Router-Botnetz spähte über Jahre vertrauliche Daten aus

Jan-Frederik Timm
16 Kommentare

Die Fachzeitschrift c't hat in Zusammenarbeit mit dem Landeskriminalamt Niedersachsen ein Router-Botnetz vom Netz genommen, das über Jahre hinweg unverschlüsselte Zugangsdaten der Nutzer ausgespäht hat. Vorausgegangen war eine detaillierter Analyse durch den Verlag.

Potentiell durch das Botnetz gefährdet waren seit dem Jahr 2009 Router, die die auf Linux basierende Firmware DD-WRT eingesetzt haben und das Webinterface zur Router-Einrichtung auch über das Internet freigegeben hatten. Auch entsprechende DVB-Receiver, die von ihren Anwendern für die Steuerung über das Internet eingerichtet worden waren, zeigten sich betroffen.

Die Täter nutzen eine Sicherheitslücke aus, die zwar schon kurz nach ihrer Veröffentlichung behoben wurde, deren Schließung aber ein Firmware-Update notwendig gemacht hat, das auf zahlreichen Routern nie installiert wurde.

Über die Sicherheitslücke war es den Cyber-Kriminellen möglich, eine kompromittierte Firmware einzuschleusen, die von zentralen Rechnern im Netz Schadcode nachladen und mittels der Linux-Software „dsniff“ den Netzwerkverkehr über den Router nach unverschlüsselten Zugangsdaten ausspähen konnte. Alle an den Router angeschlossenen Geräte, also auch die Kommunikation über Tablets und Smartphones, waren betroffen. Auf den zentralen Rechnern, die vom LKA mittlerweile offline genommen wurden, fanden sich auch Zugangsdaten deutscher Unternehmen, die teilweise brisantes Material freigaben.

Auf den FTP-Servern befanden sich zehntausende Dateien mit gestohlenen Zugangsdaten – darunter auch etliche von deutschen Nutzern. Einige Logins waren eindeutig hiesigen Unternehmen zuzuordnen. So hat etwa ein Router in einer großen deutschen Anwaltskanzlei die Mail-Zugangsdaten aller Juristen abgegriffen. Unter diesen Voraussetzungen ist die Verschwiegenheitspflicht nach § 2 und 5 der Berufsordnung der Rechtsanwälte (BORA) kaum zu wahren. Ebenfalls betroffen ist eine Bäckereikette aus Süddeutschland“, fasst die c't ihre Erkenntnisse zusammen.

Namhafte Hersteller wie AVM haben mittlerweile betont, dass für die eigenen Router zu keiner Zeit Gefahr bestanden hat, da die Firmware DD-WRT „an keiner Stelle“ zum Einsatz kommt.

Mit weltweit nur rund 25.000 potentiell betroffenen Routern war das Botnetz zwar als vergleichsweise klein anzusehen, die c't sieht in diesem ersten dokumentierten Fall allerdings lediglich den Anfang einer zukünftig stark anwachsenden Bedrohung.

Besitzer eines Routers mit entsprechender Firmware können sich via SSH mit dem Gerät verbinden und mit dem Befehl ps aux | grep [d]sniff überprüfen, ob das Schnüffelprogramm ausgeführt wird. Die Täter konnten bisher nicht gefasst werden.