Cybercrime: Der Kampf um die Router
Router sind für Cyber-Kriminelle eine wichtige Ressource. Das rechtfertigt auch außergewöhnliche Maßnahmen.
- Uli Ries
Um Router tobt offenbar derzeit ein heißer Kampf. Also nicht um die Marktanteile der Hersteller. Sondern Kriminelle kämpfen um die Kontrolle über die bereits im Betrieb befindlichen Geräte, die häufig Sicherheitslücken aufweisen. So hat sich die Zahl der beobachteten Angriffe auf Router zwischenzeitlich verzehnfacht und die Schädlinge werfen sich zum Teil gegenseitig von den infizierten Systemen, berichtet die Sicherheitsfirma Trend Micro.
Den Kriminellen geht's natürlich dabei um Geld. Typischerweise missbrauchen sie infizierte IoT-Gerätschaften für DDoS-Attacken. Ziel ist es dabei, einen Server beziehungsweise dessen Infrastruktur durch Überlastung lahmzulegen. Und je mehr Router-Bots zum Netz gehören, desto effektiver überfluten sie ins Visier genommene Server.
Diese DDoS-Kapazitäten sind das Kapital der Cybercrime-Banden. Denn sie bieten diese fatalen Angriffe als Dienstleistung an. Der Untergrund-Markt ist voll von "DDoS-for-Hire"-Angeboten. Und das Geschäft brummt: Die Firma Netscout beobachtete allein im März 2020 über 800.000 DDoS-Attacken. Einzelne Angriffe erreichen dabei Bandbreiten im Bereich von über 1 Terabit pro Sekunde (tbps).
Cyber-Sicherheit von Dieben für Diebe
Trend Micro untersuchte für den Report Worm War: The Botnet Battle for IoT Territory unter anderem die gängigen IoT-Malware-Familien Mirai, Kaiten und Qbot. Jeder der untersuchten Schädlinge verfügt über Programm-Code, der nur zum Ausschalten der Konkurrenz dient. Eine Momentum getaufte IoT-Schadsoftware bringe sogar eine Liste von 438 abzuschießenden Prozessen mit, die anderen Router-Schädlingen zuzuordnen sind. Die Logik dahinter: Wenn man sich die Bandbreite mit anderen teilen muss, reduziert das natürlich die Wucht der Attacken.
Möglich ist die erneute Infektion, wenn der Bot-Master, der zuerst zum Zuge kam, gängige Hintertürzugänge über Ports wie 22 (SSH) oder 23 (Telnet) offen lässt beziehungsweise die Kennwörter nicht ändert. Dem Report zufolge erklären deshalb Beiträge in Untergrund-Foren, wie Botnetz-Betreiber ihre Netze vor feindlichen Übernahmen schützen können – Cyber-Sicherheit von Dieben für Diebe.
Das Passwort 123 führt (oft) ans Ziel
Laut den Sicherheitsforschern bekommen die Kriminellen unter anderem per Brute-Force-Attacken Zugriff auf die Geräte: Besitzer verändern das voreingestellte Admin-Passwort des übers Internet erreichbaren Routers oft nicht. Oder sie verwenden ein leicht zu erratendes Kennwort. Es ist auch gängig, dass der Router-Hersteller ein Kennwort für den Telnet-Zugang fest in der Firmware verankert. Wie schlampig manche Hersteller mit voreingestellten Kennwörtern umgehen, beleuchtete erst kürzlich auch der Home Router Security Report des Fraunhofer Instituts.
Deren automatisierte Untersuchung von 127 Router-Firmwares belegt, dass 50 der Modelle mit fest hinterlegten Kennwörtern ausgeliefert werden – 16 davon sind offenbar leicht zu knacken. Das von der Kaiten-Malware zur Infektion von Endgeräten verwendete Python-Skript beispielsweise probiert eine Liste von Nutzernamen und (einfachen) Passwörtern wie root, admin, test oder redtube durch.
Millionen feindliche Log-in-Versuche
Im Zeitraum zwischen Januar 2019 und März 2020 registrierte Trend Micro jeden Monat Millionen von Brute-Force-Versuchen. Spitzenreiter war der Monat Dezember mit 250 Millionen Anmeldeversuchen an Routern. Dabei hat sich die Zahl der Login-Versuche allein zwischen September und Dezember 2019 verzehnfacht. Außerdem ermittelten die Sicherheitsforscher innerhalb einer Märzwoche gut 16.000 von Routern ausgehende Telnet-Login-Versuche – ein Anzeichen für die Suche nach weiteren verwundbaren Geräten.
Wie viele Router weltweit infiziert sind, geht aus dem Report nicht hervor. Einem anderen Team von Sicherheitsforschern gelang es aber kürzlich, einem auf Draytek-Vigor-Routern basierenden Botnetz beim Wachsen zuzusehen: Binnen gut einer Woche infizierte der Schädling 900 Router, Tendenz stetig steigend. DrayTek hat gegenüber heise Security versichert, dass sie die Sicherheitslücke (CVE-2020-8515) bereits im Februar geschlossen haben. Besitzer von betroffenen Routern müssen das Sicherheitsupdate natürlich installieren.
Das grundlegende Problem ist keineswegs neu. Das teilweise skandalös niedrige Schutzniveau von Routern und Geräten des Internets der Dinge veranlasste Jürgen Schmidt, Leiter von heise Security, bereits 2016 zur Forderung nach einem Cyber-CE-Zeichen für alle Geräte, die ans Internet angeschlossen werden:
Update 22.7.2020, 15:15: Den Begriff Cyber-CE-Prüfsiegel durch den korrekten Begriff Cyber-CE-Zeichen ersetzt.
Update 29.07.2020 14:40 Uhr: Fleißtext um DrayTek-Update ergänzt. (des)