Hacker manipulieren über 300.000 Router

Das US-amerikanische Sicherheitsunternehmen Team Cymru hat einen weltweiten Großangriff auf mehrere Hundertausend Router in Heimnetzen und kleinen Unternehmen entdeckt. Es sollen rund 300.000 Router vor allem in Europa und Asien betroffen sein. Durch das Manipulieren der DNS-Einstellungen können die Angreifer den Datenverkehr auf beliebige Server umleiten – ohne dass es der Nutzer merkt.

Hinter jeder Internetadresse wie „www.google.de“ steht eine IP-Adresse, über die der Server kontaktiert wird. Beim Öffnen der Google-Webseite ist das zum Beispiel unter anderem die IP-Adresse „82.135.118.53“.

Wie weiß nun ein Computer, welche IP-Adressen zu der Google-Adresse gehören? Wenn der heimische Router eine Verbindung ins Internet aufbaut, dann bekommt er durch den Internetprovider die IP-Adresse der DNS-Server (Domain Name System) mitgeteilt. Dabei handelt es sich um Server, die wie eine Art Telefonbuch zu jedem Domainnamen die dazugehörigen IP-Adressen kennen. Wenn man nun im Browser eine Adresse eingibt, dann werden beim DNS-Server die passenden IP-Adressen abgefragt und dann die entsprechenden Server kontaktiert.

Die Angreifer haben in den Router die Adressen der DNS-Server auf die IP-Adressen „5.45.75.11“ und „5.45.75.36“ geändert. Die beiden Adressen werden laut Team Cymru von den Kriminellen betrieben.

Dadurch, dass die Angreifer nun in den Routern Ihre eigenen DNS-Adressen fest eingetragen haben, beantworten deren Server die Anfragen nach den IP-Adressen. Wenn nun ein Router nach einer IP-Adresse fragt, dann können die Angreifer die echten IP-Adressen zurückliefern – den Nutzer aber auch auf gefälschte Seiten lotsen, und zwar ohne dass es der Nutzer bemerkt.

Laut den Experten von Team Cymru liefern die IP-Adressen der Kriminellen derzeit aber noch die tatsächlichen IP-Adressen von Servern zurück. Es kann aber jederzeit sein, dass Abfragen auf gefälschte Seiten umgeleitet werden.

Team Cymru registrierte rund 300.000 IP-Adressen, die auf die DNS-Server der Angreifer zugegriffen haben. Es können aber auch mehr oder weniger als 300.000 Router betroffen sein. Denn viele Internetprovider weisen Routern bei jedem Verbindungsaufbau eine neue öffentliche IP-Adresse zu.

Betroffen sind unter anderem Router der Hersteller D-Link, TP-Link und Zyxel. Dabei hatten es die Angreifer nicht schwer, um in die Router einzudringen: Laut Team Cymru waren die Konfigurationsoberflächen der Router aus dem Internet zugänglich. Über Brute-Force-Attacken, was so viel heißt wie Angriff mit brutaler Gewalt, wurden einfach die Passwörter der Router erraten.

Die vor allem in Deutschland verbreitete Fritzbox ist von den Manipulationen nicht betroffen. Doch auch die Fritzbox-Router sind unsicher – mehr dazu lesen Sie im Artikel „Diese Fritzbox-Modelle sind unsicher“ .

Wenn Sie einen Router der genannten Hersteller nutzen, dann sollten Sie in den Einstellungen des Gerätes die DNS-Adressen überprüfen. Denn es besteht nicht nur Gefahr, dass die Angreifer DNS-Anfragen auf gefälschte Seiten umleiten. Es kann auch sein, dass Sie irgendwann keinen Internetzugriff mehr haben. Denn man muss jederzeit damit rechnen, dass die beiden DNS-Server ihren Betrieb einstellen.