{"id":28888,"date":"2022-06-17T14:15:57","date_gmt":"2022-06-17T12:15:57","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28888"},"modified":"2022-06-17T14:15:57","modified_gmt":"2022-06-17T12:15:57","slug":"router-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/router-malware\/28888\/","title":{"rendered":"Router-Malware birgt versteckte Gefahren"},"content":{"rendered":"

Sie scannen Ihren Computer w\u00f6chentlich auf Viren, aktualisieren Systeme und Programme umgehend<\/a>, verwenden sichere Passw\u00f6rter und bewegen sich zudem mit viel Vorsicht und Achtsamkeit in der Online-Welt. Dennoch ist Ihre Internetverbindung aus einem unerkl\u00e4rlichen Grund langsamer als zuvor und einige Websites verweigern Ihnen den Zugriff. Wenn das der Fall ist, k\u00f6nnte Malware dahinterstecken. Nicht auf Ihrem Computer, sondern im Router selbst.<\/p>\n

Warum ausgerechnet Router?<\/h2>\n

Cyberkriminelle zielen haupts\u00e4chlich aus zwei Gr\u00fcnden auf Router ab. Erstens, weil der gesamte Netzwerkverkehr \u00fcber diese Ger\u00e4te l\u00e4uft; zweitens k\u00f6nnen Router nicht mit einem normalen Antivirenprogramm gescannt werden. Malware, die sich im Router eingenistet hat, birgt also viele Angriffsm\u00f6glichkeiten und eine viel geringere Chance, entdeckt \u2013 geschweige denn gel\u00f6scht \u2013 zu werden. Was Cyberkriminelle mit einem infizierten Router anstellen k\u00f6nnen, erkl\u00e4ren wir Ihnen im Anschluss.<\/p>\n

Botnets erstellen<\/h2>\n

Besonders h\u00e4ufig werden infizierte Router einem Botnet hinzugef\u00fcgt. Dabei handelt es sich um ein Netzwerk von Ger\u00e4ten, die im Rahmen eines DDoS-Angriffs unz\u00e4hlige Anfragen an eine bestimmte Website oder einen bestimmten Onlinedienst senden. Das Ziel der Angreifer ist es, den angegriffenen Dienst so weit zu \u00fcberlasten, dass er zun\u00e4chst langsamer wird und schlie\u00dflich ganz ausf\u00e4llt.<\/p>\n

Gleichzeitig leiden gew\u00f6hnliche Nutzer, deren Router Hijacking zum Opfer fallen, unter einer verminderten Internetgeschwindigkeit, weil ihre Router damit besch\u00e4ftigt sind, b\u00f6swillige Anfragen zu senden, und anderen Datenverkehr erst dann verarbeiten, wenn ihnen eine kleine Verschnaufpause geg\u00f6nnt wird.<\/p>\n

Unseren Daten zufolge wurden Router im Jahr 2021 besonders aktiv von zwei Malware-Familien angegriffen: Mirai und M\u0113ris, wobei erstere die Rangliste mit gro\u00dfem Abstand anf\u00fchrt \u2013 sie ist f\u00fcr fast die H\u00e4lfte aller Angriffe auf Router verantwortlich.<\/p>\n

Mirai<\/h3>\n

Diese ber\u00fcchtigte Malware-Familie, die auf den Namen \u201eMirai\u201c (was auf Japanisch \u201eZukunft\u201c bedeutet) getauft wurde, ist seit 2016 bekannt. Neben Routern ist sie daf\u00fcr bekannt, IP-Kameras, Smart-TVs und andere IoT-Ger\u00e4te zu infizieren, darunter auch solche von Unternehmen, wie drahtlose Controller und digitale Werbedisplays. Urspr\u00fcnglich konzipiert, um gro\u00df angelegte DDoS-Angriffe auf Minecraft-Server durchzuf\u00fchren, wurde das Mirai-Botnet sp\u00e4ter auf andere Dienste entfesselt. Der Quellcode der Malware ist l\u00e4ngst im Internet geleakt und bildet die Grundlage f\u00fcr immer neue Varianten.<\/p>\n

<\/h3>\n

M\u0113ris<\/h3>\n

Nicht umsonst bedeutet M\u0113ris auf Lettisch so viel wie \u201eSeuche\u201c. Das Botnet hat bereits Tausende von Hochleistungsger\u00e4ten \u2013 haupts\u00e4chlich MikroTik-Router \u2013 betroffen und sie in ein Netzwerk f\u00fcr DDoS-Angriffe verwandelt. Beispielsweise erreichte w\u00e4hrend eines Angriffs auf ein US-Finanzunternehmen<\/a> im Jahr 2021 die Anzahl der Anfragen aus dem Netzwerk der mit M\u0113ris infizierten Ger\u00e4te 17,2 Millionen pro Sekunde. Einige Monate sp\u00e4ter griff das Botnet mehrere russische Finanz- und IT-Unternehmen<\/a> mit einer Rekordzahl von 21,8 Millionen Anfragen pro Sekunde an.<\/p>\n

Datendiebstahl<\/h2>\n

Einige Router-infizierende Malware kann sogar noch schwerwiegenderen Schaden anrichten und beispielsweise Ihre Daten stehlen. Sobald Sie online gehen, senden und empfangen Sie viele wichtige Informationen: Zahlungsdaten in Online-Shops, Zugangsdaten in sozialen Netzwerken, Arbeitsdokumente per E-Mail. Und all diese Informationen werden ebenso wie der Rest Ihres Netzwerkverkehrs zwangsl\u00e4ufig durch den Router geleitet. Bei einem Angriff k\u00f6nnen die Daten von Malware abgefangen werden und direkt in die H\u00e4nde der Cyberkriminellen gelangen.<\/p>\n

Ein Beispiel f\u00fcr derartige Malware ist VPNFilter<\/a>. Durch das Infizieren von Routern und NAS-Servern erlangt sie die F\u00e4higkeit, Informationen zu sammeln und den Router zu steuern oder zu deaktivieren.<\/p>\n

Spoof-Webseiten<\/h2>\n

Router-Malware kann Sie heimlich auf Werbeseiten oder sch\u00e4dliche Websites umleiten, w\u00e4hrend Sie (und sogar Ihr Browser) h\u00f6chstwahrscheinlich davon ausgehen, dass Sie auf eine v\u00f6llig legitime Website zugreifen, obwohl Sie sich in Wirklichkeit in den H\u00e4nden von Cyberkriminellen befinden.<\/p>\n

Dies funktioniert folgenderma\u00dfen: Wenn Sie die URL einer Website (z. B. google.com) in die Adressleiste eingeben, sendet Ihr Computer oder Smartphone eine Anfrage an einen speziellen DNS-Server, auf dem alle registrierten IP-Adressen und die entsprechenden URLs gespeichert sind. Wenn der Router infiziert ist, sendet er diese Anfragen m\u00f6glicherweise an einen gef\u00e4lschten DNS-Server, der auf die \u201egoogle.com\u201c-Anfrage mit der IP-Adresse einer v\u00f6llig anderen Website antwortet \u2013 beispielsweise einer Phishing-Website<\/a>.<\/p>\n

Der Trojaner Switcher agierte genau so: er schlich sich in die Router-Einstellungen und legte einen b\u00f6sartigen DNS-Server als Standardserver fest. Alle auf den Fake-Seiten eingegebenen Daten gelangten so umgehend an die Angreifer.<\/p>\n

Wie gelangt Malware in den Router?<\/h2>\n

Es gibt zwei M\u00f6glichkeiten, Malware in einen Router zu schleusen: durch Erraten des Admin-Passworts oder durch den Exploit einer Schwachstelle im Ger\u00e4t.<\/p>\n

Passwort-Guessing<\/h3>\n

Alle gleichen Router-Modelle haben tendenziell auch immer ein und dasselbe Admin-Passwort in den Werkseinstellungen. Nicht zu verwechseln mit dem Netzwerksicherheitsschl\u00fcssel (die Zeichenkette, die Sie eingeben, um sich mit dem WLAN zu verbinden). Das Admin-Passwort hingegen wird verwendet, um in das Hauptmen\u00fc des Routers zu gelangen. Wenn der Benutzer die Werkseinstellungen unwissentlich unver\u00e4ndert gelassen hat, k\u00f6nnen Angreifer das Passwort leicht erraten \u2013 insbesondere, wenn sie die Router-Marke kennen.<\/p>\n

In letzter Zeit nehmen Hersteller die Sicherheit jedoch zunehmend ernster, indem sie jedem einzelnen Ger\u00e4t ein individuelles und zuf\u00e4lliges Passwort zuweisen, wodurch diese Methode langsam an Effektivit\u00e4t verliert. Dennoch ist die Ratespielmethode f\u00fcr \u00e4ltere Router-Modelle noch immer ein Kinderspiel.<\/p>\n

Exploit von Schwachstellen<\/h3>\n

Bei Router-Schwachstellen handelt es sich um kleine L\u00f6cher in Ihrem Internet-Gateway, durch die alle Arten von Bedrohungen direkt in Ihr Heim- oder Unternehmensnetzwerk eindringen k\u00f6nnen \u2013 oder vielleicht einfach im Router selbst lauern, wo die Wahrscheinlichkeit einer Entdeckung deutlich geringer ist. Das oben erw\u00e4hnte M\u0113ris-Botnet tut genau das, indem es ungepatchte Schwachstellen in MikroTik-Routern ausnutzt.<\/p>\n

Unserer Untersuchung<\/a> zufolge wurden allein in den letzten zwei Jahren mehrere hundert neue Schwachstellen in Routern entdeckt. Um Schwachstellen zu fixen, ver\u00f6ffentlichen Router-Hersteller Patches und neue Firmware-Versionen (im Wesentlichen Betriebssystem-Updates von Routern). Leider ist vielen Benutzern nicht klar, dass auch Router-Software aktualisiert werden muss.<\/p>\n

So sch\u00fctzen Sie Ihr Netzwerk<\/h2>\n

Wenn Sie Ihren Heim- oder Firmenrouter sichern und Ihre Daten sicher aufbewahren m\u00f6chten:<\/p>\n