DNS-Einstellungen von bis zu 300.000 Routern manipuliert

Die Sicherheitsforscher von Team Cymru in Florida melden einen umfangreichen Pharming-Angriff, bei dem die DNS-Konfiguration von Routern geändert wurde. Die Kampagne begann mindestens Mitte Dezember und betraf vor allem Geräte in Europa und Asien. Die Einträge der betroffenen Router wurden manipuliert und die DNS-Server auf die beiden Adressen 5.45.75.11 sowie 5.45.75.36 geändert. Die Angreifer könnten somit alle DNS-Anfragen der Opfer umleiten, indem sie die IP-Adressen bekannter Domain-Namen durch andere ersetzen – und Man-in-the-Middle-Attacken durchführen.

Dem Bericht (PDF) zufolge wurden innerhalb von nur zwei Wochen bei diesen beiden DNS-Servern Anfragen von rund 300.000 IP-Adressen beobachtet, so dass von einer entsprechend hohen Zahl kompromittierter Geräte auszugehen ist. Sie gingen von Routern diverser Hersteller wie D-Link, TP-Link und Zyxel ein. Sie zählen vorwiegend zur „SOHO“-Kategorie und sind für den privaten Einsatz sowie kleinere Unternehmen gedacht. Ausgenutzt wurden dabei offenbar bekannte Schwachstellen bei einer Reihe verschiedener Modelle.

Nach Einschätzung der Sicherheitsforscher sind WLAN-Router dieser Kategorie ein attraktives Angriffsziel für Cyberkriminelle „durch die mangelnde Vertrautheit der Verbraucher mit der Konfiguration dieser Geräte wie auch den häufig unsicheren Standardeinstellungen, Hintertüren in der Firmware sowie dem eingeschränkten Entwicklungsaufwand für diese weit verbreiteten Geräte.“

Bei einem früheren Angriff dieser Art, der vor allem polnische und russische Anwender betraf, wurden manipulierte DNS-Server in einer raffinierten zweistufigen „mBank“-Attacke eingesetzt. Bankkunden wurden dabei zuerst auf gefälschte Webseiten umgeleitet, um an ihre Anmeldedaten zu kommen. Diese nutzten die Angreifer, um sich einzuloggen und den Opfern dann SMS-Nachrichten zu senden, mit denen sie die unwissende Zustimmung zu einer Geldüberweisung an ein Angreiferkonto einholten.

Bis jetzt leiteten die neu eingetragenen DNS-Server in London, die von einer Firma namens 3NT Solutions registriert wurden, offenbar nur zu den tatsächlich verlangten Seiten weiter. „Was wir bisher gesehen haben, ist ein wenig rätselhaft“, erklärte Steve Santorelli von Cymru. Aufgrund der hohen Zahl kompromittierter Geräte vermuten die Sicherheitsforscher „eher herkömmliche kriminelle Absichten wie etwa die Umleitung von Suchergebnissen, ausgetauschte Werbung oder Drive-by-Downloads mit folgender Installation – alles Aktivitäten, die in großem Maßstab gewinnbringend auszuführen sind.“

Zur Abwendung von Gefahren empfehlen sie die Überprüfung lokaler Routereinstellungen und außerdem, den Fernzugriff bei SOHO-Geräten grundsätzlich zu deaktivieren. Administratoren sollten zudem sicherstellen, dass die Gerätefirmware stets auf dem neuesten Stand ist. Für Firmennetzwerke raten sie, die Nutzung von SOHO-Routern stark einzuschränken oder zumindest durch geeignete Kontrollen für ihren sicheren Einsatz zu sorgen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago