04.03.2014
Eine neue Angriffsmethode nutzt Sicherheitslücken in vielen Heimroutern aus. Die Nutzer könnten durch veränderte DNS-Einstellungen auf manipulierte Seiten umgeleitet werden
Sicherheitsforscher haben einen Angriff auf mehrere hunderttausend Heimrouter vor allem in Asien und Europa entdeckt. Wie Sicherheitsexperten von Team Cymru berichteten, änderten die Angreifer die DNS-Einstellungen in Geräten der Hersteller D-Link, Micronet, Tenda, TP-Link und Zyxel. Dadurch könnten die Nutzer auf manipulierte Webseiten umgeleitet werden. Die meisten gehackten Geräte wurden in Vietnam, Indien, Italien und Thailand festgestellt.
Normalerweise beziehen die Heimrouter die Adressen der DNS-Server vom Provider, um die alphanumerischen Namen von Internetservern (wie Golem.de: IT-News für Profis) in numerische IP-Adressen (wie 176.74.59.148) aufzulösen. Im vorliegenden Falle wurden die Einstellungen so geändert, dass die DNS-Serveradressen 5.45.75.11 und 5.45.75.36 aufgerufen wurden. Die Sicherheitsforscher berichteten jedoch, dass die beiden DNS-Server bislang noch keine Auffälligkeiten zeigten und Anfragen auf die richtigen Seiten weiterleiteten. Möglicherweise könnten die eigentlichen Angriffe noch später erfolgen. Die Forscher registrierten innerhalb einer Woche den Zugriff von rund 300.000 individuellen IP-Adressen auf die Server. Wie viele Geräte tatsächlich betroffen sind, ist wegen der Vergabe dynamischer Adressen jedoch unklar.
Ähnliche Attacke auf Bankkunden in Polen
Laut Team Cymru waren die gehackten Geräte anfällig für mehrere Angriffsarten. Dazu zählte eine jüngst bekanntgewordene "ROM-0"-Lücke in der Firmware von Zyxel-Geräten, mit der das Login umgangen werden konnte. Ebenfalls wurde Cross-Site-Request-Forgery (CSRF) genutzt, eine Angriffstechnik, die in der Vergangenheit schon häufiger gegen Router genutzt wurde und die auch im Zusammenhang mit der jüngst bekanntgewordenen Fritzbox-Lücke stehen könnte.
Zudem verwiesen die Sicherheitsforscher auf einen ähnlichen Angriff, der in Polen entdeckt worden war. In diesem Fall wurden DNS-Einstellungen verändert, um an die Zugangsdaten von Online-Banking-Kunden zu gelangen. Von dieser Attacke waren offenbar rund 80 Nutzer vor allem in Polen und Russland betroffen.
Probleme könnten die betroffenen Nutzer auch bekommen, wenn der manipulierte DNS-Server plötzlich abgeschaltet würde. Dann könnten keine Internetseiten mehr aufgerufen werden. Diese Gefahr drohte in der Vergangenheit auch Nutzern, deren Rechner mit der Malware DNS-Changer infiziert war. In diesem Fall wurden die Anfragen ebenfalls auf falsche DNS-Server umgeleitet, die schließlich vom FBI abgeschaltet wurden
Sicherheitslücke aufgedeckt
Angriff auf über 300.000 Router entdeckt
Sicherheitsexperten berichten von einem Angriff auf über 300.000 Router in Europa und Asien, bei denen die DNS-Einstellungen manipuliert worden seien.
Die Sicherheitsexperten von Team Cymru berichten von einer groß angelegten Attacke auf Router. Insgesamt seien über 300.000 Router in Europa und Asien betroffen. Die Attacke sei im Januar 2014 bemerkt und dann untersucht worden. Die Untersuchung ergab dann, dass unbekannte Angreifer die betroffenen Router seit Mitte Dezem
Bei den betroffenen Routern seien die DNS-Einstellungen auf die IP-Adressen
5.45.75.11
und
5.45.75.36
umgeleitet worden. Die Angreifer könnten damit die übertragenen Internet-Daten abfangen und abhören.
Der Angriff sei nicht nur auf Router einzelner Hersteller begrenzt, sondern unterschiedliche Router unterschiedlicher Hersteller seien betroffen. Darunter Router der Hersteller D-Link, Mironet, TP-Link und Tenda. Für die Attacke wurden diverse Sicherheitslücken der Router ausgenutzt, darunter auch eine Ende 2013 bekannt gewordene Firmware-Lücke in der Firmware von ZyXEL-Geräten.
Die Liste der Länder, in denen die meisten Router manipuliert wurden, führt Vietnam mit großem Abstand an. Es folgen Router in den Ländern Italien, Indien, Thailand, Kolumbien, Bosnien-Herzegowina und Türkei.