DNS-Einstellungen von bis zu 300.000 Routern manipuliert

Die Sicherheitsforscher von Team Cymru in Florida melden einen umfangreichen Pharming-Angriff, bei dem die DNS-Konfiguration von Routern geändert wurde. Die Kampagne begann mindestens Mitte Dezember und betraf vor allem Geräte in Europa und Asien. Die Einträge der betroffenen Router wurden manipuliert und die DNS-Server auf die beiden Adressen 5.45.75.11 sowie 5.45.75.36 geändert. Die Angreifer könnten somit alle DNS-Anfragen der Opfer umleiten, indem sie die IP-Adressen bekannter Domain-Namen durch andere ersetzen – und Man-in-the-Middle-Attacken durchführen.

Dem Bericht (PDF) zufolge wurden innerhalb von nur zwei Wochen bei diesen beiden DNS-Servern Anfragen von rund 300.000 IP-Adressen beobachtet, so dass von einer entsprechend hohen Zahl kompromittierter Geräte auszugehen ist. Sie gingen von Routern diverser Hersteller wie D-Link, TP-Link und Zyxel ein. Sie zählen vorwiegend zur “SOHO”-Kategorie und sind für den privaten Einsatz sowie kleinere Unternehmen gedacht. Ausgenutzt wurden dabei offenbar bekannte Schwachstellen bei einer Reihe verschiedener Modelle.

Nach Einschätzung der Sicherheitsforscher sind WLAN-Router dieser Kategorie ein attraktives Angriffsziel für Cyberkriminelle “durch die mangelnde Vertrautheit der Verbraucher mit der Konfiguration dieser Geräte wie auch den häufig unsicheren Standardeinstellungen, Hintertüren in der Firmware sowie dem eingeschränkten Entwicklungsaufwand für diese weit verbreiteten Geräte.”

(Quelle www.zdnet.de)