• IT-Karriere:
  • Services:

Trojaner: Spionierendes WLAN-Router-Botnetz ausgehoben

Mit Hilfe einer manipulierten WLAN-Router-Firmware haben Kriminelle die Zugangsdaten von Privatpersonen und Unternehmen ausspioniert, darunter eine Anwaltskanzlei sowie eine Bäckereikette. Das Botnetz ist mittlerweile offline, es könnte aber noch weitere geben.

Artikel veröffentlicht am ,
Der WRT54G ist einer der angegriffenen Router, da er auch eine Linux-basierte Firmware vom Typ DD-WRT nutzen kann.
Der WRT54G ist einer der angegriffenen Router, da er auch eine Linux-basierte Firmware vom Typ DD-WRT nutzen kann. (Bild: Linksys)

Das Szenario, einen WLAN-Router über eine gehackte Firmware zu kapern und alle Daten, die dieser von abgeschlossenen Geräten wie Computer oder Smartphone verarbeitet, abzugreifen, war laut der c't bisher nur graue Theorie. Nach außen hin erledigt ein solcher gekaperter Router seine Arbeit wie gehabt, in Wirklichkeit dient er jedoch als Spionagestation. In Zusammenarbeit mit dem Landeskriminalamt Niedersachsen hat Heise Security nun zwar ein Botnetz offengelegt und zu Fall gebracht, vermutlich ist es aber nicht das letzte seiner Art.

Stellenmarkt
  1. Mühlenkreiskliniken AöR, Minden
  2. nexnet GmbH, Flensburg, Berlin, Bonn, Hamburg, Mainz

Die Kriminellen haben die Router über die Linux-basierte Firmware vom Typ DD-WRT angegriffen und hierbei laut der c't "wahrscheinlich eine bereits seit dem Jahr 2009 bekannte Schwachstelle ausgenutzt". Diese Lücke sei den Entwicklern zufolge bereits "kurz nach dem Entdecken geschlossen" worden, was jedoch bei vielen Routern wenig bringe. Die meisten Geräte machten nicht deutlich genug, dass eine neue Firmware bereitstehe - in der Praxis werden daher nur die wenigsten Router auf dem aktuellen Stand gehalten und haben teilweise uralte Sicherheitslücken wie die in diesem Fall ausgenutzte.

Einmal gekapert, spioniert der Router alle Daten aus

Durch die Schwachstelle sowie die Voraussetzung, dass das Webinterface über das Internet und nicht nur das lokale Netzwerk zu erreichen ist, haben der oder die Täter die Firmware manipuliert sowie dSniff nachgeladen. Das kleine Programm schneidet Zugangsdaten mit, diese wurden auf zwei FTP-Server transferiert, genauer gesagt auf einen Strato-Server sowie später auf ein System in Estland. Hier fand Heise Security die Maildaten einer deutschen Anwaltskanzlei und konnte die Bilder von Überwachungskameras einer deutschen Bäckereikette einsehen. Insgesamt entdeckten die Kollegen zehntausende Dateien, von 30 Opfern in Deutschland, die vom LKA identifiziert werden konnten.

Das Botnetz wurde zwar mittlerweile vom Netz genommen und die polizeilichen Ermittlungen laufen noch, die c't aber warnt, es sei "nur eine Frage der Zeit, bis es Nachahmer findet". Schließlich nutzen viele Router eine Linux-Firmware und bieten höchstwahrscheinlich offene Sicherheitslücken, da die Geräte selten aktualisiert werden. Heise Security hat ein Testskript veröffentlicht. Dieses prüft, ob dSniff auf dem Router läuft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

berritorre 25. Sep 2013

Da stimme ich zu. Ich glaube nicht, dass es an der Komplexität liegt. Wohl eher daran...

mag 25. Sep 2013

Das stimmt. Bei mir läuft DD-WRT auf einem Linksys WRT54GL. Ich habe diesen Router vor...

lisgoem8 25. Sep 2013

Wenn man so einen DD-WRT aufsetzt ist der erstmal total offen. Wofür ja auch diese...

lisgoem8 25. Sep 2013

In meinen Augen sollte ein Router von Zeit zu Zeit die Firmware auf Aktualität prüfen...

derdiedas 25. Sep 2013

- so schaut es aus. Alles was älter ist als 12 Monate bekommt nur mit Glück noch ein...


Folgen Sie uns
       


Elektrifizierte Tiefgarage von Netze BW angesehen

Wir haben uns ein Testprojekt für eine elektrifizierte Tiefgarage im baden-württembergischen Tamm zeigen lassen.

Elektrifizierte Tiefgarage von Netze BW angesehen Video aufrufen
    •  /