Zum Inhalt springen Zur Navigation springen
Entdeckt: Großer DNS-Angriff auf hunderttausende Router

Entdeckt: Großer DNS-Angriff auf hunderttausende Router

Theoretisch haben wir alle schon einmal davon gehört, dass kriminelle Subjekte immer und überall versuchen, unsere persönlichen Daten abzugreifen und für ihre Interessen nutzbar zu machen. Und – sein wir doch mal ehrlich – jeder von uns glaubt, dass er selbst mit Sicherheit niemals betroffen sein wird. Aus diesem Grunde machen wir uns auch keine Gedanken, ob die Internetadresse die wir täglich eingeben, z.B. www.otto.de, www.ebay.com, www.amazon.de oder wem auch sonst, tatsächlich zu der physikalischen Adresse führt, die wir uns vorstellen.

Die Bedrohung rückt näher

Bereits seit Anfang des Jahres wurde vermehrt über Schwachstellen an diversen Routern berichtet, die ohne ersichtlichen Grund teilweise ihre gesamte Konfigurationsdatei in das Internet „hinausbrüllten“.

Wie nunmehr Heise Security diese Woche berichtete, haben US-Sicherheitsforscher vom Team Cymru einen der größten Cyber-Angriffe auf Router entdeckt, der angeblich über eine Manipulation der DNS-Einstellungen diverser Router den Datenverkehr von hunderttausenden von Geräten umgeleitet haben soll. So wurden bei den betroffenen Geräten die voreingestellten DNS-Server ohne Zutun ihrer Nutzer auf die IP-Adressen 5.45.75.11 und 5.45.75.36 geändert.

Wie die Forscher herausgefunden haben wollen, so Heise online, sei dieser Angriff erst dadurch ermöglicht worden, dass

„Bei vielen der gehackten Router das Web-Interface über die WAN-Schnittstelle erreichbar war, sodass die Angreifer aus der Ferne mit Standard-Passwörtern oder Brute-Force-Angriffen in die Router eindringen konnten.“

Was ist ein DNS?

Warum ist der Austausch des DNS-Servers so problematisch? Das Domain Name System (DNS) ist einer der wichtigsten Dienste in vielen IP-basierten Netzwerken. Seine Hauptaufgabe ist die Beantwortung von Anfragen zur Namensauflösung. Ohne diesen Service wäre das Auffinden von Servern im Internet für den Nutzer kaum möglich.

Der DNS-Server fungiert dabei wie eine Art Auskunft. Um eine Bestimmte Internetdomain aufrufen zu können, muss der Nutzer diese korrekt adressieren. Die Adressierung im Internet erfolgt jedoch nicht über die eigentliche Domain/URL, sondern anhand von IP-Adressen (Ziffernfolgen), die für den Nutzer nur schwer einzuprägen sind. Um dem Nutzer also die Adressierung zu erleichtern, wandelt der angerufene DNS-Server die vom Nutzer eingegebene URL in die zugehörige IP-Adresse um und führt so zum richtigen Rechner/Server.

Was passiert bei einer DNS-Attacke?

Aus technischer Sicht

Bei einer DNS-Attacke bringt ein Angreifer nun entweder einen solchen DNS-Nameserver unter seine Kontrolle (DNS-Hijacking) oder manipuliert bereits den durch den Nutzer verwendeten Router derart, dass dieser nicht mehr auf den eigentlich im Router gespeicherten DNS-Server zurückgreift, sondern auf einen anderen vom Angreifer eingetragenen Server. Hier wird dann die Zuordnung der IP-Adressen zu den Domains austauscht oder verändert.

Aus Sicht des Anwenders

Dadurch wir der Nutzer, bei einer Domainanfrage (z.B.: Amazon.de) nicht auf die IP-Adresse des eigentlich gesuchten Rechners (z.B. der Firma Amazon S.a.r.l.) verwiesen, sondern auf eine vom Angreifer selbst genutzte IP-Adresse eines Rechners/Servers, welchen er ebenfalls unter seiner Kontrolle hat. Hier kann er sodann z.B. über die Nachbildung der vom Nutzer gesuchten Login-Seite die Login-Daten (z.B.: für Amazon) abgreifen und sich dann für eigene Zwecke mit den Nutzerdaten des Betroffenen in dessen realen Account einloggen und z.B. auf seine Kosten Bestellungen abgeben, auf Konten zugreifen etc. (sog. Pharming).

Wer ist aktuell betroffen?

Betroffen sind nach Auskunft der Forschergruppe vor allem Router von D-Link, TP-Link und Zyxel. Gehackt wurden neben Routern für den Privatbereich auch Geräte für kleine Büros (SOHO).

Betroffen! Und nun?

Betroffene laufen Gefahr, einer Traffic-Manipulation zu unterliegen und Opfer ausgefeilter Pharming-Attacken zu werden. Daneben besteht, so Heise security die Gefahr,

„dass man bald so gut wie gar nicht mehr auf das Internet zugreifen kann – nämlich dann, wenn die DNS-Server der Ganoven ihren Dienst einstellen und alle DNS-Abfragen der Router ins Leere laufen.“

Überprüfen Sie Ihren Router

Wer einen möglicherweise manipulierten Router betreibt, sollte vorsorglich seine Routerkonfiguration auf Unregelmäßigkeiten hin überprüfen und den eingestellten DNS-Server kontrollieren. Im Internet finden sich diverse Seiten mit Listen der gängigen DNS-Server (z.B.: www.stanar.de). Sollte der bei Ihnen eingetragene Server nicht mit den gelisteten Adressen übereinstimmen, so sollten Sie sich an ihren Anbieter oder ihren IT-Dienstleister werden.

Wählen Sie einen verlässlichen DNS-Server

Statt den DNS-Server Ihres Providers können Sie auch einen verlässliche Alternative wählen. Beispielsweise stellt der Chaos-Computer-Club einige Alternativen vor, z.B.:

  • 85.214.20.141 (FoeBud)
  • 213.73.91.35 (dnscache.berlin.ccc.de)
  • 204.152.184.76 (f.6to4-servers.net, ISC, USA)
  • 2001:4f8:0:2::14 (f.6to4-servers.net, IPv6, ISC)
  • 194.150.168.168 (dns.as250.net; Berlin/Frankfurt)

Interessenten können Googles DNS-Dienst unter den IP-Adressen 8.8.8.8 und 8.8.4.4 erreichen.

Unabängig davon zeigt dieser Fall auch wieder:

Internetnutzer sollten darauf achten, ihre Router-Software so aktuell wie möglich zu halten und die regelmäßigen Sicherheitsupdates zeitnah einzuspielen. Nur so kann sichergestellt werden, dass erkannte Sicherheitslücken geschlossen und ein Missbrauch frühzeitig verhindert werden kann.

P.S.: Sollten Sie eine Fritzbox besitzen, wollen wir Sie an dieser Stelle noch einmal an das dringend erforderliche Update erinnern!!!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • „Theoretisch haben wir alle schon einmal davon gehört, dass kriminelle Subjekte immer und überall versuchen, unsere persönlichen Daten abzugreifen und für ihre Interessen nutzbar zu machen.“

    Kriminelle Subjekte auf Datenjagd? Fallen darunter auch Geheimdienste? ;-)

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.