Hacker öffnen SMB-Ports auf Routern und schleusen NSA-Malware ein

Akamai weist darauf hin, dass Hacker derzeit versuchen, die Konfiguration von Heim- und Office-Routern zu verändern, um Verbindungen zum Netzwerk zu öffnen und zuvor nach außen abgeschirmte Computer mit Schadsoftware zu infizieren. Dabei soll eine als UPnProxy bezeichnete Technik zum Einsatz kommen, die erst seit April öffentlich bekannt ist. Schwachstellen im Universal-Plug-and-Play-Dienst (UPnP) werden benutzt, um die NAT-Tabellen zu verändern.

NAT-Tabellen geben vor, wie sich IP-Adressen und Ports vom internen Netzwerk mit einem übergeordneten Netzwerk wie dem Internet verbinden. Bei den jetzt entdeckten Angriffen wird versucht, spezielle Regeln einzurichten, die es den Hackern erlauben, sich über die SMB-Ports 139 und 445 mit Geräten im internen Netzwerk zu verbinden.

Den Forschern von Akamai zufolge wurden von rund 277.000 Routern mit anfälligen UPnP-Diensten bereits 45.113 auf diese Art modifiziert. Die Manipulationen sollen auf das Konto eines einzelnen Hackers oder eine einzigen Gruppe von Hackern gehen. Über die rund 45.000 Router sollen die Cyberkriminellen Verbindungen zu rund 1.7 Millionen Geräten hergestellt haben.

Zu welchem Zweck die Geräte in den internen Netzwerken angegriffen wurden, konnte Akamai bisher nicht ermitteln. Das Unternehmen ist sich allerdings sehr sicher, dass dabei der NSA-Exploit EternalBlue zum Einsatz kommen soll. Eternal Blue war auch die Schwachstelle die zur Verbreitung der Erpressersoftware WannaCry und NotPetya eingesetzt wurde. Akamai vermutet zudem, dass die Hacker auch die Linux-Variante EternalRed einsetzen, um Samba-Server anzugreifen.

Allerdings geht Akamai nicht davon aus, dass die Angriffswelle von einem Nationalstaat unterstützt wird. „Neuere Scans deuten darauf hin, dass diese Angreifer opportunistisch vorgehen“, sagte Akamai. „Das Ziel hier ist kein gezielter Angriff. Es ist ein Versuch, bewährte Exploits zu nutzen, ein breites Netz in einen relativ kleinen Teich zu werfen, in der Hoffnung, einen Pool von bisher unzugänglichen Geräten zu finden.“

Anfällige Router können durch die Abschaltung des UPnP-Diensts oder eine Firmware-Update vor den als EternalSilence bezeichneten Angriffen geschützt werden. Steht kein Patch des Routerherstellers zur Verfügung und wird UPnP benötigt, bleibt nur der Wechsel zu einem anderen Router mit einer nicht unsicheren UPnP-Implementierung. Darüber hinaus beschreibt Akamai in seinem Untersuchungsbericht, wie sich schädliche Einträge aus einer NAT-Tabelle entfernen lassen.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sicherheitslücken im Linux-Kernel entdeckt

Russische Forscher haben Sicherheitslücken im Linux-Kernel entdeckt und bereits behoben. Linux-Admins sollten schleunigst den Patch…

41 Minuten ago

Microsoft Exchange Server von chinesischen Hackern bedroht

Eine chinesische Hackergruppe namens Hafnium nutzt Sicherheitslücken im Microsoft Exchange planmäßig aus. Microsoft rät Kunden…

4 Stunden ago

Microsoft kündigt Windows Server 2022 an

Microsoft hat auf der Konferenz Ignite am 2. März 2021 neue Funktionen für den Windows…

1 Tag ago

Cyber-Versicherung: Munich Re kooperiert mit Google Cloud und Allianz

Die neue Kooperation von Munich Re mit Google Cloud und Allianz Global Corporate & Specialty…

1 Tag ago

Zero Trust – Jenseits der Mythen

Zero Trust, also niemandem und keinem Netzwerk oder Gerät vertrauen, klingt zunächst geheimnisvoll. Aber in…

2 Tagen ago

Rechtslage in Sachen Datenschutz mit UK unübersichtlich

Der Austritt Großbritanniens aus der EU hat den Handelsverkehr auf beiden Seiten massiv beeinträchtigt. Unklar…

2 Tagen ago