DNS-Konfig von hunderttausenden Routern gekapert
Im Rahmen eines Angriffs auf zahlreiche Router haben wohl Spammer dafür gesorgt, dass sie kontrollieren können, welche Inhalte an viele Nutzer ausgeliefert werden.
Das Sicherheits-Unternehmen Team Cymru aus dem US-Bundesstaat Kalifornien hat inzwischen rund 300.000 Systeme ausfindig gemacht, bei denen die DNS-Einstellungen überschrieben wurden. Bei den Geräten handelt es sich um Router, die für gewöhnlich bei privaten Nutzern und kleineren Unternehmen zum Einsatz kommen und die in der letzten Zeit immer wieder wegen Sicherheitsproblemen in die Schlagzeilen gerieten.
Durch die Veränderungen in den DNS-Einstellungen werden die Geräte mit Daten versorgt, die durch die Angreifer kontrolliert werden. So können diese beispielsweise entscheiden, zu welcher IP-Adresse eine Domain aufgelöst und welche Webseite einem Anwender geliefert wird. Dies lässt sich zu verschiedenen Zwecken verwenden, wie beispielsweise der Umleitung von Anwendern auf Seiten mit integrierten Schadcodes, den Austausch von Werbebannern, die von großen Vermarktern in Webseiten eingebettet werden, oder die Anzeige von gefälschten Login-Seiten beim Online-Banking.
Die DNS-Anfragen der betroffenen Router werden dabei laut den Sicherheits-Forschern an zwei IP-Adressen umgeleitet, die zu Rechnern in den Niederlanden gehören. Registriert sind diese auf ein Unternehmen namens 3NT Solutions mit Sitz in Großbritannien. Die Firma selbst war bei Nachforschungen durch Team Cymru erst einmal nicht auszumachen und die Anschrift führte zu einem Vermieter von Postfächern.
Allerdings fand der Sicherheits-Forscher Conrad Longmore dann Weitergehendes heraus: Dieser konnte aufgrund seiner bisherigen Erfahrungen mit der Szene Hinweise darauf finden, dass hinter der Briefkastenfirma eine aus Serbien stammende Organisation namens Inferno.name steht. Mit dieser hatte er es seit dem Jahr 2011 schon mehrfach zu tun. Bei Inferno.name handle es sich seinen Angaben zufolge um einen bekannten Betreiber von Webseiten, die Schadcodes streuen, und E-Mail-Diensten für den Spam-Versand. Administratoren empfiehlt er schon länger, die IPs dieser Gruppe schlicht komplett zu sperren.
Laut Team Cymru waren von der Attacke auf die Router Modelle verschiedener Anbieter betroffen. Es wurde demnach wohl nicht eine einzelne Sicherheitslücke ausgenutzt, sondern schlicht die Tatsache, dass viele entsprechende Geräte nur über rudimentäre Security-Einstellungen verfügen. Grundsätzlich ist die Art eines solchen Angriffs auch nichts Neues, allerdings war die Menge der gekaperten Geräte ungewöhnlich hoch, hieß es.
Durch die Veränderungen in den DNS-Einstellungen werden die Geräte mit Daten versorgt, die durch die Angreifer kontrolliert werden. So können diese beispielsweise entscheiden, zu welcher IP-Adresse eine Domain aufgelöst und welche Webseite einem Anwender geliefert wird. Dies lässt sich zu verschiedenen Zwecken verwenden, wie beispielsweise der Umleitung von Anwendern auf Seiten mit integrierten Schadcodes, den Austausch von Werbebannern, die von großen Vermarktern in Webseiten eingebettet werden, oder die Anzeige von gefälschten Login-Seiten beim Online-Banking.
Die DNS-Anfragen der betroffenen Router werden dabei laut den Sicherheits-Forschern an zwei IP-Adressen umgeleitet, die zu Rechnern in den Niederlanden gehören. Registriert sind diese auf ein Unternehmen namens 3NT Solutions mit Sitz in Großbritannien. Die Firma selbst war bei Nachforschungen durch Team Cymru erst einmal nicht auszumachen und die Anschrift führte zu einem Vermieter von Postfächern.
Allerdings fand der Sicherheits-Forscher Conrad Longmore dann Weitergehendes heraus: Dieser konnte aufgrund seiner bisherigen Erfahrungen mit der Szene Hinweise darauf finden, dass hinter der Briefkastenfirma eine aus Serbien stammende Organisation namens Inferno.name steht. Mit dieser hatte er es seit dem Jahr 2011 schon mehrfach zu tun. Bei Inferno.name handle es sich seinen Angaben zufolge um einen bekannten Betreiber von Webseiten, die Schadcodes streuen, und E-Mail-Diensten für den Spam-Versand. Administratoren empfiehlt er schon länger, die IPs dieser Gruppe schlicht komplett zu sperren.
Laut Team Cymru waren von der Attacke auf die Router Modelle verschiedener Anbieter betroffen. Es wurde demnach wohl nicht eine einzelne Sicherheitslücke ausgenutzt, sondern schlicht die Tatsache, dass viele entsprechende Geräte nur über rudimentäre Security-Einstellungen verfügen. Grundsätzlich ist die Art eines solchen Angriffs auch nichts Neues, allerdings war die Menge der gekaperten Geräte ungewöhnlich hoch, hieß es.
Thema:
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Home Assistant OS 18.0 – Endlich wird die Basis richtig aufgeräumt
d-hubs - Heute 10:54 Uhr -
Erweiterung Post-it für Firefox oder Chrome
Maik1000 - Gestern 13:50 Uhr -
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - 19.06. 11:14 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen