Hacker öffnen SMB-Ports auf Routern und schleusen NSA-Malware ein

Akamai weist darauf hin, dass Hacker derzeit versuchen, die Konfiguration von Heim- und Office-Routern zu verändern, um Verbindungen zum Netzwerk zu öffnen und zuvor nach außen abgeschirmte Computer mit Schadsoftware zu infizieren. Dabei soll eine als UPnProxy bezeichnete Technik zum Einsatz kommen, die erst seit April öffentlich bekannt ist. Schwachstellen im Universal-Plug-and-Play-Dienst (UPnP) werden benutzt, um die NAT-Tabellen zu verändern.

NAT-Tabellen geben vor, wie sich IP-Adressen und Ports vom internen Netzwerk mit einem übergeordneten Netzwerk wie dem Internet verbinden. Bei den jetzt entdeckten Angriffen wird versucht, spezielle Regeln einzurichten, die es den Hackern erlauben, sich über die SMB-Ports 139 und 445 mit Geräten im internen Netzwerk zu verbinden.

Den Forschern von Akamai zufolge wurden von rund 277.000 Routern mit anfälligen UPnP-Diensten bereits 45.113 auf diese Art modifiziert. Die Manipulationen sollen auf das Konto eines einzelnen Hackers oder eine einzigen Gruppe von Hackern gehen. Über die rund 45.000 Router sollen die Cyberkriminellen Verbindungen zu rund 1.7 Millionen Geräten hergestellt haben.

Zu welchem Zweck die Geräte in den internen Netzwerken angegriffen wurden, konnte Akamai bisher nicht ermitteln. Das Unternehmen ist sich allerdings sehr sicher, dass dabei der NSA-Exploit EternalBlue zum Einsatz kommen soll. Eternal Blue war auch die Schwachstelle die zur Verbreitung der Erpressersoftware WannaCry und NotPetya eingesetzt wurde. Akamai vermutet zudem, dass die Hacker auch die Linux-Variante EternalRed einsetzen, um Samba-Server anzugreifen.

Allerdings geht Akamai nicht davon aus, dass die Angriffswelle von einem Nationalstaat unterstützt wird. „Neuere Scans deuten darauf hin, dass diese Angreifer opportunistisch vorgehen“, sagte Akamai. „Das Ziel hier ist kein gezielter Angriff. Es ist ein Versuch, bewährte Exploits zu nutzen, ein breites Netz in einen relativ kleinen Teich zu werfen, in der Hoffnung, einen Pool von bisher unzugänglichen Geräten zu finden.“

Anfällige Router können durch die Abschaltung des UPnP-Diensts oder eine Firmware-Update vor den als EternalSilence bezeichneten Angriffen geschützt werden. Steht kein Patch des Routerherstellers zur Verfügung und wird UPnP benötigt, bleibt nur der Wechsel zu einem anderen Router mit einer nicht unsicheren UPnP-Implementierung. Darüber hinaus beschreibt Akamai in seinem Untersuchungsbericht, wie sich schädliche Einträge aus einer NAT-Tabelle entfernen lassen.