Suchen

Botnetze Heimnetz-Router bilden ein immer größeres Sicherheitsrisiko

| Redakteur: Franz Graser

Netzwerk-Router für Heim- und Small-Business-Anwender werden zum Rückgrat für fremdgesteuerte Botnetze. Die Sicherheitsfirma Incapsula registrierte seit Ende 2014 einen Anstieg von DDoS-Angriffen, die mit hoher Wahrscheinlichkeit von Botnetzen ausgehen, die aus gekaperten Routern bestehen.

Firma zum Thema

Über sie läuft der Datenverkehr und sie sind angreifbar: Netzwerkrouter für den Heim- und Small-Business-Bereich geraten zunehmend in das Visier von Angreifern.
Über sie läuft der Datenverkehr und sie sind angreifbar: Netzwerkrouter für den Heim- und Small-Business-Bereich geraten zunehmend in das Visier von Angreifern.
(Bild: Franz Graser)

Unzureichendes Sicherheitsdesign und nachlässige Anwender sind laut Incapsula der Grund dafür, dass immer mehr Angriffe von sich selbst erhaltenden Router-Botnetzen ausgehen. Bei einer Auswertung von Denial-of-Service-Attacken, die in den letzten Monaten registriert wurden, fand Incapsula heraus, dass praktisch alle betroffenen Router aus der Ferne administriert werden konnten. Außerdem waren bei fast allen Geräten die ab Werk eingestellten Login-Daten noch aktiv.

In die angreifbaren Router wurden diverse Varianten der Malware „MrBlack“ injiziert. Das Schadprogramm räumt Angreifern Administratorrechte über die betroffenen Geräte ein und liegt dann still, um weitere Befehle abzuwarten. Am stärksten betroffen waren laut Incapsula Router des US-Herstellers Ubiquiti.

Darüber hinaus scheint es sich größtenteils um Router gehandelt zu haben, die den Benutzern von ihren jeweiligen Internet-Serviceprovidern (ISP) zur Verfügung gestellt wurden. Das heißt, dass die Botnetz-Betreiber besonders leichtes Spiel hatten, da sie nur die Netze der betreffenden ISPs zu scannen brauchten, um weitere kaperbare Router zu finden.

Nach Angaben von Incapsula befanden sich die meisten gekaperten Router in Thailand und Brasilien. Die Kommandoserver des Router-Botnetzes lagen dagegen mit überwältigender Mehrheit in China (73,3 Prozent) und den USA (21,7 Prozent). Die restlichen Command-and-Control-Server waren in Hong Kong stationiert.

Incapsula riet den Benutzern betroffener Geräte, den Fernzugriff auf die Router-Konfigurationsmenüs abzustellen und die ab Werk eingestellten Login-Daten zu verändern. Anwender, deren Router durch Malware kompromittiert wurden, sollten die aktuellste verfügbare Firmware für ihre Geräte einspielen.

(ID:43380284)