Bericht: Hackergruppe Lizard Squad nutzt gekaperte Heimrouter für DDoS-Angriffe

Die Hackergruppe Lizard Squad, die sich im Dezember zu einem Distributed-Denial-of-Service-Angriff (DDoS) auf Sonys PlayStation Network bekannt hat, hat angeblich ein Botnetz aus gekaperten Heimroutern aufgebaut. Das berichtet der Sicherheitsexperte Brian Krebs, dessen Website ebenfalls kürzlich Ziel der Hacker war.

Demnach liefern die Router die benötigte Bandbreite für einen Dienst namens LizardStresser. Den Service bieten die Hacker zahlenden Kunden an, die Websites von Personen oder Organisationen für Stunden oder gar Tage unbrauchbar machen wollen. Krebs zufolge haben die Hacker die Kontrolle über Router weltweit überwiegend mithilfe voreingestellter und von daher öffentlich bekannter Anmeldedaten übernommen.

„In den ersten Tagen des Jahres 2015 war KrebsOnSecurity durch eine Serie von großen und anhaltenden Denial-of-Service-Attacken offline, die offenbar von der Lizard Squad orchestriert wurden“, schreibt Krebs. Der dafür verwendete Dienst LizardStresser.su werde von einem Internet Service Provider in Bosnien gehostet, der auch andere gefährliche Websites bereitstelle.

„Bei dem Provider handelt es sich um dasselbe ‚kugelsichere‘ Hosting-Netzwerk, das von ‚Sp3c1alist‘ beworben wird, dem Administrator des Cybercrime-Forums Darkode“, ergänzte Krebs. „Bis vor wenigen Tagen teilten sich Darkode und LizardStresser dieselbe Internetadresse. Interessant ist, dass eines der wichtigsten Mitglieder der Lizard Squad den Spitznamen ‚Sp3c‘ hat.“

HIGHLIGHT

Rund drei Viertel aller Router in Deutschland sind unsicher

Das ist das Ergebnis einer von Avast durchgeführten Umfrage. Demnach sind 74 Prozent der deutschen Heimnetzwerke nur mit voreingestellten oder schwachen Router-Passwörtern geschützt. Hinzu kommen die in den vergangenen Monaten vermehrt aufgedeckten Sicherheitslücken in der Firmware und den Diensten zahlreicher Router-Modelle.

Krebs hat nach eigenen Angaben die Malware, die anfällige Systeme wie Router in „Stresser“ umwandelt, am 4. Januar entdeckt. Dabei handelt es sich ihm zufolge um eine Schadsoftware, die das Sicherheitsunternehmen Dr. Web erstmals im November dokumentiert hat und die schon seit Anfang 2014 im Umlauf ist. Sie ist in der Lage, im Internet nach weiteren anfälligen Geräten zu suchen, die eingehende Telnet-Verbindungen akzeptieren und über voreingestellte Anmeldedaten wie „Admin/Admin“ oder „Root/12345“ zugänglich sind. „Jeder infizierte Host versucht kontinuierlich, die Infektion auf neue Heimrouter und andere Geräte auszuweiten“, ergänzte Krebs.

Das Botnetz bestehe aber nicht nur aus Heimroutern, heißt es weiter in dem Bericht. Einige der infizierten Hosts seien offenbar Router von Universitäten und Unternehmen. Es seien aber wahrscheinlich auch andere Geräte mit Linux-Betriebssystemen wie Netzwerkkameras betroffen.

Krebs wurde bei seiner Analyse nach eigenen Angaben von mehreren nicht genannten Sicherheitsforschern unterstützt. Sie arbeiteten mit Strafverfolgern und Internet Service Providern zusammen, um die infizierten Systeme vom Netz zu nehmen.

Von Quellen aus dem Umfeld der Ermittler will Krebs zudem erfahren haben, dass die Lizard Squad versucht hat, mithilfe gestohlener Kreditkarten tausende Instanzen von Googles Cloud-Computing-Service zu kaufen. Google habe die Bot-Aktivitäten aber kurz nach dem Start entdeckt und die verwendeten Ressourcen abgeschaltet. Ein Google-Sprecher sagte Krebs, er könne einzelne Vorfälle nicht kommentieren, Google seien die Berichte darüber aber bekannt und man habe Gegenmaßnahmen ergriffen.

Nutzern von Heimroutern empfiehlt Krebs, das voreingestellte Passwort – und wenn möglich auch den Nutzernamen – zu ändern. Wichtig sei die Auswahl eines starken Passworts. Eine wenn auch nicht vollständige Übersicht über Geräte mit voreingestellten Anmeldedaten findet sich auf Routerpasswords.com.

Berühmte und berüchtigte Hacker: Was wissen Sie über Cyberkriminelle und Hacktivisten? Testen Sie Ihr Wissen auf silicon.de!

HIGHLIGHT

Kaspersky Lab skizziert aktuelle und künftige Cyber-Bedrohungen

Laut dem Sicherheitsanbieter verschob sich der Fokus der Cyberkriminellen 2014 weg von Banking-Malware und hin zu Erpresser-Software. In diesem Jahr sei zudem die Zahl der Schadprogramme für Mac OS X so hoch wie noch nie. Für 2015 erwartet Kaspersky unter anderem Hackerangriffe auf Bezahldienste wie Apple Pay und die Aufdeckung weiterer Schwachstellen in weitverbreiteter Open-Source-Software.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

19 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

23 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

23 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

24 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

24 Stunden ago