Router-Malware birgt versteckte Gefahren

Sie scannen Ihren Computer wöchentlich auf Viren, aktualisieren Systeme und Programme umgehend, verwenden sichere Passwörter und bewegen sich zudem mit viel Vorsicht und Achtsamkeit in der Online-Welt. Dennoch ist Ihre Internetverbindung aus einem unerklärlichen Grund langsamer als zuvor und einige Websites verweigern Ihnen den Zugriff. Wenn das der Fall ist, könnte Malware dahinterstecken. Nicht auf Ihrem Computer, sondern im Router selbst.

Warum ausgerechnet Router?

Cyberkriminelle zielen hauptsächlich aus zwei Gründen auf Router ab. Erstens, weil der gesamte Netzwerkverkehr über diese Geräte läuft; zweitens können Router nicht mit einem normalen Antivirenprogramm gescannt werden. Malware, die sich im Router eingenistet hat, birgt also viele Angriffsmöglichkeiten und eine viel geringere Chance, entdeckt – geschweige denn gelöscht – zu werden. Was Cyberkriminelle mit einem infizierten Router anstellen können, erklären wir Ihnen im Anschluss.

Botnets erstellen

Besonders häufig werden infizierte Router einem Botnet hinzugefügt. Dabei handelt es sich um ein Netzwerk von Geräten, die im Rahmen eines DDoS-Angriffs unzählige Anfragen an eine bestimmte Website oder einen bestimmten Onlinedienst senden. Das Ziel der Angreifer ist es, den angegriffenen Dienst so weit zu überlasten, dass er zunächst langsamer wird und schließlich ganz ausfällt.

Gleichzeitig leiden gewöhnliche Nutzer, deren Router Hijacking zum Opfer fallen, unter einer verminderten Internetgeschwindigkeit, weil ihre Router damit beschäftigt sind, böswillige Anfragen zu senden, und anderen Datenverkehr erst dann verarbeiten, wenn ihnen eine kleine Verschnaufpause gegönnt wird.

Unseren Daten zufolge wurden Router im Jahr 2021 besonders aktiv von zwei Malware-Familien angegriffen: Mirai und Mēris, wobei erstere die Rangliste mit großem Abstand anführt – sie ist für fast die Hälfte aller Angriffe auf Router verantwortlich.

Mirai

Diese berüchtigte Malware-Familie, die auf den Namen „Mirai“ (was auf Japanisch „Zukunft“ bedeutet) getauft wurde, ist seit 2016 bekannt. Neben Routern ist sie dafür bekannt, IP-Kameras, Smart-TVs und andere IoT-Geräte zu infizieren, darunter auch solche von Unternehmen, wie drahtlose Controller und digitale Werbedisplays. Ursprünglich konzipiert, um groß angelegte DDoS-Angriffe auf Minecraft-Server durchzuführen, wurde das Mirai-Botnet später auf andere Dienste entfesselt. Der Quellcode der Malware ist längst im Internet geleakt und bildet die Grundlage für immer neue Varianten.

Mēris

Nicht umsonst bedeutet Mēris auf Lettisch so viel wie „Seuche“. Das Botnet hat bereits Tausende von Hochleistungsgeräten – hauptsächlich MikroTik-Router – betroffen und sie in ein Netzwerk für DDoS-Angriffe verwandelt. Beispielsweise erreichte während eines Angriffs auf ein US-Finanzunternehmen im Jahr 2021 die Anzahl der Anfragen aus dem Netzwerk der mit Mēris infizierten Geräte 17,2 Millionen pro Sekunde. Einige Monate später griff das Botnet mehrere russische Finanz- und IT-Unternehmen mit einer Rekordzahl von 21,8 Millionen Anfragen pro Sekunde an.

Datendiebstahl

Einige Router-infizierende Malware kann sogar noch schwerwiegenderen Schaden anrichten und beispielsweise Ihre Daten stehlen. Sobald Sie online gehen, senden und empfangen Sie viele wichtige Informationen: Zahlungsdaten in Online-Shops, Zugangsdaten in sozialen Netzwerken, Arbeitsdokumente per E-Mail. Und all diese Informationen werden ebenso wie der Rest Ihres Netzwerkverkehrs zwangsläufig durch den Router geleitet. Bei einem Angriff können die Daten von Malware abgefangen werden und direkt in die Hände der Cyberkriminellen gelangen.

Ein Beispiel für derartige Malware ist VPNFilter. Durch das Infizieren von Routern und NAS-Servern erlangt sie die Fähigkeit, Informationen zu sammeln und den Router zu steuern oder zu deaktivieren.

Spoof-Webseiten

Router-Malware kann Sie heimlich auf Werbeseiten oder schädliche Websites umleiten, während Sie (und sogar Ihr Browser) höchstwahrscheinlich davon ausgehen, dass Sie auf eine völlig legitime Website zugreifen, obwohl Sie sich in Wirklichkeit in den Händen von Cyberkriminellen befinden.

Dies funktioniert folgendermaßen: Wenn Sie die URL einer Website (z. B. google.com) in die Adressleiste eingeben, sendet Ihr Computer oder Smartphone eine Anfrage an einen speziellen DNS-Server, auf dem alle registrierten IP-Adressen und die entsprechenden URLs gespeichert sind. Wenn der Router infiziert ist, sendet er diese Anfragen möglicherweise an einen gefälschten DNS-Server, der auf die „google.com“-Anfrage mit der IP-Adresse einer völlig anderen Website antwortet – beispielsweise einer Phishing-Website.

Der Trojaner Switcher agierte genau so: er schlich sich in die Router-Einstellungen und legte einen bösartigen DNS-Server als Standardserver fest. Alle auf den Fake-Seiten eingegebenen Daten gelangten so umgehend an die Angreifer.

Wie gelangt Malware in den Router?

Es gibt zwei Möglichkeiten, Malware in einen Router zu schleusen: durch Erraten des Admin-Passworts oder durch den Exploit einer Schwachstelle im Gerät.

Passwort-Guessing

Alle gleichen Router-Modelle haben tendenziell auch immer ein und dasselbe Admin-Passwort in den Werkseinstellungen. Nicht zu verwechseln mit dem Netzwerksicherheitsschlüssel (die Zeichenkette, die Sie eingeben, um sich mit dem WLAN zu verbinden). Das Admin-Passwort hingegen wird verwendet, um in das Hauptmenü des Routers zu gelangen. Wenn der Benutzer die Werkseinstellungen unwissentlich unverändert gelassen hat, können Angreifer das Passwort leicht erraten – insbesondere, wenn sie die Router-Marke kennen.

In letzter Zeit nehmen Hersteller die Sicherheit jedoch zunehmend ernster, indem sie jedem einzelnen Gerät ein individuelles und zufälliges Passwort zuweisen, wodurch diese Methode langsam an Effektivität verliert. Dennoch ist die Ratespielmethode für ältere Router-Modelle noch immer ein Kinderspiel.

Exploit von Schwachstellen

Bei Router-Schwachstellen handelt es sich um kleine Löcher in Ihrem Internet-Gateway, durch die alle Arten von Bedrohungen direkt in Ihr Heim- oder Unternehmensnetzwerk eindringen können – oder vielleicht einfach im Router selbst lauern, wo die Wahrscheinlichkeit einer Entdeckung deutlich geringer ist. Das oben erwähnte Mēris-Botnet tut genau das, indem es ungepatchte Schwachstellen in MikroTik-Routern ausnutzt.

Unserer Untersuchung zufolge wurden allein in den letzten zwei Jahren mehrere hundert neue Schwachstellen in Routern entdeckt. Um Schwachstellen zu fixen, veröffentlichen Router-Hersteller Patches und neue Firmware-Versionen (im Wesentlichen Betriebssystem-Updates von Routern). Leider ist vielen Benutzern nicht klar, dass auch Router-Software aktualisiert werden muss.

So schützen Sie Ihr Netzwerk

Wenn Sie Ihren Heim- oder Firmenrouter sichern und Ihre Daten sicher aufbewahren möchten:

• Schauen Sie mindestens einmal im Monat nach den neuesten Router-Firmware-Updates auf der Hersteller-Website und installieren Sie verfügbare Aktualisierungen umgehend. Bei einigen Modellen werden Patches automatisch installiert, bei anderen funktioniert dies nur manuell. Informationen zum Aktualisieren der Software Ihres Geräts finden Sie auch auf der Website des Anbieters.
• Erstellen Sie ein langes, starkes Admin-Passwort für Ihren Router. Um dieses im Nachhinein nicht zu vergessen, verwenden Sie einen Passwortmanager.
• Wenn Sie über ausreichende Kenntnisse verfügen oder Anleitungen diesbezüglich finden (z. B. auf der Website des gleichen Anbieters), können Sie den Fernzugriff auf die Administratoreinstellungen des Routers selbst deaktivieren.
• Konfigurieren Sie Ihr WLAN angemessen: Erstellen Sie ein individuelles Passwort, verwenden Sie einen starken WLAN-Verschlüsselungsstandard und richten Sie Gastnetzwerke so ein, dass skrupellose oder einfach nur unvorsichtige Gäste und Nachbarn keine Malware von ihren infizierten Geräten in Ihrem Netzwerk verbreiten.
• Nutzen Sie eine VPN-App, die alle ausgehenden Informationen verschlüsselt, bevor diese an den Router weitergegeben werden, um sich vor Cyberkriminellen zu schützen.