Benutzer von Tomatenroutern werden aufgefordert, Kennwörter zu stärken, da sie sonst von Hackern verletzt werden könnten

Bestimmte Cyber-kriminelle Aktivitäten sind maßstäblich. Wenn Sie beispielsweise mit Hilfe einer Cryptojacking-Kampagne einen bemerkenswerten DDoS-Angriff starten, große Mengen an Spam senden oder eine Brieftasche voller Bitcoins generieren möchten, benötigen Sie viel Hardware. Hier kommen Botnets ins Spiel.

Ein Botnetz ist ein Netzwerk aus Servern, Computern und IoT-Geräten, auf die Hacker zugreifen und die sie steuern können, ohne dass dies ihren Eigentümern bekannt ist. Kompromittierte Endpunkte bieten Hackern nicht nur die Möglichkeit, Angriffe in großem Umfang auszulösen, sondern bieten ihnen auch die Möglichkeit, ihre Spuren zu verwischen, weshalb Botnets manchmal sogar in anspruchsvollen Spyware-Kampagnen verwendet werden. Standardmäßig kann ein Botnetz niemals groß genug sein, und Gauner versuchen ständig, ihre Netzwerke aus gehackten Geräten zu erweitern. Kürzlich haben uns zum Beispiel Forscher der Abteilung 42 von Palo Alto Networks berichtet, wie die Betreiber des Muhstik-Botnetzes versuchen, dem Netzwerk neue Bots hinzuzufügen.

Das Muhstik-Botnetz sucht nach WLAN-Routern, die auf der Tomato-Firmware ausgeführt werden

Das Muhstik-Botnetz gibt es seit März 2018, und die Forscher von Palo Alto Networks haben mehr als nur wenige Begegnungen damit gehabt. Es ist dafür bekannt, Linux- und WebLogic-Server mit WordPress- und Drupal-Installationen zu kompromittieren, und im Mai 2018 soll es versucht haben, eine Sicherheitslücke in GPON-Heimroutern auszunutzen. Der Command and Control Server (C & C) steuert die Bots über einen IRC-Kanal und verwendet sie bisher hauptsächlich, um DDoS-Angriffe zu starten und Kryptowährung abzubauen.

Anfang Dezember stellten die Forscher von Palo Alto Networks fest, dass die Hacker das Botnetz aktualisiert haben. Es gibt jetzt ein zusätzliches Modul, das speziell für Wi-Fi-Router entwickelt wurde, auf denen die Tomato-Firmware ausgeführt wird.

Tomato ist eine Open-Source-Firmware für Heimrouter, die leistungsfähiger und benutzerfreundlicher sein soll als die Konkurrenz. Es wurde 2006 erstmals veröffentlicht und steht sowohl Anbietern als auch Endbenutzern völlig kostenlos zur Verfügung. Die Experten von Palo Alto Networks haben mithilfe der Shodan-Suchmaschine festgestellt, dass derzeit rund 4.600 Router auf Tomatenbasis dem Internet ausgesetzt sind. Dies scheint keine besonders große Zahl zu sein, aber die Betreiber von Muhstik haben eindeutig entschieden, dass sich der zusätzliche Aufwand lohnt. Aber was können wir tun, um sie aufzuhalten?

Standardanmeldeinformationen machen Benutzer anfällig

Der Bericht von Palo Alto Networks endet mit der Warnung, dass "Endbenutzer bei der Installation von Open Source-Firmware vorsichtig sein sollten". Das ist definitiv wahr. Von der Community entwickelte Projekte erhalten Sicherheits- und Zuverlässigkeitsupdates nicht immer rechtzeitig und können manchmal riesige Lücken öffnen, die Hacker leicht ausnutzen können. In der Tat hat die Originalversion der Tomato-Firmware seit fast einem Jahrzehnt keine stabile Version mehr, was für sich spricht. In diesem speziellen Fall sind Tomatos Open-Source-Charakter und sein Alter jedoch nicht die Hauptprobleme.

Standardmäßig greifen Benutzer mit "root" oder "admin" als Benutzernamen auf ihre Tomato-Router zu. Das Standardkennwort ist in beiden Fällen "admin". Dies sind die Anmeldeinformationen, mit denen das Muhstik-Botnetz jeden gefundenen Tomato-Router gefährdet.

Verschiedene Hersteller bieten unterschiedliche grafische Benutzeroberflächen an, sodass es keine einzige schrittweise Anleitung zum Ändern des Standardkennworts für alle Tomato-basierten Router gibt. Sie alle bieten jedoch eine Möglichkeit, dies zu tun, und die Betreiber von Muhstik jagen Benutzern nach, die sich nicht die Mühe gemacht haben, es zu benutzen. Die Geschichte lehrt uns, dass sie sich auch nicht gerade an Strohhalme klammern.

Standardanmeldeinformationen sind leicht erhältlich, und das Erzwingen von Brute-Forces ist nicht mit einer großen Anzahl von Anmeldeversuchen verbunden, was bedeutet, dass die Chancen, Verdacht zu erregen, gering sind. Deshalb lieben Hacker diese spezielle Methode, um die Geräte von Menschen zu infizieren.

Benutzer müssen wissen, dass die Geräte, die sie mit dem Internet verbinden, niemals durch die auf der Verpackung oder der Unterseite des Geräts aufgedruckten Benutzernamen und Kennwörter geschützt werden dürfen. Je früher sie es tun, desto besser.