Trojaner entdeckt

Hacker greifen Router an

Von Dirk Jacquemien

29.6.2022

Auch Router müssen oft mit Sicherheitsupdates versorgt werden.
Auch Router müssen oft mit Sicherheits-Updates versorgt werden.
Getty Images

Heim-Router sind oftmals ein leichtes Ziel für Hacker*innen. Deshalb hat es eine staatliche kontrollierte Gruppe nun auf sie abgesehen.

Von Dirk Jacquemien

29.6.2022

Eine mutmassliche staatliche Hackergruppe hat es auf heimische Router abgesehen, wie Sicherheitsforscher*innen von Lumen enthüllt haben. Heim-Router sind generell ein einladendes Ziel, denn sehr viele Nutzer*innen führen nur unregelmässig bis gar nie Updates durch. Sicherheitslücken bleiben deshalb lange Zeit ungeschlossen und machen Hacker*innen die Arbeit einfach.

Das durch Corona eingeleitete Homeoffice-Zeitalter hat die Attraktivität von Angriffen auf Heim-Router noch einmal erhöht, da über sie mit schöner Regelmässigkeit auch etwa sensible Unternehmensdaten geleitet werden. Hat man die Kontrolle über den Router, ist es dann auch nur noch ein kleiner Schritt, um auch die Kontrolle über die verbundenen Geräte zu übernehmen.

Angriff in mehreren Wellen

Der von Lumen entdeckte Trojaner names «ZuoRAT» wurde gegen Router zahlreicher Hersteller, darunter Asus, Cisco und Netgear, eingesetzt. Der Trojaner führt dabei einen Angriff in mehreren Wellen durch.

Nachdem der Router übernommen worden ist, kann der Webverkehr gesteuert werden. Durch das so genannte DNS-Hijacking können Opfer auf gefälschte Websites umgeleitet werden, ohne dass dies für sie ersichtlich ist. Ein Opfer, das beispielsweise denkt, es würde gerade die neuste Version des Chrome-Browsers von der offiziellen Website laden, fängt sich so eine weitere Malware auf seinem Laptop ein.

So wird dann auch noch der Diebstahl von auf dem Laptop gespeicherten Daten ermöglicht, und sollte dieser wieder auf die Arbeitsstelle mitgenommen werden, kann dann direkt auch noch das Firmennetzwerk angegriffen werden.

Kleine Zahl von Opfern im Visier

Laut Lumen war ZuoRAT seit Oktober 2020 in Nordamerika und Europa aktiv. Einen Urheber benannte Lumen nicht, vermutet allerdings einen staatlich kontrollierten Akteur. Einige zur Steuerung der Trojaner verwendete Server befinden sich offenbar in China. Ob unter den Opfern auch Schweizer sind, ging aus der Meldung nicht hervor.