Großangriff auf Router: DNS-Einstellungen manipuliert

Forscher entdeckten einen Großangriff auf Router: Bei über 300.000 Routern, die im Privat- oder Büroeinsatz sind, wurden angeblich die DNS-Einstellungen manipuliert. Die Angreifer hätten dadurch jederzeit den Datenverkehr der Geräte umleiten können.

In Pocket speichern vorlesen Druckansicht 340 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Die US-Sicherheitsforscher von Team Cymru haben einen groß angelegten Cyber-Angriff auf Router entdeckt, der hunderttausende Geräte betreffen soll. Bei den Geräten wurden die eingestellten DNS-Server ohne Zutun der Router-Besitzer auf die IP-Adressen 5.45.75.11 und 5.45.75.36 geändert. Die sollen unter der Kontrolle der Angreifer stehen, wodurch diese den Datenverkehr ihrer Opfer umleiten und manipulieren können.

Liefert ein DNS-Server etwa zu der Abfrage "google.com" eine IP-Adresse zurück, die gar nicht zu Google gehört, landet das Opfer auf einem völlig anderen Server. Genauso ist vor fast zwei Jahren auch der Schädling DNS-Changer vorgegangen. Im aktuellen Fall konnten die Forscher allerdings noch keine falschen DNS-Antworten feststellen – möglicherweise sind die Angreifer sehr gezielt vorgegangen oder befinden sich noch in der Vorbereitungsphase.

Team Cymru gibt in seinem Bericht an, über 300.000 betroffene Geräte identifiziert zu haben, vor allem in Europa und Asien. Diese Zahl wird allerdings kurz darauf relativiert, demnach habe man bei den beiden DNS-Servern Anfragen von über 300.000 "unique IP addresses" in einem Zeitraum von zwei Wochen beobachtet. Die Zahl dürfte also zahlreiche Dubletten enthalten, nämlich Nutzer mit dynamischen IP-Adressen.

Die meisten gehackten Router stehen in Vietnam.

(Bild: Team Cymru)

Betroffen sind nach Angaben der Forscher unter anderem Router von D-Link, TP-Link und Zyxel. Gehackt wurden neben Routern für den Privatbereich auch Geräte für kleine Büros (SOHO). Dabei haben die Angreifer anscheinend bekannte Schwachstellen ausgenutzt: Bei vielen der gehackten Router war das Web-Interface über die WAN-Schnittstelle erreichbar, sodass die Angreifer aus der Ferne mit Standard-Passwörtern oder Brute-Force-Angriffen eindringen konnten.

Die betroffenen TP-Link-Router sind unter anderem anfällig für Cross-Site Request Forgery (CSRF). Dabei setzen die Angreifer Web-Seiten auf, die auf das Admin-Interface des Routers verweisen und dabei gezielt Funktionen auslösen: http://192.168.0.1/admin.html?dnsserver=1.2.3.4. Unter den gehackten Geräten befindet sich mindestens ein Zyxel-Router, der aufgrund einer Schwachstelle auf Zuruf ohne vorherige Authentifizierung seine Konfigurationsdatei ausgibt.

In ihrem Bericht gehen die Forscher auf einen weiteren Router-Angriff ein, bei dem in Polen offenbar gezielt einzelne Geräte dazu missbraucht wurden, um in Online-Banking-Sitzungen einzusteigen. Die Anzahl der betroffenen Router ist in diesem Fall deutlich kleiner: Die Forscher wollen ungefähr 80 kompromittierte Router gezählt haben. Ein direkter Zusammenhang zu der groß angelegten Manipulation bestehe vermutlich nicht, die Angreifer haben andere DNS-Server benutzt.

Wer einen der manipulierten Router betreibt, könnte schon bald Probleme bekommen: einerseits droht eine Traffic-Manipulation, andererseits besteht die Gefahr, dass man bald so gut wie gar nicht mehr auf das Internet zugreifen kann – nämlich dann, wenn die DNS-Server der Ganoven ihren Dienst einstellen und alle DNS-Abfragen der Router ins Leere laufen.

Siehe hierzu auch:

(rei)