Trojaner: Spionierendes WLAN-Router-Botnetz ausgehoben

Mit Hilfe einer manipulierten WLAN-Router-Firmware haben Kriminelle die Zugangsdaten von Privatpersonen und Unternehmen ausspioniert, darunter eine Anwaltskanzlei sowie eine Bäckereikette. Das Botnetz ist mittlerweile offline, es könnte aber noch weitere geben.

Artikel veröffentlicht am ,
Der WRT54G ist einer der angegriffenen Router, da er auch eine Linux-basierte Firmware vom Typ DD-WRT nutzen kann.
Der WRT54G ist einer der angegriffenen Router, da er auch eine Linux-basierte Firmware vom Typ DD-WRT nutzen kann. (Bild: Linksys)

Das Szenario, einen WLAN-Router über eine gehackte Firmware zu kapern und alle Daten, die dieser von abgeschlossenen Geräten wie Computer oder Smartphone verarbeitet, abzugreifen, war laut der c't bisher nur graue Theorie. Nach außen hin erledigt ein solcher gekaperter Router seine Arbeit wie gehabt, in Wirklichkeit dient er jedoch als Spionagestation. In Zusammenarbeit mit dem Landeskriminalamt Niedersachsen hat Heise Security nun zwar ein Botnetz offengelegt und zu Fall gebracht, vermutlich ist es aber nicht das letzte seiner Art.

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d) Support / Helpdesk
    Hülskens Holding GmbH & Co. KG, Wesel
  2. Java Developer (m/w/d)
    Governikus GmbH & Co. KG, Bremen, Berlin, Erfurt, Köln (Home-Office möglich)
Detailsuche

Die Kriminellen haben die Router über die Linux-basierte Firmware vom Typ DD-WRT angegriffen und hierbei laut der c't "wahrscheinlich eine bereits seit dem Jahr 2009 bekannte Schwachstelle ausgenutzt". Diese Lücke sei den Entwicklern zufolge bereits "kurz nach dem Entdecken geschlossen" worden, was jedoch bei vielen Routern wenig bringe. Die meisten Geräte machten nicht deutlich genug, dass eine neue Firmware bereitstehe - in der Praxis werden daher nur die wenigsten Router auf dem aktuellen Stand gehalten und haben teilweise uralte Sicherheitslücken wie die in diesem Fall ausgenutzte.

Einmal gekapert, spioniert der Router alle Daten aus

Durch die Schwachstelle sowie die Voraussetzung, dass das Webinterface über das Internet und nicht nur das lokale Netzwerk zu erreichen ist, haben der oder die Täter die Firmware manipuliert sowie dSniff nachgeladen. Das kleine Programm schneidet Zugangsdaten mit, diese wurden auf zwei FTP-Server transferiert, genauer gesagt auf einen Strato-Server sowie später auf ein System in Estland. Hier fand Heise Security die Maildaten einer deutschen Anwaltskanzlei und konnte die Bilder von Überwachungskameras einer deutschen Bäckereikette einsehen. Insgesamt entdeckten die Kollegen zehntausende Dateien, von 30 Opfern in Deutschland, die vom LKA identifiziert werden konnten.

Das Botnetz wurde zwar mittlerweile vom Netz genommen und die polizeilichen Ermittlungen laufen noch, die c't aber warnt, es sei "nur eine Frage der Zeit, bis es Nachahmer findet". Schließlich nutzen viele Router eine Linux-Firmware und bieten höchstwahrscheinlich offene Sicherheitslücken, da die Geräte selten aktualisiert werden. Heise Security hat ein Testskript veröffentlicht. Dieses prüft, ob dSniff auf dem Router läuft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


berritorre 25. Sep 2013

Da stimme ich zu. Ich glaube nicht, dass es an der Komplexität liegt. Wohl eher daran...

mag 25. Sep 2013

Das stimmt. Bei mir läuft DD-WRT auf einem Linksys WRT54GL. Ich habe diesen Router vor...

lisgoem8 25. Sep 2013

Wenn man so einen DD-WRT aufsetzt ist der erstmal total offen. Wofür ja auch diese...

lisgoem8 25. Sep 2013

In meinen Augen sollte ein Router von Zeit zu Zeit die Firmware auf Aktualität prüfen...



Aktuell auf der Startseite von Golem.de
Gene Roddenberrys andere Sci-Fi-Stoffe
Neben Star Trek leider fast vergessen

Der Name Gene Roddenberry steht vor allem für Star Trek. Nach dem Ende der klassischen Serie hat er aber noch andere Science-Fiction-Stoffe entwickelt.
Von Peter Osteried

Gene Roddenberrys andere Sci-Fi-Stoffe: Neben Star Trek leider fast vergessen
Artikel
  1. Illegales Streaming: House of Dragons bei Piraten beliebter als Ringe der Macht
    Illegales Streaming
    House of Dragons bei Piraten beliebter als Ringe der Macht

    Das Game-of-Thrones-Prequel hat mehr Zuschauer als die neue Herr-der-Ringe-Serie - zumindest via Bittorrent.

  2. Carsten Spohr: Lufthansa-Chef wird Opfer eigener Sicherheitslücke
    Carsten Spohr
    Lufthansa-Chef wird Opfer eigener Sicherheitslücke

    Unbekannte haben einen QR-Code auf einem Boardingpass von Lufthansa-Chef Carsten Spohr ausgelesen und auf persönliche Daten zugreifen können.

  3. Softwareentwicklung: Erste Schritte mit dem modernen Framework Flutter
    Softwareentwicklung
    Erste Schritte mit dem modernen Framework Flutter

    Flutter ist ein tolles und einfach zu erlernendes Framework, vor allem für die Entwicklung mobiler Apps. Eine Anleitung für ein erstes kleines Projekt.
    Eine Anleitung von Pascal Friedrich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Bis -53% auf Gaming-Zubehör und bis -45% auf PC-Audio • Crucial 16-GB-Kit DDR5-4800 69,99€ • Crucial P2 1 TB 67,90€ • MindStar (u. a. Intel Core i5-12600 239€ und Fastro 2-TB-SSD 128€) • Logitech G Pro Gaming Keyboard 77,90€ • Apple iPhone 12 64 GB 659€ [Werbung]
    •  /