Hacker manipulieren über 300.000 Router

Das US-amerikanische Sicherheitsunternehmen Team Cymru hat einen weltweiten Großangriff auf mehrere Hundertausend Router in Heimnetzen und kleinen Unternehmen entdeckt. Es sollen rund 300.000 Router vor allem in Europa und Asien betroffen sein. Durch das Manipulieren der DNS-Einstellungen können die Angreifer den Datenverkehr auf beliebige Server umleiten – ohne dass es der Nutzer merkt.

Hinter jeder Internetadresse wie „www.google.de“ steht eine IP-Adresse, über die der Server kontaktiert wird. Beim Öffnen der Google-Webseite ist das zum Beispiel unter anderem die IP-Adresse „82.135.118.53“.

Wie weiß nun ein Computer, welche IP-Adressen zu der Google-Adresse gehören? Wenn der heimische Router eine Verbindung ins Internet aufbaut, dann bekommt er durch den Internetprovider die IP-Adresse der DNS-Server (Domain Name System) mitgeteilt. Dabei handelt es sich um Server, die wie eine Art Telefonbuch zu jedem Domainnamen die dazugehörigen IP-Adressen kennen. Wenn man nun im Browser eine Adresse eingibt, dann werden beim DNS-Server die passenden IP-Adressen abgefragt und dann die entsprechenden Server kontaktiert.

Die Angreifer haben in den Router die Adressen der DNS-Server auf die IP-Adressen „5.45.75.11“ und „5.45.75.36“ geändert. Die beiden Adressen werden laut Team Cymru von den Kriminellen betrieben.

Dadurch, dass die Angreifer nun in den Routern Ihre eigenen DNS-Adressen fest eingetragen haben, beantworten deren Server die Anfragen nach den IP-Adressen. Wenn nun ein Router nach einer IP-Adresse fragt, dann können die Angreifer die echten IP-Adressen zurückliefern – den Nutzer aber auch auf gefälschte Seiten lotsen, und zwar ohne dass es der Nutzer bemerkt.

Laut den Experten von Team Cymru liefern die IP-Adressen der Kriminellen derzeit aber noch die tatsächlichen IP-Adressen von Servern zurück. Es kann aber jederzeit sein, dass Abfragen auf gefälschte Seiten umgeleitet werden.