Eine neue Welle von Cyberangriffen sorgt weltweit für Alarm bei IT-Sicherheitsforschern. Kriminelle haben offenbar Tausende Internetrouter kompromittiert und zu einem großen Botnetz zusammengeschaltet. Die Schadsoftware mit dem Namen KadNap nutzt Sicherheitslücken in Heimnetzwerken aus – und verwandelt Router unbemerkt in Werkzeuge für Cyberangriffe.
Besonders brisant: Nutzer bemerken in den meisten Fällen keinerlei Auffälligkeiten. Internetverbindungen funktionieren weiterhin scheinbar normal, während im Hintergrund bereits kriminelle Aktivitäten über das betroffene Gerät laufen.
Mehr als 14.000 Router bereits infiziert
Nach Recherchen des Technikportals Ars Technica wurden weltweit bereits mehr als 14.000 Router infiziert. Die Malware verschafft sich Zugriff über ungepatchte Sicherheitslücken und installiert sich anschließend tief im System des Geräts. Dabei nutzt KadNap besonders raffinierte Tarnmechanismen. Die Software verschleiert ihre Kommunikation mit den Kontrollservern der Angreifer, sodass herkömmliche Sicherheitsprüfungen häufig keine verdächtigen Aktivitäten erkennen.
Router werden Teil einer digitalen Angriffsarmee
Sobald ein Gerät kompromittiert ist, wird es Teil eines sogenannten Botnetzes – einer großen, ferngesteuerten Infrastruktur aus gekaperten Computern und Netzwerkgeräten. Die Betreiber können die Router aus der Ferne kontrollieren und für verschiedene Cyberangriffe einsetzen. Dazu gehören beispielsweise koordinierte Überlastungsattacken auf Internetseiten, bei denen Server durch massiven Datenverkehr lahmgelegt werden.
Derzeit nutzen die Angreifer die gekaperten Geräte offenbar, um Datenverkehr über dubiose Anonymisierungsdienste umzuleiten. Experten warnen jedoch, dass sich die Einsatzmöglichkeiten jederzeit ändern können. Ein kompromittierter Router könnte etwa auch genutzt werden, um weitere Geräte im Heimnetzwerk anzugreifen.
Gefahr für Computer, Drucker und Netzwerkspeicher
Die größte Gefahr besteht darin, dass der Router als zentrale Schaltstelle eines Heimnetzwerks fungiert. Ist er kompromittiert, können Angreifer möglicherweise auch auf andere Geräte zugreifen. Dazu zählen Computer, Netzwerkfestplatten oder Drucker, die über den Router verbunden sind. In solchen Szenarien könnten Cyberkriminelle Daten stehlen, Schadsoftware nachladen oder Systeme verschlüsseln, um Lösegeld zu fordern.
So prüfen Nutzer, ob ihr Router betroffen ist
Sicherheitsforscher des Unternehmens Black Lotus Labs haben eine Liste von IP-Adressen veröffentlicht, die mit der Infrastruktur der Angreifer in Verbindung stehen. Routerbesitzer können ihre Geräte überprüfen, indem sie die Verbindungsdaten ihres Routers kontrollieren. Bei Geräten wie der Fritz!Box lässt sich dies über das Router-Menü im Browser aufrufen – beispielsweise über die Adresse http://fritz.box
Im Bereich für Netzwerkstatistiken oder Energiemonitor lassen sich aktive Verbindungen anzeigen. Tauchen dort IP-Adressen aus der veröffentlichten Liste auf, könnte das Gerät kompromittiert sein.
Im Ernstfall Router zurücksetzen
Sollte ein Verdacht auf eine Infektion bestehen, empfehlen Experten einen vollständigen Reset des Routers auf Werkseinstellungen. Anschließend sollte die Firmware aktualisiert und ein neues, sicheres Passwort vergeben werden. Darüber hinaus raten Sicherheitsexperten, Router regelmäßig zu aktualisieren und unnötige Fernzugriffsfunktionen zu deaktivieren.
Der aktuelle Fall zeigt erneut, wie stark auch scheinbar unscheinbare Geräte im Heimnetz ins Visier von Cyberkriminellen geraten sind.
