Die US-Regierung könnte TP-Link-Router im Jahr 2025 verbieten, wenn Untersuchungen bestätigen, dass ihre Verwendung ein Risiko für die nationale Sicherheit darstellen könnte.
Die US-Regierung untersucht, ob TP-Link-Router, die mit Cyberangriffen in Verbindung gebracht werden, ein Risiko für die nationale Sicherheit darstellen, berichtet das Wall Street Journal.
Nach Angaben des WSJ erwägt die US-Regierung, TP-Link-Router ab 2025 zu verbieten.
TP-Link hat einen Marktanteil von 65% in den USA und ist die erste Wahl auf Amazon, wo es die Internetkommunikation des Verteidigungsministeriums versorgt.
Im August forderten zwei US-Gesetzgeber die Regierung Biden auf, TP-Link zu untersuchen, weil sie befürchteten, dass die Geräte des Unternehmens für Cyberangriffe verwendet werden könnten.
"Das Handels-, das Verteidigungs- und das Justizministerium haben getrennte Untersuchungen gegen das Unternehmen eingeleitet, wobei die Behörden ein Verbot des Verkaufs von TP-Link-Routern in den USA bereits im nächsten Jahr anstreben, so der Bericht", berichtet Reuters. "Ein Büro des Handelsministeriums hat das Unternehmen sogar vorgeladen, während das Verteidigungsministerium Anfang des Jahres eine Untersuchung der in China hergestellten Router eingeleitet hat, berichtete die Zeitung unter Berufung auf mit der Angelegenheit vertraute Personen."
Über 300 US-amerikanische ISPs bieten standardmäßig TP-Link-Router an, und die Geräte werden von Regierungsbehörden wie dem Verteidigungsministerium, der NASA und der DEA verwendet.
Die US-Behörden warnen, dass China seine Router für Cyberangriffe auf die amerikanische Infrastruktur nutzen könnte.
Im Oktober haben chinesische Bedrohungsakteure Berichten zufolge das Quad7-Botnet für Passwort-Spray-Angriffe genutzt, um Anmeldedaten zu stehlen, warnt Microsoft.
Quad7-Botnet, auch bekannt als CovertNetwork-1658 oder xlogin, wurde zum ersten Mal gesichtet im Sommer 2023 durch den Sicherheitsforscher Gi7w0rm.
Im September 2024 meldete das Sekoia TDR-Team, dass es weitere Implantate identifiziert hat, die mit dem Quad7-Botnet in Verbindung stehen. Die Botnet-Betreiber zielen auf mehrere SOHO-Geräte und VPN-Appliances ab, darunter TP-LINK, Zyxel, Asus, D-Link und Netgear, und nutzen sowohl bekannte als auch bisher unbekannte Schwachstellen aus.
Die Betreiber unterhalten das Botnet, um verteilte Brute-Force-Angriffe auf VPNs, Telnet-, SSH- und Microsoft 365-Konten durchzuführen.
Das Quad7-Botnet besteht hauptsächlich aus kompromittierten TP-Link-Routern mit offenen Ports für Verwaltungs- und Proxy-Zwecke. Diese Router werden verwendet, um Brute-Force-Angriffe auf Microsoft 365-Konten durchzuführen. Ähnliche Botnets wie alogin und rlogin zielen auf andere Geräte ab, darunter Asus-Router (alogin) und Ruckus-Wireless-Geräte (rlogin), die jeweils unterschiedliche offene Ports für Verwaltungs- und Proxy-Funktionen aufweisen. Die Experten stellten fest, dass alogin und xlogin Tausende von kompromittierten Geräten haben, während rlogin nur 213 hat. Andere Varianten wie axlogin und zylogin zielen auf Axentra NAS bzw. Zyxel VPNs ab, sind aber kleiner und werden weniger beobachtet.
Microsoft gibt nun an, dass chinesische Bedrohungsakteure, darunter Storm-0940, Anmeldeinformationen verwenden, die sie von CovertNetwork-1658 über Passwort-Spray-Angriffe erhalten haben. Storm-0940 ist seit 2021 aktiv und verschafft sich Zugang durch Passwort-Spraying, Brute-Force-Angriffe und die Ausnutzung von Netzwerk-Edge-Diensten und zielt auf Bereiche wie Regierung, Recht, Verteidigung und NGOs in Nordamerika und Europa ab. Microsoft hat die betroffenen Kunden benachrichtigt und Einzelheiten zu CovertNetwork-1658, den Taktiken von Storm-0940 und den empfohlenen Abhilfemaßnahmen zum Schutz der betroffenen Umgebungen mitgeteilt.
"Microsoft geht davon aus, dass ein in China ansässiger Bedrohungsakteur dieses Netzwerk eingerichtet hat und unterhält. Der Bedrohungsakteur nutzt eine Sicherheitslücke in den Routern aus, um Remotecode ausführen zu können. Wir untersuchen weiterhin den spezifischen Exploit, mit dem dieser Bedrohungsakteur diese Router kompromittiert", heißt es in der Bericht veröffentlicht von Microsoft. "Microsoft geht davon aus, dass mehrere chinesische Bedrohungsakteure die durch CovertNetwork-1658-Passwort-Spray-Operationen erlangten Anmeldeinformationen verwenden, um Aktivitäten zur Ausnutzung von Computernetzwerken (CNE) durchzuführen.
Microsoft stellte fest, dass Passwort-Spray-Kampagnen, die über die Infrastruktur von CovertNetwork-1658 durchgeführt wurden, eine sehr geringe Anzahl von Anmeldeversuchen für viele Konten in einer Zielorganisation unternahmen. Bei der Mehrheit der Kampagnen, etwa 80 Prozent, unternimmt CovertNetwork-1658 nur einen Anmeldeversuch pro Konto und Tag.
CovertNetwork-1658 ist schwer aufzuspüren, da es kompromittierte SOHO-IPs, einen rotierenden Pool von Tausenden von IP-Adressen (mit Knoten, die etwa 90 Tage lang aktiv sind) und Passwort-Sprays mit geringem Volumen verwendet, die eine typische Erkennung auf der Grundlage mehrerer fehlgeschlagener Anmeldungen verhindern.
Back to the present, a spokesperson for TP-Link’s U.S. subsidiary told the WSJ that the company welcomes any opportunities to engage with the U.S. government to demonstrate that its security practices align with industry standards and to show its ongoing commitment to the U.S. market, consumers, and addressing national security risks.