Cybercrime

Kriminelle kaperten WLAN-Router für Botnetz

(Bild: thinkstockphotos.de)

Offenbar heimlich und unbemerkt haben Cyberkriminelle ein Schnüffelprogramm auf WLAN-Routern installiert und mittels diesem vertrauliche Zugangsdaten geradewegs an zentrale Sammelstellen übertragen. Der oder die Täter nutzten dabei eine vermutlich rund vier Jahre alte Schwachstelle aus, wie die Fachzeitschrift "c't" in ihrer aktuellen Ausgabe berichtet. Das international aktive Router-Botnetz sei inzwischen mithilfe des Landeskriminalamts Niedersachsen vom Netz genommen worden. Ob auch österreichische Nutzer betroffen sind, ist derzeit nicht bekannt.

"Insgesamt fanden wir Tausende IP-Adressen, das LKA konnte darunter etwa 30 deutsche Opfer identifizieren und schriftlich warnen", so "c't"-Experte Ronald Eikenberg. So seien etwa aus einer Anwaltskanzlei die Mail-Zugangsdaten aller Juristen abgegriffen worden. "Wir wissen aber nicht, ob es nicht noch viele weitere Opfer gibt", sagte Eikenberg.

Bisher sei dieses Angriffsszenario nur theoretisch denkbar gewesen, heißt es. Das nun gefundene Botnetz "Linux/Flasher.A" ist demnach das Erste seiner Art. Es greift die auf Linux basierende Router-Firmware DD-WRT an, die in zahlreichen gängigen Routern Verwendung findet.

Sicherheitslücke seit Jahren bekannt
Die Sicherheitslücke sei zwar schon seit Jahren bekannt gewesen und längst geschlossen worden. Problematisch sei aber, dass die betroffenen Router nicht automatisch auf sich aufmerksam machten, sobald ein Update bereitstehe. Nur wenige Nutzer würden ihre Geräte daher aktualisieren - "mit der Folge, dass Sicherheitslücken über Jahre hin unbehandelt bleiben".

Auch wenn das Botnetz inzwischen unschädlich gemacht wurde, gibt es keine Entwarnung. "Es ist nicht sicher, ob nicht noch weitere Botnetze aktiv sind", sagte Eikenberg. "Uns sind im Moment keine bekannt, aber das heißt nicht, dass es sie nicht gibt. Das ist vermutlich nur der Anfang."

Router-Firmware aktualisieren, Default-Passwörter ändern
Die Fachzeitschrift empfiehlt Nutzern, regelmäßig die Firmware ihres Routers auf mögliche Updates zu überprüfen. Liefere der Hersteller trotz bekannter Schwachstellen kein Update, sollte dies als Warnsignal verstanden und die Hardware ausgetauscht werden.

Zudem sollten die vom Hersteller vorgegebenen Passwörter geändert und so wenig Router-Dienste wie möglich über das Internet erreichbar gemacht werden. Wie sich ein Befall erkennen und sich der Router absichern lässt, erfahren Nutzer in der aktuellen "c't"-Ausgabe sowie auf der Website von Heise.de.