Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Trojaner: Spionierendes WLAN-Router-Botnetz ausgehoben

Mit Hilfe einer manipulierten WLAN-Router-Firmware haben Kriminelle die Zugangsdaten von Privatpersonen und Unternehmen ausspioniert, darunter eine Anwaltskanzlei sowie eine Bäckereikette. Das Botnetz ist mittlerweile offline, es könnte aber noch weitere geben.
/ Marc Sauter
19 Kommentare News folgen (öffnet im neuen Fenster)
Der WRT54G ist einer der angegriffenen Router, da er auch eine Linux-basierte Firmware vom Typ DD-WRT nutzen kann. (Bild: Linksys)
Der WRT54G ist einer der angegriffenen Router, da er auch eine Linux-basierte Firmware vom Typ DD-WRT nutzen kann. Bild: Linksys

Das Szenario, einen WLAN-Router über eine gehackte Firmware zu kapern und alle Daten, die dieser von abgeschlossenen Geräten wie Computer oder Smartphone verarbeitet, abzugreifen, war laut der c't(öffnet im neuen Fenster) bisher nur graue Theorie. Nach außen hin erledigt ein solcher gekaperter Router seine Arbeit wie gehabt, in Wirklichkeit dient er jedoch als Spionagestation. In Zusammenarbeit mit dem Landeskriminalamt Niedersachsen hat Heise Security nun zwar ein Botnetz offengelegt und zu Fall gebracht, vermutlich ist es aber nicht das letzte seiner Art.

Die Kriminellen haben die Router über die Linux-basierte Firmware vom Typ DD-WRT(öffnet im neuen Fenster) angegriffen und hierbei laut der c't "wahrscheinlich eine bereits seit dem Jahr 2009 bekannte Schwachstelle ausgenutzt" . Diese Lücke sei den Entwicklern zufolge bereits "kurz nach dem Entdecken geschlossen" worden, was jedoch bei vielen Routern wenig bringe. Die meisten Geräte machten nicht deutlich genug, dass eine neue Firmware bereitstehe – in der Praxis werden daher nur die wenigsten Router auf dem aktuellen Stand gehalten und haben teilweise uralte Sicherheitslücken wie die in diesem Fall ausgenutzte.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Einmal gekapert, spioniert der Router alle Daten aus

Durch die Schwachstelle sowie die Voraussetzung, dass das Webinterface über das Internet und nicht nur das lokale Netzwerk zu erreichen ist, haben der oder die Täter die Firmware manipuliert sowie dSniff nachgeladen. Das kleine Programm schneidet Zugangsdaten mit, diese wurden auf zwei FTP-Server transferiert, genauer gesagt auf einen Strato-Server sowie später auf ein System in Estland. Hier fand Heise Security die Maildaten einer deutschen Anwaltskanzlei und konnte die Bilder von Überwachungskameras einer deutschen Bäckereikette einsehen. Insgesamt entdeckten die Kollegen zehntausende Dateien, von 30 Opfern in Deutschland, die vom LKA identifiziert werden konnten.

Das Botnetz wurde zwar mittlerweile vom Netz genommen und die polizeilichen Ermittlungen laufen noch, die c't aber warnt, es sei "nur eine Frage der Zeit, bis es Nachahmer findet" . Schließlich nutzen viele Router eine Linux-Firmware und bieten höchstwahrscheinlich offene Sicherheitslücken, da die Geräte selten aktualisiert werden. Heise Security hat ein Testskript veröffentlicht(öffnet im neuen Fenster) . Dieses prüft, ob dSniff auf dem Router läuft.

Zur Startseite 19 Kommentare

Relevante Themen

Open SourceLinuxTechnik/HardwarePC & NotebooksPC-KomponentenSoftwareToolsBetriebssystemeSecurity