Sie möchten wissen wer die Kontrolle über ihr eigenes Netzwerk hat, das können wir gut verstehen! Mit den Backdoor freien Produkten unseres Partners der Firma Rohde und Schwarz Cybersecurity, gehen Sie einen grossen Schritt in diese Richtung. Sie haben Fragen zum Thema Firewall, Plattenverschlüsselung oder sicherem Surfen, dann sprechen Sie uns an!
Ihr Team der
dalatias It Solutions
Die CIA ist offenbar seit geraumer Zeit dazu in der Lage, Router zu infizieren und als Abhörstation zu nutzen. Dies geht aus Dokumenten hervor, die aus dem Vault-7-Fundus von Wikileaks stammen. Mit dem aus zahlreichen Komponenten bestehenden Lauschprojekt Cherry Blossom kann die US-Behörde demnach eine trojanisierte Firmware auf den Routern von zehn Herstellern platzieren, die Befehle von einem Command-and-Control-Server entgegegennimmt. Die Rolle des infizierten Routers bezeichnen die Dokumente als FlyTrap (Fliegenfalle), der Server wird CherryTree (Kirschbaum) genannt. Im Cybercrime-Jargon wird eine solche Konstellation als Botnet bezeichnet.
Router hackt Rechner
Ein Auftrag an die FlyTrap könnte etwa lauten, den gesamten Netzwerkverkehr eines bestimmten Nutzers abzuschnorcheln oder gezielt Informationen wie Mail-Adressen, Usernamen oder VoIP-Rufnummern. Mit “Windex” könnten Ermittler zudem eine Umleitung einrichten, welche die Nutzer des Routers beim Surfen etwa auf einen angriffslustigen Server lotsen, der versucht, den Rechner durch das Ausnutzen von Sicherheitslücken zu infiltrieren. Die Kommunikation zwischen FlyTrap und CherryTree ist verschlüsselt und gut getarnt: Für Außenstehende sieht es so aus, als würde vom Anschluss des Überwachten eine Bilddatei (.ico) per HTTP-Get angefordert.
Einstieg durch Router-Lücken
Die Lausch-Firmware würde installiert, indem schwache Admin-Passwörter erraten und Sicherheitslücken ausgenutzt werden. Hier könnte die CIA aus dem Vollen schöpfen: Immer wieder werden kritische Router-Lücken bekannt, immer wieder lassen sich Hersteller viel Zeit damit, die Lücken zu schließen – sofern sie überhaupt reagieren. Das Handbuch der Nightshade-Tools zur Ausnutzung von Sicherheitslücken in Netzwerkgeräten wie Routern ist offenbar schon zehn Jahre alt. Zu dieser Zeit war die Situation mit den Router-Lücken noch viel dramatischer als heute.
In den Dokumenten zur Cherry Blossom werden Router etlicher Hersteller wie 3com, Asustek, Belkin, D-Link und Linksys aufgeführt. In der Tabelle ist angegeben, welche Remote-Management-Schnittstellen die einzelnen Modelle bieten – eine interessante Information für diejenigen, die nach Einstiegsmöglichkeiten suchen. Der hierzulande populäre Router-Hersteller AVM taucht in den Dokumenten nicht auf. Angesichts der Modellauswahl lässt sich vermuten, dass die CIA vor allem Geräte untersucht hat, die auf dem US-Markt verbreitet sind. Für einige Modelle hat die US-Behörde penibel dokumentiert, wie eine neue Firmware einspielt wird.
Router absichern
Der Umfang der geleakten Dokumente ist gewaltig, die vollständige Auswertung durch Sicherheitsexperten und Medien wird voraussichtlich noch eine gute Weile in Anspruch nehmen. Schon jetzt ist jedoch klar, dass die CIA offenbar einen beachtlichen Aufwand betrieben hat, um Router vieler Hersteller als Horchposten zu nutzen. Spätestens jetzt sollten Sie sicherstellen, dass der Router, mit dem Sie gerade diesen Artikel abgerufen haben, auf dem aktuellen Firmware-Stand ist und durch ein ausreichend sicheres Passwort geschützt ist.