Bericht: Hackergruppe Lizard Squad nutzt gekaperte Heimrouter für DDoS-Angriffe

Die Hackergruppe Lizard Squad, die sich im Dezember zu einem Distributed-Denial-of-Service-Angriff (DDoS) auf Sonys PlayStation Network bekannt hat, hat angeblich ein Botnetz aus gekaperten Heimroutern aufgebaut. Das berichtet der Sicherheitsexperte Brian Krebs, dessen Website ebenfalls kürzlich Ziel der Hacker war.

Demnach liefern die Router die benötigte Bandbreite für einen Dienst namens LizardStresser. Den Service bieten die Hacker zahlenden Kunden an, die Websites von Personen oder Organisationen für Stunden oder gar Tage unbrauchbar machen wollen. Krebs zufolge haben die Hacker die Kontrolle über Router weltweit überwiegend mithilfe voreingestellter und von daher öffentlich bekannter Anmeldedaten übernommen.

„In den ersten Tagen des Jahres 2015 war KrebsOnSecurity durch eine Serie von großen und anhaltenden Denial-of-Service-Attacken offline, die offenbar von der Lizard Squad orchestriert wurden“, schreibt Krebs. Der dafür verwendete Dienst LizardStresser.su werde von einem Internet Service Provider in Bosnien gehostet, der auch andere gefährliche Websites bereitstelle.

„Bei dem Provider handelt es sich um dasselbe ‚kugelsichere‘ Hosting-Netzwerk, das von ‚Sp3c1alist‘ beworben wird, dem Administrator des Cybercrime-Forums Darkode“, ergänzte Krebs. „Bis vor wenigen Tagen teilten sich Darkode und LizardStresser dieselbe Internetadresse. Interessant ist, dass eines der wichtigsten Mitglieder der Lizard Squad den Spitznamen ‚Sp3c‘ hat.“

Krebs hat nach eigenen Angaben die Malware, die anfällige Systeme wie Router in „Stresser“ umwandelt, am 4. Januar entdeckt. Dabei handelt es sich ihm zufolge um eine Schadsoftware, die das Sicherheitsunternehmen Dr. Web erstmals im November dokumentiert hat und die schon seit Anfang 2014 im Umlauf ist. Sie ist in der Lage, im Internet nach weiteren anfälligen Geräten zu suchen, die eingehende Telnet-Verbindungen akzeptieren und über voreingestellte Anmeldedaten wie „Admin/Admin“ oder „Root/12345“ zugänglich sind. „Jeder infizierte Host versucht kontinuierlich, die Infektion auf neue Heimrouter und andere Geräte auszuweiten“, ergänzte Krebs.

Das Botnetz bestehe aber nicht nur aus Heimroutern, heißt es weiter in dem Bericht. Einige der infizierten Hosts seien offenbar Router von Universitäten und Unternehmen. Es seien aber wahrscheinlich auch andere Geräte mit Linux-Betriebssystemen wie Netzwerkkameras betroffen.

Krebs wurde bei seiner Analyse nach eigenen Angaben von mehreren nicht genannten Sicherheitsforschern unterstützt. Sie arbeiteten mit Strafverfolgern und Internet Service Providern zusammen, um die infizierten Systeme vom Netz zu nehmen.

Von Quellen aus dem Umfeld der Ermittler will Krebs zudem erfahren haben, dass die Lizard Squad versucht hat, mithilfe gestohlener Kreditkarten tausende Instanzen von Googles Cloud-Computing-Service zu kaufen. Google habe die Bot-Aktivitäten aber kurz nach dem Start entdeckt und die verwendeten Ressourcen abgeschaltet. Ein Google-Sprecher sagte Krebs, er könne einzelne Vorfälle nicht kommentieren, Google seien die Berichte darüber aber bekannt und man habe Gegenmaßnahmen ergriffen.

Nutzern von Heimroutern empfiehlt Krebs, das voreingestellte Passwort – und wenn möglich auch den Nutzernamen – zu ändern. Wichtig sei die Auswahl eines starken Passworts. Eine wenn auch nicht vollständige Übersicht über Geräte mit voreingestellten Anmeldedaten findet sich auf Routerpasswords.com.

Berühmte und berüchtigte Hacker: Was wissen Sie über Cyberkriminelle und Hacktivisten? Testen Sie Ihr Wissen auf silicon.de!