PC & Internet DNS-Konfig von hunderttausenden Routern gekapert

Im Rahmen eines Angriffs auf zahlreiche Router haben wohl Spammer dafür gesorgt, dass sie kontrollieren können, welche Inhalte an viele Nutzer ausgeliefert werden.


Das Sicherheits-Unternehmen Team Cymru aus dem US-Bundesstaat Kalifornien hat inzwischen rund 300.000 Systeme ausfindig gemacht, bei denen die DNS-Einstellungen überschrieben wurden. Bei den Geräten handelt es sich um Router, die für gewöhnlich bei privaten Nutzern und kleineren Unternehmen zum Einsatz kommen und die in der letzten Zeit immer wieder wegen Sicherheitsproblemen in die Schlagzeilen gerieten.

Durch die Veränderungen in den DNS-Einstellungen werden die Geräte mit Daten versorgt, die durch die Angreifer kontrolliert werden. So können diese beispielsweise entscheiden, zu welcher IP-Adresse eine Domain aufgelöst und welche Webseite einem Anwender geliefert wird. Dies lässt sich zu verschiedenen Zwecken verwenden, wie beispielsweise der Umleitung von Anwendern auf Seiten mit integrierten Schadcodes, den Austausch von Werbebannern, die von großen Vermarktern in Webseiten eingebettet werden, oder die Anzeige von gefälschten Login-Seiten beim Online-Banking.

Die DNS-Anfragen der betroffenen Router werden dabei laut den Sicherheits-Forschern an zwei IP-Adressen umgeleitet, die zu Rechnern in den Niederlanden gehören. Registriert sind diese auf ein Unternehmen namens 3NT Solutions mit Sitz in Großbritannien. Die Firma selbst war bei Nachforschungen durch Team Cymru erst einmal nicht auszumachen und die Anschrift führte zu einem Vermieter von Postfächern.

Allerdings fand der Sicherheits-Forscher Conrad Longmore dann Weitergehendes heraus: Dieser konnte aufgrund seiner bisherigen Erfahrungen mit der Szene Hinweise darauf finden, dass hinter der Briefkastenfirma eine aus Serbien stammende Organisation namens Inferno.name steht. Mit dieser hatte er es seit dem Jahr 2011 schon mehrfach zu tun. Bei Inferno.name handle es sich seinen Angaben zufolge um einen bekannten Betreiber von Webseiten, die Schadcodes streuen, und E-Mail-Diensten für den Spam-Versand. Administratoren empfiehlt er schon länger, die IPs dieser Gruppe schlicht komplett zu sperren.

Laut Team Cymru waren von der Attacke auf die Router Modelle verschiedener Anbieter betroffen. Es wurde demnach wohl nicht eine einzelne Sicherheitslücke ausgenutzt, sondern schlicht die Tatsache, dass viele entsprechende Geräte nur über rudimentäre Security-Einstellungen verfügen. Grundsätzlich ist die Art eines solchen Angriffs auch nichts Neues, allerdings war die Menge der gekaperten Geräte ungewöhnlich hoch, hieß es.

Quelle: Winfuture
​