Hacker übernehmen angeblich Heimrouter und nutzen sie für DDoS-Angriffe

NetzwerkeSicherheitSicherheitsmanagement
Breitband (Bild: Shutterstock / Ensuper)

Dem Sicherheitsexperten Brian Krebs zufolge steckt dahinter die Hackergruppe Lizard Squad. Sie hatte sich im Dezember zu einem Distributed-Denial-of-Service-Angriff auf Sonys PlayStation Network bekannt. Die Router stellen laut Krebs ohne Wissen ihrer Besitzer die erforderliche Bandbreite für den Dienst LizardStresser zur Verfügung.

Die Hackergruppe Lizard Squad hat angeblich zahlreiche Router von Privatanwendern übernommen und zu einem Botnetz zusammengesführt. Das berichtet Sicherheitsexperte Brian Krebs. Lizard Squad hatte sich im Dezember zu einem Distributed-Denial-of-Service-Angriff (DDoS) auf Sonys PlayStation Network bekannt. Außerdem griff die Gruppe in den vergangenen Tagen offenbar auch die Website von Krebs an.

Die Hackergruppe LizardSquad hat angeblich Heimrouter übernommen, sie zu einem Botnetz zusammengeschlossen und nutzt sie jetzt für DDoS-Angriffe (Bild: Shutterstock / Ensuper)

Dem Sicherheitsexperten zufolge stellen die gekaperten Router die benötigte Bandbreite für einen Dienst namens LizardStresser zur Verfügung. Den bieten die Hacker Kunden an, die Websites von Personen oder Organisationen für Stunden oder gar Tage unbrauchbar machen wollen. Krebs zufolge konnten die Hacker die Kontrolle über die Router in erster Linie mangels grundlegender Sicherheitsvorkehrungen der Nutzer – also voreingestellter und von daher öffentlich bekannter Anmeldedaten – übernehmen.

“In den ersten Tagen des Jahres 2015 war KrebsOnSecurity durch eine Serie von großen und anhaltenden Denial-of-Service-Attacken offline, die offenbar von der Lizard Squad orchestriert wurden”, schreibt Krebs. Der dafür verwendete Dienst LizardStresser.su werde von einem Internet Service Provider in Bosnien gehostet, der auch andere gefährliche Websites bereitstelle.

Krebs hat eigenen Angaben zufolge die Malware, die anfällige Systeme wie Router in “Stresser” umwandelt, am 4. Januar entdeckt. Dabei handelt es sich ihm zufolge um eine Schadsoftware, die erstmals im November dokumentiert wurde, aber schon seit Anfang 2014 in Umlauf ist. Sie kann im Internet nach weiteren anfälligen Geräten suchen, die eingehende Telnet-Verbindungen akzeptieren und über voreingestellte Anmeldedaten wie “Admin/Admin” oder “Root/12345” zugänglich sind.

“Jeder infizierte Host versucht kontinuierlich, die Infektion auf neue Heimrouter und andere Geräte auszuweiten”, ergänzt Krebs. Einige der infizierten Hosts sind laut Krebs offenbar Router von Universitäten und Unternehmen. Es seien aber wahrscheinlich auch andere Geräte mit Linux-Betriebssystemen wie Netzwerkkameras betroffen.

Krebs wurde bei seiner Analyse von mehreren von ihm nicht genannten Sicherheitsforschern unterstützt. Sie arbeiteten mit Strafverfolgern und Internet Service Providern zusammen, um die infizierten Systeme vom Netz zu nehmen.

Zudem will Krebs von Quellen aus dem Umfeld der Ermittler erfahren haben, dass Lizard Squad versucht hat, mithilfe gestohlener Kreditkarten tausende Instanzen von Googles Cloud-Computing-Service zu kaufen. Google habe die Bot-Aktivitäten aber frühzeitig entdeckt und geblockt. Ein Google-Sprecher sagte Krebs, er könne einzelne Vorfälle nicht kommentieren, Google seien die Berichte darüber aber bekannt und man habe Gegenmaßnahmen ergriffen.

Nutzern von Heimroutern empfiehlt Krebs, das voreingestellte Passwort – und wenn möglich auch den Nutzernamen – zu ändern. Wichtig sei die Auswahl eines starken Passworts. Eine wenn auch nicht vollständige Übersicht über Geräte mit voreingestellten Anmeldedaten findet sich auf Routerpasswords.com.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp der Redaktion: Fast drei Viertel aller Router in Deutschland sind unsicher, so das Ergebnis einer von Avast durchgeführten Umfrage. Denn dieser Anteil der deutschen Heimnetzwerke ist nur mit voreingestellten oder schwachen Router-Passwörtern geschützt. Dazu kommen noch die in den vergangenen Monaten verstärkt aufgedeckten Sicherheitslücken in der Firmware zahlreicher Router-Modelle. ITespresso schildert die Lage und gibt Tipps, was Nutzer tun können.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen