300.000 Router weisen manipulierte DNS-Einstellungen auf. Schwachstellen von Routern werden von Hackern ausgenutzt. Gerade Heimnetzwerke oder Netzwerke kleinerer Unternehmen sind betroffen. Vor allem Europa und Asien waren Ziel des Angriffs. Man rechnet mit rund 300.000 betroffenen Routern.
Verlauf des Angriffs und seine Folgen
Mitarbeiter des IT-Sicherheitsanbieters Team Cymru verzeichneten einen groß angelegten Hacker-Angriff. Dieser begann im Dezember 2013 und hatte vor allem Geräte aus Europa und Asien zum Ziel. Hier wurden bevorzugt die Länder Vietnam, Thailand, Italien und Indien Opfer des Angriffs, wobei der Angriff sich nicht gezielt auf diese Länder konzentriert, vielmehr wurden hier erhöhte Angriffe verzeichnet. Die Hacker änderten Routereinträge und die DNS-Server wurden auf die IP-Adressen 5.45.75.11 und 5.45.75.36 geändert.
Durch die Änderung der IP-Adressen der angefragten Domains, konnten die User durch sogenannte Man-in-the-Middle-Attacken auf die beiden oben genannten IP-Adressen umgeleitet werden. Die Mitarbeiter von Team Cymru entdeckten in einem Zeitraum von zwei Wochen etwa 300.000 so gehackte IP-Adressen. Aufgrund dieser Beobachtung rechnet man auch mit einer etwa gleich hohen Zahl von betroffenen Geräten. Man kann daher davon ausgehen, dass der wahre Angriff wahrscheinlich noch bevorsteht und es sich hierbei nur um einen Test handelte. Gehackt wurden vor allem Geräte von den Herstellern D-Link, TP-Link und Zyxel. Es wird vermutet, dass bei diesen Modellen nicht mehr die vom Werk her eingestellten Passwörter benutzt worden sind. Die Experten von Team Cymru sehen den Grund für diese Anfälligkeit darin, dass der User nicht sehr gut mit der Konfiguration solcher Geräte vertraut ist und die Standardeinstellungen oftmals einen zu hohen Unsicherheitsfaktor darstellen.
In der Vergangenheit konnte man in Polen bereits schon einmal einen solchen Angriff beobachten. Damals wurden die Online-Banking-Daten von Usern ausgespäht, die auf solche manipulierten Seiten weitergeleitet worden sind. Somit hatten die Hacker die Möglichkeit, diese Daten für ihre Zwecke zu missbrauchen.
Was kann man tun?
Zunächst sollten die lokalen Einstellungen der Router überprüft werden und darüber hinaus der Zugriff von außen bzw. ein Fernzugriff nicht gestattet - also deaktiviert - werden. Der Fernzugriff bietet den Hackern ungeahnte Möglichkeiten, die eigenen Ressourcen auszuspionieren. Des Weiteren empfiehlt es sich, die Firmware regelmäßig zu aktualisieren und immer auf dem neuesten Stand zu halten.
Es sollte stets beachtet werden, dass Sicherheitslücken bei jedem Hersteller lauern können. So sind jüngst Sicherheitslücken bei AVM und Cisco aufgedeckt worden. Gerade in den WLAN-Routern schleichen sich oft diese Lücken ein. Hauptursache hierfür sind mangelnde Sicherungen bei Zugangs-beschränkungen.
Ein Problem liegt in der Tatsache, dass es für die meisten Router keine automatische Aktualisierung gibt und die User sich dazu selbst einloggen müssten. Die meisten User sehen dieses Sicherheitsrisiko aber nicht und lassen den Router nach der ersten Einrichtung arbeiten, ohne von Zeit zu Zeit die erforderlichen Updates durchzuführen.
Fazit
Damit der eigene Router und somit auch die eigenen Daten vor Hacker-Angriffen geschützt sind, ist die regelmäßige Durchführung von Updates unumgänglich. Diese Maßnahme kann jeder User in der Regel selber durchführen. Für alle Fragen ist es aber ratsam, ein IT-Systemhaus zu kontaktieren. Dieses steht mit Beratung, Unterstützung und Ausführung zur Verfügung.
Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
