DNS-Einstellungen von bis zu 300.000 Routern manipuliert

Die Sicherheitsforscher von Team Cymru in Florida melden einen umfangreichen Pharming-Angriff, bei dem die DNS-Konfiguration von Routern geändert wurde. Die Kampagne begann mindestens Mitte Dezember und betraf vor allem Geräte in Europa und Asien. Die Einträge der betroffenen Router wurden manipuliert und die DNS-Server auf die beiden Adressen 5.45.75.11 sowie 5.45.75.36 geändert. Die Angreifer könnten somit alle DNS-Anfragen der Opfer umleiten, indem sie die IP-Adressen bekannter Domain-Namen durch andere ersetzen – und Man-in-the-Middle-Attacken durchführen.

Dem Bericht (PDF) zufolge wurden innerhalb von nur zwei Wochen bei diesen beiden DNS-Servern Anfragen von rund 300.000 IP-Adressen beobachtet, so dass von einer entsprechend hohen Zahl kompromittierter Geräte auszugehen ist. Sie gingen von Routern diverser Hersteller wie D-Link, TP-Link und Zyxel ein. Sie zählen vorwiegend zur „SOHO“-Kategorie und sind für den privaten Einsatz sowie kleinere Unternehmen gedacht. Ausgenutzt wurden dabei offenbar bekannte Schwachstellen bei einer Reihe verschiedener Modelle.

Nach Einschätzung der Sicherheitsforscher sind WLAN-Router dieser Kategorie ein attraktives Angriffsziel für Cyberkriminelle „durch die mangelnde Vertrautheit der Verbraucher mit der Konfiguration dieser Geräte wie auch den häufig unsicheren Standardeinstellungen, Hintertüren in der Firmware sowie dem eingeschränkten Entwicklungsaufwand für diese weit verbreiteten Geräte.“

Bei einem früheren Angriff dieser Art, der vor allem polnische und russische Anwender betraf, wurden manipulierte DNS-Server in einer raffinierten zweistufigen „mBank“-Attacke eingesetzt. Bankkunden wurden dabei zuerst auf gefälschte Webseiten umgeleitet, um an ihre Anmeldedaten zu kommen. Diese nutzten die Angreifer, um sich einzuloggen und den Opfern dann SMS-Nachrichten zu senden, mit denen sie die unwissende Zustimmung zu einer Geldüberweisung an ein Angreiferkonto einholten.

Bis jetzt leiteten die neu eingetragenen DNS-Server in London, die von einer Firma namens 3NT Solutions registriert wurden, offenbar nur zu den tatsächlich verlangten Seiten weiter. „Was wir bisher gesehen haben, ist ein wenig rätselhaft“, erklärte Steve Santorelli von Cymru. Aufgrund der hohen Zahl kompromittierter Geräte vermuten die Sicherheitsforscher „eher herkömmliche kriminelle Absichten wie etwa die Umleitung von Suchergebnissen, ausgetauschte Werbung oder Drive-by-Downloads mit folgender Installation – alles Aktivitäten, die in großem Maßstab gewinnbringend auszuführen sind.“

Zur Abwendung von Gefahren empfehlen sie die Überprüfung lokaler Routereinstellungen und außerdem, den Fernzugriff bei SOHO-Geräten grundsätzlich zu deaktivieren. Administratoren sollten zudem sicherstellen, dass die Gerätefirmware stets auf dem neuesten Stand ist. Für Firmennetzwerke raten sie, die Nutzung von SOHO-Routern stark einzuschränken oder zumindest durch geeignete Kontrollen für ihren sicheren Einsatz zu sorgen.