Original-URL des Artikels: https://www.golem.de/news/cracker-erfolg-erfolgreiche-angriffe-auf-mehrere-millionen-dsl-modems-1210-94865.html    Veröffentlicht: 02.10.2012 11:47    Kurz-URL: https://glm.io/94865

Cracker

Erfolgreiche Angriffe auf mehrere Millionen DSL-Modems

Kriminellen ist es laut Kaspersky Labs seit 2011 mehrfach gelungen, nahezu unbemerkt unterschiedliche DSL-Modem-Router in Brasilien anzugreifen. Dank einer Schwachstelle in der Firmware konnten neue Einstellungen vorgenommen und das Passwort neu gesetzt werden.

In Brasilien ist es Angreifern gelungen, weit verbreitete Router mit DSL-Modems anzugreifen. Kaspersky Labs berichtet von weitgehend unbemerkten Angriffen auf Router wie etwa den CT-5367 mit einer gefährlichen Sicherheitslücke.

Der Angriff war selbst Entwicklern von Sicherheitssoftware ein Rätsel. So berichtete Trend Micro bereits im Mai 2012 von einem großflächigen Angriff, konnte aber einen Teil dieses Angriffs, nämlich die massenhaften Umleitungen, nicht nachvollziehen.

Tatsächlich kam auch keine Schadsoftware zum Einsatz, wie sie etwa bei Angriffen auf Rechner bekannt sind. Stattdessen arbeitete ein Skript daran, das Administrator-Passwort des Routers zu extrahieren und zu benutzen, anschließend die DNS-Einstellungen zu manipulieren und schließlich ein neues Passwort zu setzen. Laut Kaspersky kamen Passwörter wie "dn5ch4ng3" und "ch4ng3dn5" zum Einsatz. Die Routersoftware konnte sich gegen den Angriff nicht wehren und der Nutzer hatte wenige Hinweise auf den erfolgreichen Angriff. Wann die Angriffe genau begannen, ist Kaspersky nicht bekannt. Es soll aber irgendwann im Jahr 2011 losgegangen sein.

Angriffe auf sechs Modems und 4,5 Millionen Nutzer

Insgesamt wurden sechs Modems unterschiedlicher Hersteller angegriffen, so dass es sich zugleich um einen Angriff auf alle großen Internetanbieter des Landes handelt. Die Modems haben eine gemeinsame Komponente: einen Broadcom-Chipsatz. Der Fehler steckt aber in der Software der Router, die mit dem Chipsatz arbeitet. Die manipulierten Router schickten ihre DNS-Anfragen an 40 unterschiedliche, nur für den Angriff eingerichtete DNS-Server.

Gefälschte Facebook-Webseiten mit Java-Exploits

Für den Angriff mussten die Kriminellen nur noch falsche Webseiten aufsetzen und den Datenverkehr entsprechend per DNS anpassen. So wurde den Nutzern in Brasilien nicht nur Schadsoftware untergejubelt, sondern auch Angriffe auf deren Bankkonten durchgeführt. Die Nutzer bekamen beim Eintippen der URL nämlich nicht ihre eigene Bankwebseite zu sehen, sondern eine nachgemachte. Auch Webseiten wie Google, Facebook und Orkut wurden kopiert. Wer sich zum Beispiel bei Facebook umschauen wollte, bekam erst einmal die Aufforderung, ein Plugin zu installieren. Alternativ wurden über die vermeintlichen Google- und Orkut-Webseiten die bei Angreifern sehr beliebten Java-Exploits verteilt.

Der Angriff war so großflächig, dass rund 4,5 Millionen Modems als kompromittiert galten. Zur Einordnung: Brasilien hat etwas mehr als 190 Millionen Einwohner und ist ein Schwellenland. Die vier größten Internetprovider schließen gerade einmal 15 Millionen Haushalte ans Internet an.

Der Anwender kann nicht viel tun, um sich zu wehren

Kaspersky schlussfolgert, dass der Nutzer nicht viel tun kann, um sich zu schützen. Selbst sichere Passwörter halfen im Fall dieses Angriffs nicht. Empfohlen wird, regelmäßig Sicherheitsupdates zu installieren - sofern es sie gibt. Nur wenige Routerhersteller unterstützen ihre Geräte über mehrere Jahre. Solche Geräte sind meist sehr teuer. Zudem sind die Produktlaufzeiten einiger Router zum Teil sehr kurz.

Sicherheitslücken sind bei Routern nicht ungewöhnlich und vor allem dann problematisch, wenn diese eine große Verbreitung finden und damit attraktive Ziele sind. Angriffe sind aber weiterhin recht selten, obwohl sie, wie das Beispiel in Brasilien zeigt, sehr effektiv sind. Zuletzt sind in Deutschland Telekom-Router durch eine sehr weit verbreitete Sicherheitslücke bekanntgeworden. Auch Vodafones Easyboxen waren angreifbar. Bei beiden Anbietern war es jedoch nur ein Angriff über die WLAN-Schnittstelle. Ein Angriff über das Netz war nicht möglich.

Da der Modem-Angriff trotz der Ausmaße solange unbemerkt blieb, lässt sich nicht ausschließen, dass er anderswo auf der Welt nicht auch unbemerkt und vielleicht in einem kleineren Stil durchgeführt wird.  (ase)


Verwandte Artikel:
Router und Switches: Kritische Sicherheitslücke in Cisco ASA wird ausgenutzt   
(12.02.2018, https://glm.io/132714 )
Ubiquiti Amplifi und Unifi: Erster Consumer-WLAN-Router wird gegen Krack gepatcht   
(17.10.2017, https://glm.io/130651 )
Cisco und Lancom: Wenn Spionagepanik auf Industriepolitik trifft   
(02.10.2017, https://glm.io/130368 )
WLAN to Go: Telekom-Hotspots waren für Fremdsurfer anfällig   
(22.02.2017, https://glm.io/126309 )
Router: BSI warnt vor Sicherheitslücke in 60 Netgear-Modellen   
(23.01.2017, https://glm.io/125745 )

© 1997–2019 Golem.de, https://www.golem.de/