Hacker öffnen SMB-Ports auf Routern und schleusen NSA-Malware ein

Die Router haben eine unsichere UPnP-Implementierung. Die nutzen Hacker, um Einträge in der NAT-Tabelle zu ändern und Geräte im Netzwerk per SMB anzusprechen. Akamai geht davon aus, dass anschließend der EternalBlue-Exploit zum Einsatz kommen soll.

Akamai weist darauf hin, dass Hacker derzeit versuchen, die Konfiguration von Heim- und Office-Routern zu verändern, um Verbindungen zum Netzwerk zu öffnen und zuvor nach außen abgeschirmte Computer mit Schadsoftware zu infizieren. Dabei soll eine als UPnProxy bezeichnete Technik zum Einsatz kommen, die erst seit April öffentlich bekannt ist. Schwachstellen im Universal-Plug-and-Play-Dienst (UPnP) werden benutzt, um die NAT-Tabellen zu verändern.

Router (Bild: Shutterstock/Georgii Shipin)NAT-Tabellen geben vor, wie sich IP-Adressen und Ports vom internen Netzwerk mit einem übergeordneten Netzwerk wie dem Internet verbinden. Bei den jetzt entdeckten Angriffen wird versucht, spezielle Regeln einzurichten, die es den Hackern erlauben, sich über die SMB-Ports 139 und 445 mit Geräten im internen Netzwerk zu verbinden.

Den Forschern von Akamai zufolge wurden von rund 277.000 Routern mit anfälligen UPnP-Diensten bereits 45.113 auf diese Art modifiziert. Die Manipulationen sollen auf das Konto eines einzelnen Hackers oder eine einzigen Gruppe von Hackern gehen. Über die rund 45.000 Router sollen die Cyberkriminellen Verbindungen zu rund 1.7 Millionen Geräten hergestellt haben.

Zu welchem Zweck die Geräte in den internen Netzwerken angegriffen wurden, konnte Akamai bisher nicht ermitteln. Das Unternehmen ist sich allerdings sehr sicher, dass dabei der NSA-Exploit EternalBlue zum Einsatz kommen soll. Eternal Blue war auch die Schwachstelle die zur Verbreitung der Erpressersoftware WannaCry und NotPetya eingesetzt wurde. Akamai vermutet zudem, dass die Hacker auch die Linux-Variante EternalRed einsetzen, um Samba-Server anzugreifen.

Allerdings geht Akamai nicht davon aus, dass die Angriffswelle von einem Nationalstaat unterstützt wird. „Neuere Scans deuten darauf hin, dass diese Angreifer opportunistisch vorgehen“, sagte Akamai. „Das Ziel hier ist kein gezielter Angriff. Es ist ein Versuch, bewährte Exploits zu nutzen, ein breites Netz in einen relativ kleinen Teich zu werfen, in der Hoffnung, einen Pool von bisher unzugänglichen Geräten zu finden.“

Anfällige Router können durch die Abschaltung des UPnP-Diensts oder eine Firmware-Update vor den als EternalSilence bezeichneten Angriffen geschützt werden. Steht kein Patch des Routerherstellers zur Verfügung und wird UPnP benötigt, bleibt nur der Wechsel zu einem anderen Router mit einer nicht unsicheren UPnP-Implementierung. Darüber hinaus beschreibt Akamai in seinem Untersuchungsbericht, wie sich schädliche Einträge aus einer NAT-Tabelle entfernen lassen.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Themenseiten: Akamai, Hacker, Router, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker öffnen SMB-Ports auf Routern und schleusen NSA-Malware ein

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *