Die Hackergruppe Lizard Squad, die sich im Dezember zu einem Distributed-Denial-of-Service-Angriff (DDoS) auf Sonys PlayStation Network bekannt hat, hat angeblich ein Botnetz aus gekaperten Heimroutern aufgebaut. Das berichtet der Sicherheitsexperte Brian Krebs, dessen Website ebenfalls kürzlich Ziel der Hacker war.
Demnach liefern die Router die benötigte Bandbreite für einen Dienst namens LizardStresser. Den Service bieten die Hacker zahlenden Kunden an, die Websites von Personen oder Organisationen für Stunden oder gar Tage unbrauchbar machen wollen. Krebs zufolge haben die Hacker die Kontrolle über Router weltweit überwiegend mithilfe voreingestellter und von daher öffentlich bekannter Anmeldedaten übernommen.
„In den ersten Tagen des Jahres 2015 war KrebsOnSecurity durch eine Serie von großen und anhaltenden Denial-of-Service-Attacken offline, die offenbar von der Lizard Squad orchestriert wurden“, schreibt Krebs. Der dafür verwendete Dienst LizardStresser.su werde von einem Internet Service Provider in Bosnien gehostet, der auch andere gefährliche Websites bereitstelle.
„Bei dem Provider handelt es sich um dasselbe ‚kugelsichere‘ Hosting-Netzwerk, das von ‚Sp3c1alist‘ beworben wird, dem Administrator des Cybercrime-Forums Darkode“, ergänzte Krebs. „Bis vor wenigen Tagen teilten sich Darkode und LizardStresser dieselbe Internetadresse. Interessant ist, dass eines der wichtigsten Mitglieder der Lizard Squad den Spitznamen ‚Sp3c‘ hat.“
Das ist das Ergebnis einer von Avast durchgeführten Umfrage. Demnach sind 74 Prozent der deutschen Heimnetzwerke nur mit voreingestellten oder schwachen Router-Passwörtern geschützt. Hinzu kommen die in den vergangenen Monaten vermehrt aufgedeckten Sicherheitslücken in der Firmware und den Diensten zahlreicher Router-Modelle.
Krebs hat nach eigenen Angaben die Malware, die anfällige Systeme wie Router in „Stresser“ umwandelt, am 4. Januar entdeckt. Dabei handelt es sich ihm zufolge um eine Schadsoftware, die das Sicherheitsunternehmen Dr. Web erstmals im November dokumentiert hat und die schon seit Anfang 2014 im Umlauf ist. Sie ist in der Lage, im Internet nach weiteren anfälligen Geräten zu suchen, die eingehende Telnet-Verbindungen akzeptieren und über voreingestellte Anmeldedaten wie „Admin/Admin“ oder „Root/12345“ zugänglich sind. „Jeder infizierte Host versucht kontinuierlich, die Infektion auf neue Heimrouter und andere Geräte auszuweiten“, ergänzte Krebs.
Das Botnetz bestehe aber nicht nur aus Heimroutern, heißt es weiter in dem Bericht. Einige der infizierten Hosts seien offenbar Router von Universitäten und Unternehmen. Es seien aber wahrscheinlich auch andere Geräte mit Linux-Betriebssystemen wie Netzwerkkameras betroffen.
Krebs wurde bei seiner Analyse nach eigenen Angaben von mehreren nicht genannten Sicherheitsforschern unterstützt. Sie arbeiteten mit Strafverfolgern und Internet Service Providern zusammen, um die infizierten Systeme vom Netz zu nehmen.
Von Quellen aus dem Umfeld der Ermittler will Krebs zudem erfahren haben, dass die Lizard Squad versucht hat, mithilfe gestohlener Kreditkarten tausende Instanzen von Googles Cloud-Computing-Service zu kaufen. Google habe die Bot-Aktivitäten aber kurz nach dem Start entdeckt und die verwendeten Ressourcen abgeschaltet. Ein Google-Sprecher sagte Krebs, er könne einzelne Vorfälle nicht kommentieren, Google seien die Berichte darüber aber bekannt und man habe Gegenmaßnahmen ergriffen.
Nutzern von Heimroutern empfiehlt Krebs, das voreingestellte Passwort – und wenn möglich auch den Nutzernamen – zu ändern. Wichtig sei die Auswahl eines starken Passworts. Eine wenn auch nicht vollständige Übersicht über Geräte mit voreingestellten Anmeldedaten findet sich auf Routerpasswords.com.
Berühmte und berüchtigte Hacker: Was wissen Sie über Cyberkriminelle und Hacktivisten? Testen Sie Ihr Wissen auf silicon.de!
Laut dem Sicherheitsanbieter verschob sich der Fokus der Cyberkriminellen 2014 weg von Banking-Malware und hin zu Erpresser-Software. In diesem Jahr sei zudem die Zahl der Schadprogramme für Mac OS X so hoch wie noch nie. Für 2015 erwartet Kaspersky unter anderem Hackerangriffe auf Bezahldienste wie Apple Pay und die Aufdeckung weiterer Schwachstellen in weitverbreiteter Open-Source-Software.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…