Unbekannte Angreifer haben die DNS-Einstellungen von über 100.000 Routern geändert, um Nutzer zu Phishing-Seiten weiterzuleiten. Rund 88 Prozent dieser Router befinden sich in Brasilien, und die Weiterleitung erfolgt überwiegend, wenn Nutzer die Onlinebanking-Seiten brasilianischer Banken besuchen wollen.
Die Kampagne tobt bereits seit Mitte August, als die Sicherheitsfirma Radware die ersten Auffälligkeiten meldete. Wie das Network Security Research Lab von Qihoo 360 jetzt berichtet, haben die Hintermänner inzwischen ihre Angriffe verstärkt. Die Sicherheitsforscher fanden heraus, dass die Hacker systematisch die brasilianischen IP-Bereiche nach Routern scannen, die über keine oder nur schwache Passwörter verfügen. Wenn möglich, greifen sie dann auf die Router-Einstellungen zu und ersetzen die DNS-Vorgaben mit den IP-Nummern von Servern, die unter ihrer Kontrolle stehen. Diese wiederum liefern falsche Daten zu einer Liste von 52 verschiedenen Sites. Dabei handelt es sich meist um brasilianische Banken und Webhoster – wer sie besuchen will, landet stattdessen auf einer Phishing-Site, die seine Anmeldedaten abgreift.
Die Angreifer setzen dafür drei Module ein, die Netlab auf Shell DNSChanger, Js DNSChanger und PyPhp DNSChanger getauft hat – jeweils mit Bezug auf die Programmiersprachen, mit denen sie erstellt wurden. Das erste Modul kombiniert 25 Shell-Scripts, die mit Brute-Force-Attacken die Passwörter von 21 Routern oder Firmware-Packages knacken. Das zweite Modul ist eine Sammlung von 10 JS-Scripts, die ebenfalls Brute-Force-Attacken durchführen – aber nur auf bereits kompromittierten Routern, um andere Router und Geräte interner Netzwerke anzugreifen.
Das dritte und gefährlichste Modul ist mit einer Kombination von Python und PHP geschrieben. Laut Netlab kommt es auf über hundert Servern – meist auf Google Cloud – zum Einsatz, von wo aus die Angreifer permanente Internet-Scans zur Identifizierung anfälliger Router durchführen. Hier kommen 69 Scripts zum Brute-Force-Knacken der Passwörter von 47 verschiedenen Routern und Firmware-Packages zur Verwendung. Dieses Modul nutzt außerdem ein Exploit, um das Authentifizierungsverfahren einiger Router zu umgehen und ihre DNS-Einstellungen zu ändern.
Die Netlab-Forscher konnten auf den Admin-Bereich dieses dritten Moduls zugreifen und ersahen daraus, dass PyPhp DNSChanger allein bereits über 62.000 Router infiziert hatte. Es schien außerdem einen API-Key der Geräte-Suchmaschine Shodan gestohlen zu haben und zu nutzen, um anfällige Router gezielter zu ermitteln.
Die Sicherheitsforscher von Netlab haben dem wachsenden Botnet den Namen GhostDNS gegeben und die betroffenen Finanzinsitute und ISPs hinsichtlich der Phishing-Weiterleitungen gewarnt. In einem Blogeintrag beschreiben sie die Methoden der Angreifer und listen die anfälligen Router auf.
[mit Material von Catalin Cimpanu, ZDNet.com]