Sicherheit

4,5 Millionen DSL-Router gehackt

von - 04.10.2012
4,5 Millionen DSL-Router gehackt
Laut Kaspersky ist es Kriminellen gelungen, verschiedene DSL-Router zu hacken und dies über Monate zu verbergen. Viele Experten standen angesichts der Raffinesse des Angriffs lange vor einem Rätsel.
Fabio Assolini von Kaspersky Lab berichtete auf einer Konferenz in Dallas von einem spektakulären Hackangriff. Demnach haben Hacker aus Brasilien seit März 2011 etwa 4,5 Millionen DSL-Router angegriffen, ohne dafür eine Schadsoftware zu benutzen. Bereits im Mai 2012 schlug Trend Micro wegen eines dieser breitangelegten Angriffe Alarm. Doch konnten die Sicherheitsexperten den Angriff lange nicht nachvollziehen.
Laut Assolini verschafften sich die Angreifer mithilfe von Bash-Scripten Zugriff auf die Administrator-Passwörter der DSL-Router. Über CSRF (Cross Site Request Forgery) konnten sie den Passwortschutz umgehen. Dabei spielte es keine Rolle, ob die Router-Besitzer ein sicheres Admin-Passwort vergeben hatte oder nicht. Danach konnten die Angreifer die DNS-Server-Einstellungen manipulieren und schließlich neue Passwörter wie "dn5ch4ng3" und "ch4ng3dn5" setzen. Für die dafür nötige Umleitung richteten die Angreifer 40 DNS-Server ein. Die Nutzer bemerkten dann teilweise kleinere Auffälligkeiten, konnten aber deren Ursprung nicht ermitteln.
Über die manipulierten DNS-Server wurden dann bestimmte URLs auf die Server der Täter umgeleitet. Hier sorgten nachgebaute Google-, Facebook oder Orkut-Seiten dafür, dass PCs mit Schadsoftware infiziert wurden. Voraussetzung für die Anfälligkeit waren aber bekannte Sicherheitslücken etwa im Java-Plug-in. Es wurde auch versucht, die Nutzer zur Installation von Plug-ins mit Schadfunktion zu verleiten. Bei anderen Angriffen nutzten die Kriminellen gefälschte Online-Banking-Seiten, um an die Konto-Daten der Opfer zu gelangen. Ähnliche Methoden verwendete auch der Trojaner DNSChanger, der Ende letzten Jahres Millionen PCs infiziert hatte.
Betroffen sind sechs Router verschiedener Hersteller, die vor allem in Brasilien verbreitet sind. Offenbar haben sie einen bestimmten Broadcom-Chipsatz gemeinsam. Die meisten Hersteller stellten bereits im Frühjahr dieses Jahres Firmware-Updates bereit. Dadurch schrumpfte die Zahl der von den Angreifern übernommenen Router bereits auf 300.000.
Viele Hersteller liefern jedoch für ältere Router keine Updates mehr, sodass diese Modelle angreifbar bleiben. Laut Assolini haben Nutzer nicht aktualisierter Router keine Möglichkeit sich angemessen zu schützen. Wenn der Provider keinen sicheren Router zur Verfügung stellt, sollten Nutzer zumindest die Sicherheitseinstellungen auf den höchsten Level setzen und ansonsten dafür sorgen, dass die Software auf den PCs stets aktuell ist. Angesichts dessen, dass diese Angriffe sehr lange unbemerkt blieben, können die Experten nicht auszuschließen, dass auch in anderen Ländern derartige Angriffe stattfinden.
So prüfen Sie den verwendeten DNS-ServerDie IP-Adresse des DNS-Servers wird an den PC in der Regel vom Router automatisch per DHCP übermittelt. Die Adresse lässt sich unter Windows auf der Kommandozeile mit dem Befehl
ipconfig /all
ermitteln. Sollten mehrere Netzwerkkarten im PC stecken, müssen Sie im Fenster etwas nach oben scrollen, um die richtigen Einträge zu sehen. Jede Netzwerkkarte hat einen eigenen Abschnitt,etwa "Ethernet-Adapter LAN-Verbindung 1". Hinter "DNS-Server" steht die gesuchte IP-Adresse.
Eine Alternative ist der Befehl
nslookup com-magazin.de
Hier sehen Sie den verwendeten DNS-Server in der zweiten Zeile.
Je nach DSL-Router und Windows-Konfiguration gibt es jetzt drei Möglichkeiten:
1. Der Netzwerkadapter ist mit der IP-Adresse Ihres DSL-Routers konfiguriert, bei einer Fritzbox beispielsweise mit 192.168.178.1. Die Fritzbox dient hier als lokaler DNS-Server und leitet die Anfragen an den DNS-Server des Providers weiter.
2. Der DHCP-Server im DSL-Router hat dem Netzwerkadapter die IP-Adresse eines DNS-Servers im Internet zugewiesen. Die richtige Adresse erfährt der Router beim Aufbau der DSL-Verbindung vom Internet-Provider. Ob es sich dabei tatsächlich um den von Ihrem Provider zugewiesenen DNS-Server handelt, ist nicht ganz einfach herauszubekommen. Eine Liste mit einigen bekannten Adressen finden Sie beispielsweise auf der Seite Übersicht DNS Server. Im Zweifelsfall hilft nur eine Nachfrage beim jeweiligen Provider.
3. Die IP-Adresse des PCs und/oder die IP-Adresse des DNS-Servers wurden nicht automatisch per DHCP sondern manuell konfiguriert. In diesem Fall haben Sie selbst oder eine Schadsoftware die Konfiguration des Netzwerkadapters geändert.
Um die Konfiguration zu prüfen, gehen Sie in der Systemsteuerung auf "Netzwerkstatus- und -aufgaben anzeigen" und klicken dann auf "Adaptereinstellungen ändern". Klicken Sie den Netzwerkadapter über den Sie die Internetverbindung herstellen mit der rechten Maustaste an und wählen Sie im Kontextmenü "Eigenschaften". Auf der Registerkarte "Netzwerk" klicken Sie in Windows 7 in der Liste unter "Diese Verbindung verwendet die folgenden Elemente" auf den Eintrag "Internetprotokoll Version 4 (TCP/IPv4)" und dann auf "Eigenschaften". Standardmäßig sind hier die Optionen "IP-Adresse automatisch beziehen" und "DNS-Serveradresse automatisch beziehen" aktiviert. Wenn das bei Ihnen anders ist und Sie die Änderung nicht selbst vorgenommen haben, stellen Sie den Standard wieder her und klicken auf "OK". Prüfen Sie danach - wenn vorhanden - auch die Einstellungen für "Internetprotokoll Version 6 (TCP/IPv6)".
Danach prüfen Sie die Adresse des DNS-Servers auch über die Oberfläche des DSL-Routers. Sie finden die Adresse meist schon auf der Übersichtsseite oder bei den Netzwerk-Einstellungen. Bei einer Fritz!Box 7390 beispielsweise müssen Sie zuerst über "System, Ansicht" die "Erweiterte Ansicht" aktivieren. Danach gehen Sie auf "Internet, Zugangsdaten, DNS-Server". Standardmäßig ist hier die Option "Vom Internetanbieter zugewiesene DNSv4-Server verwenden (empfohlen)" aktiv.
Bei der Gelegenheit können Sie auch gleich über "System, Firmware-Update" nach einer neuen Firmware suchen lassen.
Verwandte Themen