Cracker Erfolgreiche Angriffe auf mehrere Millionen DSL-Modems

In Brasilien ist es Angreifern gelungen, weit verbreitete Router mit DSL-Modems anzugreifen. Kaspersky Labs berichtet von weitgehend unbemerkten Angriffen auf Router wie etwa den CT-5367 mit einer gefährlichen Sicherheitslücke.

Der Angriff war selbst Entwicklern von Sicherheitssoftware ein Rätsel. So berichtete Trend Micro bereits im Mai 2012 von einem großflächigen Angriff, konnte aber einen Teil dieses Angriffs, nämlich die massenhaften Umleitungen, nicht nachvollziehen.

Tatsächlich kam auch keine Schadsoftware zum Einsatz, wie sie etwa bei Angriffen auf Rechner bekannt sind. Stattdessen arbeitete ein Skript daran, das Administrator-Passwort des Routers zu extrahieren und zu benutzen, anschließend die DNS-Einstellungen zu manipulieren und schließlich ein neues Passwort zu setzen. Laut Kaspersky kamen Passwörter wie "dn5ch4ng3" und "ch4ng3dn5" zum Einsatz. Die Routersoftware konnte sich gegen den Angriff nicht wehren und der Nutzer hatte wenige Hinweise auf den erfolgreichen Angriff. Wann die Angriffe genau begannen, ist Kaspersky nicht bekannt. Es soll aber irgendwann im Jahr 2011 losgegangen sein.

Angriffe auf sechs Modems und 4,5 Millionen Nutzer

Insgesamt wurden sechs Modems unterschiedlicher Hersteller angegriffen, so dass es sich zugleich um einen Angriff auf alle großen Internetanbieter des Landes handelt. Die Modems haben eine gemeinsame Komponente: einen Broadcom-Chipsatz. Der Fehler steckt aber in der Software der Router, die mit dem Chipsatz arbeitet. Die manipulierten Router schickten ihre DNS-Anfragen an 40 unterschiedliche, nur für den Angriff eingerichtete DNS-Server.