Dies ist
nicht das erste Mal, dass wir uns mit dem Thema Sicherheitslücke in Netzwerkroutern befassen, aber die Studien der Gruppe "Bad Packets" und von Ixia (
Nachrichten ,
Bericht " Bad Packets",
Bericht " Ixia
" ) sind insofern interessant, als sie ein fast vollständiges Bild liefern: Wie Router kaputt gehen, welche Einstellungen sie ändern und was dann passiert.
Solche Angriffe haben keine technisch komplexen Elemente, und das Ziel der Angreifer ist einfach: Geld mit Werbung zu verdienen und, wenn möglich, Passwörter für den Zugang zu Bankensystemen und kostenpflichtigen Internetdiensten zu stehlen. Kurz gesagt: Die Angreifer haben das Netzwerk nach anfälligen Routern durchsucht (meist neue D-Link-Modelle). Nachdem sie einen solchen Router entdeckt hatten, änderten sie die darin enthaltenen DNS-Einträge und leiteten den Datenverkehr auf ihre eigenen Server um. In diesem Fall wurden triviale Sicherheitslücken verwendet, und der Zugriff auf Einstellungen für nicht gepatchte Geräte erfolgte ohne Autorisierung. Die ältesten Geräte auf der Zielliste sind älter als 10 Jahre. Trotzdem könnten Cyberkriminelle theoretisch mehr als 15.000 Opfer angreifen.
Die Experten von Bad Packets verzeichneten Ende Dezember letzten Jahres sowie im Februar und Ende März 2019 drei Angriffe mit gemeinsamen Anzeichen. In allen Fällen wurde der Google Cloud Platform-Dienst für die erste Phase des Angriffs verwendet: Es wurde ein virtueller Server erstellt, auf dem Netzwerkgeräte „klingelten“.
Der Scan zielte darauf ab, Geräte mit bekannten Schwachstellen zu finden. Dies waren hauptsächlich nicht die modernsten Router von D-Link. Später konnte mithilfe des
BinaryEdge- Dienstes, der Informationen zu den Parametern von Netzwerkgeräten sammelt, geschätzt werden, wie viele Geräte im Prinzip für einen solchen Angriff anfällig waren. Von einem Dutzend Modellen, die während dieser Kampagne genau angegriffen wurden, wurde nur eines mit mehreren tausend "Treffern" registriert.
Dies ist der D-Link
DSL-2640B ADSL-Router . Ein-Megabit-Ethernet, Unterstützung für WiFi 802.11g - im Allgemeinen nicht schlecht für ein Modell, das seit 2007 verfügbar ist. Andere Modelle (zum Beispiel D-Link 2740R, 526B und andere, nur etwa ein Dutzend Versionen), wenn sie für Angreifer von Vorteil waren, dann in kleinem Maßstab - es gibt nur wenige hundert solcher Geräte im Netzwerk.
Im Jahr 2012 wurde beim 2640B-Modell eine für Netzwerkgeräte übliche
Sicherheitsanfälligkeit entdeckt: Wenn Sie einen an der Weboberfläche des Routers angemeldeten Benutzer zwingen, auf einen vorbereiteten Link zu klicken, können Sie die Kontrolle über das Gerät erlangen. Und im Jahr 2017 wurde im selben Router ein schwerwiegenderes Problem festgestellt: Es stellte sich heraus, dass es möglich ist, DNS-Servereinträge
ohne Autorisierung zu ersetzen. Wenn die Weboberfläche des Routers von außen zugänglich ist, sollte dies natürlich nicht unter normalen Bedingungen geschehen.
Die Folgen von DNS-Server-Spoofing liegen auf der Hand: Angreifer können Bannerwerbung durch eigene ersetzen, gefälschte Websites an der „richtigen“ Adresse anzeigen und Computer, die mit Maler verbunden sind, direkt mit Malware angreifen.
Was genau mit dem angegriffenen Router passiert, hat Ixia herausgefunden. Dies geschah folgendermaßen: Auf einem Testsystem wurde ein bösartiger Server als DNS-Server installiert und anschließend eine Liste mit 10.000 Domainnamen der beliebtesten Websites ausgeführt (entsprechend der Version des Alexa-Dienstes). Es musste herausgefunden werden, für welche Domänen der gefälschte DNS-Server versuchte, die Opfer zu seinen eigenen Versionen von Websites zu bringen. Site-Spoofing wurde für vier globale Dienste aufgezeichnet: Paypal, GMail, Uber und Netflix. Andere Domains (insgesamt mehr als zehn) waren lokale Dienste von Banken und Netzbetreibern in Brasilien.
Eine Kopie des Bankdienstes sieht zuverlässig aus, nur ein Mangel an HTTPS-Verbindung weist auf eine Fälschung hin. Anscheinend gelang es den Angreifern nicht, einige der Weiterleitungen richtig vorzubereiten: Anstelle der Website
cetelem.com wurde beispielsweise der Standard-Apache-Webserver-Stub angezeigt. Im Falle eines bestimmten Angriffs im März dieses Jahres wurden sowohl gefälschte Websites als auch der DNS-Server selbst auf der Google Cloud-Plattform gehostet. Auf eine Anfrage von
Arstechnica hin sagte Google, dass böswillige Dienste blockiert wurden und Maßnahmen ergriffen wurden, um solche Vorgänge in Zukunft automatisch zu blockieren. Hier geht es jedoch nicht um Google: Andere Angriffswellen verwendeten Server in Kanada und Russland.
Im Allgemeinen handelt es sich in diesem speziellen Fall nicht um einen groß angelegten Angriff. Besiegt Geräte, die viele Jahre alt sind und seit langem bekannte Sicherheitslücken aufweisen und die es Ihnen aus irgendeinem Grund (fehlerhafte Konfiguration, unsichere Standardeinstellungen) ermöglichen, die Weboberfläche beim Zugriff über das Internet und nicht nur über das lokale Netzwerk zu öffnen. In diesem Fall lohnt es sich kaum, auf einen Patch für alte Firmware zu hoffen. Ein Upgrade ist einfacher. Warum greifen Angreifer überhaupt so wenige Gerätetypen an? Es ist ganz einfach und profitabel.
In den letzten zehn Jahren wurden groß angelegte Angriffe mit DNS-Spoofing aufgezeichnet. Nach der Verbindung mit Wi-Fi gab es kreativere Methoden, z. B. das
Angreifen von Routern mit einer bösartigen Anwendung. Dann gibt es viele Methoden, um unehrliches Geld zu nehmen: Phishing, gefolgt vom Weiterverkauf von Passwörtern auf dem Schwarzmarkt (kürzlich bezahlte Dienstkonten für das Streamen von Musik und Videos sind ein heißes Gut geworden), direkter Diebstahl von Geldern durch Bank- und Zahlungsdienste und die Verbreitung von Malware. In Brasilien nahmen solche Angriffe den Charakter einer
Epidemie an , wobei Hunderttausende angegriffener Geräte gezählt wurden. So stehen wir heute vor einer ziemlich gut dokumentierten, aber kleinen Episode der lebhaften Aktivität von Cyberkriminellen.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.