CIA „Cherry Blossom“ und andere Router Malware

Router und Acces Points unter Attacke

| Autor / Redakteur: Moritz Jäger / Rainer Graefen

Die CIA hat seit mindestens 2007 ein Programm, das Router und WLAN Access Points hackt. Übernommene Systeme verfolgen definierte Ziele und schneiden automatisch deren Datenverkehr mit.
Die CIA hat seit mindestens 2007 ein Programm, das Router und WLAN Access Points hackt. Übernommene Systeme verfolgen definierte Ziele und schneiden automatisch deren Datenverkehr mit. (Bild: pixabay / CC0)

Wikileaks hat die nächste Runde der Vault 7 Dokumente veröffentlicht. Die „Cherry Blossom“-Dokumente zeigen umfangreiche Angriffsszenarien gegen Router und WLAN Access Points. Diese Attacken laufen seit mindestens 2007 – und die CIA ist nicht die einzige Gruppe, die es auf diese Geräte abgesehen hat.

Router dürften die wahrscheinlich am weitesten verbreiteten Netzwerkgeräte sein. Gerade im Consumer-Umfeld werden die Produkte aufgestellt, angeschlossen und anschließend vergessen. Das Einspielen von Updates oder Patches geschieht nur selten, andere Sicherheitsmaßnahmen wie das Ändern des Kennworts werden vielleicht bei der Einrichtung durchgeführt – wenn überhaupt. Entsprechend ist es kein Wunder, dass die CIA diese Geräte seit Jahren auf dem Kicker hat.

Mindestens seit 2007 läuft dort das Projekt „Cherry Blossom“, so Wikileaks in einer neuen Veröffentlichung im Rahmen des Vault 7 Projekts. Die Hacking-Experten der US-Regierung zielen auf WLAN Access Points und passende Router. Cherry Blossom umschreibt eine ganze Reihe von Werkzeugen, wie solche Geräte übernommen und von einem zentralen Verwaltungsserver, dem „Cherry Tree“, gesteuert werden können.

Eine zentrale Abteilung kann anschließend verfolgen, welche Geräte und Nutzer sich mit den infizierten Geräten (genannt „Fly Trap“) verbinden und so umfangreiche Bewegungsprofile anlegen. Die Fly Traps können den Datenverkehr belauschen und nach bestimmten Suchbegriffen suchen. Dazu gehören laut Wikileaks E-Mail-Adressen, Nutzernamen in Chats, MAC Adressen und sogar VOIP-Rufnummern. Wird ein Ziel entdeckt, kann der Datenverkehr automatisch mitgeschnitten und zu den Kontroll-Servern geschickt werden.

Betroffen sind Geräte von mindestens zehn Herstellern, darunter Asus, Netgear, Linksys oder D-Link. Cherry Blossom setzt für die Infektion stark auf die UPnP-Funktion. Wikileaks hat dabei keine Dateien oder gar Exploits veröffentlicht, verfügbar sind bislang die Handbücher.

Nicht die erste Attacke auf Router

Die CIA ist beim Thema Router-Hacks nicht alleine, aber wahrscheinlich am besten finanziert. Das Botnet Mirai etwa hatte unter anderem diese Geräte attackiert und sie über schlecht gesicherte Telnet-Zugänge infiziert.

Etwa zur gleichen Zeit machte die Malware „Switcher“ von sich reden. Dabei handelt es sich um eine Android-Malware, die es auf Router abgesehen hat. Sie versucht durch das Ausprobieren verschiedener Zugangsdaten auf die Admin-Oberfläche zu gelangen. Ist das erfolgreich, ändert die Malware die DNS-Daten. So können die Kriminellen Hintermänner die besuchten Seiten manipulieren oder Nutzer umleiten.

Diese Art von Attacke war bislang die gängigste im Router-Umfeld. Nicht nur Switcher, auch andere Malware wie Wifatch (2015) oder DNSChanger (2006, 2015 und 2016) haben es auf diese Funktion abgesehen.

Schutzmaßnahmen

Nahezu alle Attacken ziehen auf schwache Kennwörter oder offene Dienste wie etwa Telnet. Entsprechend sollte jeder, der einen Router besitzt, ein sicheres Kennwort für das Administrationsinterface vergeben. Parallel dazu sollten alle nicht genutzten Dienste deaktiviert werden – vor allem Telnet und UPnP. Vor allem der Zugriff aus dem Internet sollte nicht möglich sein.

Parallel dazu regelmäßig geprüft werden, ob eine neue Firmware für die Router vorliegt. Diese muss dann auch installiert werden. Zahlreiche Hersteller bieten etwa eine Benachrichtigung per E-Mail an. Übrigens gilt das auch für andere Geräte im Netzwerk,

* Diesen Beitrag haben wir von unserem Schwesterportal Security-Insider übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44747898 / Zugriffsschutz)