Bis zu 300.000 Router unter fremder Kontrolle

Ferdinand Thommes
37 Kommentare

Wie das US-amerikanische Sicherheitsunternehmen Team Cymru in einem Sicherheitsreport mitteilt, haben kriminelle Angreifer die Kontrolle über rund 300.000 Router übernommen und die DNS-Einträge der Systeme verändert.

Die genaue Zahl der betroffenen Geräte ließ sich nicht ermitteln, da das Unternehmen lediglich die Zugriffe individueller IP-Adressen aufgezeichnet hat, was bei dynamischen IP-Adressen jedoch zu einer Mehrfachzählung führt. Von dem Angriff sind insbesondere Router in Asien und Europa betroffen, wobei Vietnam, Thailand sowie Indien und Italien die Schwerpunkte bilden. Betroffen sind Geräte der Firmen D-Link, Micronet, Tenda, TP-Link und Zyxel. Die Angriffe werden über Lücken in der Firmware der Geräte oder per Cross-Site-Request-Forgery durchgeführt. Dabei wird sowohl der primäre als auch der sekundäre DNS-Eintrag verändert. Die neuen DNS-Einträge lauten 5.45.75.11 und 5.45.75.36.

Bisher wurde noch kein Missbrauch seitens der bisher unbekannten Angreifer entdeckt. Die Seitenaufrufe werden bisher korrekt über die geänderten DNS-Einträge weitergeleitet. Ob es sich somit nur um einen Test oder die Vorbereitung auf einen größeren Angriff handelt, ist derzeit noch nicht bekannt. Denkbar ist, dass Anwender zukünftig auf gefälschte Seiten umgeleitet werden, um Passwörter, Kreditkartendaten und weitere geldwerte Informationen abzugreifen. Sobald die Täter die Server, über die die Anfragen derzeit geleitet werden, abschalten, können die Router die angefragten Adressen zudem nicht mehr auflösen.

Ähnlichkeiten mit einem kürzlich bekanntgewordenen Angriff auf polnische Online-Banking-Kunden, bei dem die Kunden über gefälschte DNS-Einträge auf manipulierte Webseiten gelenkt wurden, sind nicht zu übersehen. Angegriffen wurden in beiden Fällen vor allem schlecht gesicherte Heim- und SOHO-Router mit Standardeinstellungen, bei denen mittels Brute-Force-Angriffen die Passwörter des Web-Interfaces über das Internet geknackt werden können. Die DNS-Server, auf die umgelenkt wird, unterscheiden sich in beiden Fällen jedoch.