europa spürbare Trojanerwelle Notpetya verantwortlich sein. Nun wurde ein neues Werkzeug entdeckt: Cyclops Blink nimmt Router ins Visier. Und macht sie zum Angriffs-Werkzeug.
Das geht aus einer gemeinsamen Warnung des britischen Cyberabwehrzentrums NCSC, dem US-Äquivalent CISA, der NSA und dem FBI hervor. Gemeinsam haben die Behörden die Gefahr durch das neue Werkzeug entdeckt und ausführlich beleuchtet. Die Erkenntnisse sind erschreckend.
Angriff über das Update
Nach Erkenntnissen der Ermittler nistet sich Cyclops Blink in den Netzwerk des Herstellers Watchguard ein. Einem Statement des Unternehmens zufolge sind knapp 1 Prozent seiner im Umlauf befindlichen Geräte bereits infiziert. Einmal im System, lädt sich das Tool dann je nach Einsatz-Bedarf weitere Module nach. So kann es Daten aus den Netzwerken absaugen, aber auch als Teil eines Botnets für Angriffe auf andere Ziele genutzt werden. Besonders perfide: Weil Cyclops Blinks den Update-Prozess kapert, übersteht es auch eine Neustart.
+++ Lesen Sie auch: Ein Traum für Hacker? Bei Putin läuft noch Windows XP +++
Besitzer anderer Router sollten sich aber nicht zu früh sicher fühlen. Nach Ansicht der Sicherheits-Behörden ist das Programm flexibel genug, um schnell auch auf andere Geräte übertragbar zu sein, warnt die NCSC. Noch sei das aber nicht beobachtet worden.
Die Folgen für die Betroffenen sind weitreichend. "Wenn Ihr Gerät mit Cyclops Blink infiziert ist, sollten Sie sämtliche Passwörter als kompromittiert betrachten", erklärt die NCSC. Wie man den Schädling entdeckt und wieder entfernt, hat der Hersteller gemeinsam mit den Behörden auf einer Webseite erläutert. Watchguard betont, dass eine Infektionsgefahr nur dann bestand, wenn man die externe Steuerung des Geräts in den Einstellungen eingestellt hatte. In der Standardeinstellung ist diese deaktiviert.
Kampagne lief seit 2019
Erstaunlich ist, wie lange die Kampagne unentdeckt blieb. Die ältesten im Nachhinein entdeckten Angriffe sind nach Angaben des Berichts bereits im Sommer 2019 erfolgt. Sie sind die Fortsetzung einer älteren Kampagne namens VPNFilter, die 2018 durch US-Behörden erfolgreich bekämpft und beendet worden war.
Sandworm ist in Sicherheits-Kreisen berüchtigt. Die Hackergruppe ist nach Ansicht von US-Behörden dem russischen Auslandsgeheimdienst GRU zuzuordnen. Angesichts der aktuellen Lage wirkt die Warnung der Behörden besonders brisant: Immerhin legte Sandworm in der Ukraine gleich mehrfach die Stromnetze lahm. Auch die Attacke Notpetya, die europaweit Schäden in Millionenhöhe verursachte, richtete sich nach Ansicht von Experten eigentlich primär gegen die Ukraine. Mit dem aktuellen Konfliktgeschehen gebe es bei Cyclops Blink nach aktuellen Stand aber keinen Zusammenhang, betonten die Behörden.
Quellen: NCSC, Watchguard
