Das FBI hat diese Woche gewarnt, dass vom russischen Staat unterstützte Hacker „kompromittierte“ Router nutzen, um sich in die Computer von Menschen einzuschleichen.
Nach Angaben des FBI wurden die Router von Einzelpersonen und Unternehmen heimlich für Cyberkriminalität genutzt, mit dem Ziel, auf Netzwerke der US-Regierung zuzugreifen.
In einer gemeinsamen Erklärung mit der National Security Agency (NSA), dem US Cyber Command und den Geheimdiensten von zehn anderen Ländern forderte das FBI jeden, der die betroffenen Router nutzt, auf, bestimmte Vorsichtsmaßnahmen zu treffen, um den Diebstahl seiner Daten zu verhindern.
Bei den betreffenden Routern handelt es sich um Ubiquiti EdgeRouter. Zu den Vorsichtsmaßnahmen, die weiter unten in diesem Artikel beschrieben werden, gehören das Zurücksetzen von Passwörtern und das Zurücksetzen der Hardware auf die Werkseinstellungen.
Da diese Router ab Werk mit laxen Sicherheitseinstellungen ausgestattet seien, seien sie besonders anfällig für Cyberangriffe, hieß es in der Mitteilung des FBI.
Hacker können ein sogenanntes „Botnet“ aufbauen
Und aufgrund ihres erschwinglichen Preises – 59 US-Dollar für das günstigste Modell des Unternehmens – sind sie häufig für den Heim- und Bürogebrauch geeignet.
„Ubiquiti EdgeRouter verfügen über ein benutzerfreundliches, Linux-basiertes Betriebssystem, das sie sowohl bei Verbrauchern als auch bei böswilligen Cyber-Akteuren beliebt macht“, schrieb das FBI in der gemeinsamen Erklärung.
„EdgeRouter werden häufig mit Standardanmeldeinformationen und nur eingeschränktem oder gar keinem Firewall-Schutz ausgeliefert, um Wireless Internet Service Providers (WISPs) zu unterstützen.“
Darüber hinaus aktualisieren EdgeRouter die Firmware nicht automatisch, es sei denn, ein Verbraucher konfiguriert sie dafür.“
Diese Router waren heimlich in ein Botnetz eingebunden worden und machten die Computer von Privatpersonen und Unternehmen zu unwissenden Komplizen bei Cyberkriminalität im Zusammenhang mit Spearphishing.
Diese gezielten Angriffe zielen darauf ab, Anmeldedaten, häufig von Regierungsmitarbeitern, zu stehlen, um Zugang zu sicheren Netzwerken zu erhalten.
Bei einem Spearphishing-Angriff wird eine bestimmte Person ins Visier genommen.
Dem Opfer kann von einer häufig genutzten Website eine legitim aussehende E-Mail gesendet werden. In Spearphishing-E-Mails werden sie beispielsweise aufgefordert, ihr Passwort bei Amazon zu aktualisieren oder ihre Zahlungsmethode für Netflix zu ändern.
Doch wenn sie auf den Link klicken, werden sie auf eine gefälschte Website weitergeleitet – die genauso aussieht wie die echte.
Wenn das Ziel seinen Benutzernamen und sein Passwort eingibt, wird es möglicherweise tatsächlich auf die echte Website weitergeleitet.
Doch ihre persönlichen Daten gehören jetzt den Hackern.
Das FBI und andere US-Strafverfolgungsbehörden behaupteten, sie hätten Mitte Februar einen von Russland unterstützten Botnet-Angriff vereitelt, warnten jedoch, dass die beteiligte Gruppe, unter anderem unter dem Namen APT28 bekannt, immer noch sehr aktiv sei.
Nach Angaben des FBI wurde das Botnetz, das diese Spearphishing-Landeplätze beherbergte, von der Hauptnachrichtendirektion des Generalstabs (GRU) der Russischen Föderation kontrolliert.
Großes Leck enthüllt, wie der Staat Dissidenten im Ausland überwacht, Cyberangriffe auf andere Länder startet und Propaganda in sozialen Medien nutzt.
Als Reaktion auf die Nachricht von den Leaks behauptete der Sprecher des chinesischen Außenministeriums, Mao Ning, dass die USA seit langem daran arbeiten, die kritische Infrastruktur des Landes zu gefährden. Sie forderte, dass die USA „aufhören sollten, Cybersicherheitsthemen dazu zu nutzen, andere Länder zu verleumden“.
Konkret vermutete die Behörde die GRU-Militäreinheit 26165 – auch bekannt als APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear und Sednit.
Wenn ein EdgeRouter kompromittiert ist, wird durch einen Neustart keine Malware entfernt, warnte die Bundesstrafverfolgungsbehörde.
Für jeden, der einen Ubuquiti EdgeRouter besitzt, werden die folgenden Schritte empfohlen, um sicherzustellen, dass Ihr Gerät sicher ist:
- Führen Sie einen Hardware-Zurücksetzen auf die Werkseinstellungen durch, um die Dateisysteme von schädlichen Dateien zu befreien.
- Aktualisieren Sie auf die neueste Firmware-Version.
- Ändern Sie alle Standardbenutzernamen und Passwörter.
- Implementieren Sie strategische Firewall-Regeln für WAN-seitige Schnittstellen, um die unerwünschte Offenlegung von Remote-Management-Diensten zu verhindern.
„Darüber hinaus sollten alle Netzwerkbesitzer ihre Betriebssysteme, Software und Firmware auf dem neuesten Stand halten“, riet das FBI. „Rechtzeitiges Patchen ist einer der effizientesten und kostengünstigsten Schritte, die ein Unternehmen ergreifen kann, um seine Gefährdung durch Cybersicherheitsbedrohungen zu minimieren.“
Mitte Februar gab das FBI bekannt, dass es ein von der GRU kontrolliertes russisches Botnetz gestört habe.
Mithilfe eines Netzwerks aus Hunderten Routern hatte die GRU-Militäreinheit 26165 verschiedene Cyberkriminalität verheimlicht und gestartet.
„Zu diesen Verbrechen gehörten umfangreiche Spearphishing- und ähnliche Kampagnen zum Sammeln von Anmeldeinformationen gegen Ziele, die für die russische Regierung von geheimdienstlichem Interesse sind, etwa US-amerikanische und ausländische Regierungen sowie Militär-, Sicherheits- und Unternehmensorganisationen“, behauptete das FBI damals in einer Ankündigung.