Die Geschichte von tausendundeinem DSL-Modem

Die Geschichte von tausendundeinem DSL-Modem

Einleitung

Das ist die Beschreibung einer Attacke, die seit dem Jahr 2011 in Brasilien durchgeführt wird – unter Ausnutzung einer Firmware-Schwachstelle und unter Verwendung von 2 schädlichen Skripten und 40 DNS-Servern – die 6 Hardware-Hersteller betrifft und in Folge derer Millionen von brasilianischen Internet-Nutzern Opfer eines anhaltenden und verborgenen Massenangriffs auf DSL-Modems wurden.

Wir beschreiben, wie Cyberkriminelle eine unbemerkte Sicherheitslücke ausnutzten, die tausende von veralteten DSL-Modems im ganzen Land betraf. So wurden von den Angreifern Netzwerk-Geräte von Millionen von Heim- und Unternehmensnutzern erreicht, und Malware sowie schädliche Redirects im Laufe mehrerer Monate verbreitet. Dieses Szenario wurde durch die Nachlässigkeit von ISPs, durch Pfusch seitens der Hardwarehersteller sowie durch wenig aufgeklärte Nutzer und die Gleichgültigkeit von offizieller Seite nur weiter befeuert.

Wenn Sie meinen, es wäre eine große Herausforderung gewesen, die betroffenen Geräte von dieser DNS Changer-Malware zu reinigen, so stellen Sie sich vor, wie es wäre, mit all den von dieser Attacke betroffenen 4,5 Millionen Modems zu tun zu haben – und alle stehen sie im schönen, sonnigen Brasilien.

Eine Firmware-Schwachstelle

Allzu häufig werden Netzwerk-Equipment-Geräte vergessen – einmal installiert und konfiguriert kümmern sich die meisten Nutzer und Firmen nicht mehr darum, die von den Herstellern bereitgestellten Updates zu installieren. Selbst der kleinste Defekt kann tausende von Usern betreffen, die heimlich angegriffen werden und daraufhin unbeabsichtigt Malware installieren oder auf Phishing-Sites gelotst werden. Wie von der Analystin Marta Janus beschrieben, werden DSL-Modems von verschiedenen Malware-Arten angegriffen, in der Regel Linux-basierter, oder im Rahmen von Attacken mit CSRF-Flaws, UPnP- und SNMP-Fehlkonfigurationen oder selbst durch komplexes Drive-by-Pharming.

Verblüffenderweise wird diese Art von Attacken nicht nur weitestgehend von den Usern ignoriert, sondern auch die Sicherheits-Community selbst schenkt diesem Problem wenig Beachtung. Überall wird man darauf hingewiesen, wie wichtig die Installation von Sicherheitspatches für Betriebssysteme ist, aber nur selten macht jemand auf die Notwendigkeit aufmerksam, die Firmware des DSL-Modems zu aktualisieren.

Ohne großes Trara wurde im März 2011 eine Sicherheitslücke aufgedeckt, die einen Fehler in einem spezifischen Modem offenbarte. Der Fehler ermöglichte Remote-Zugriff auf ein DSL-Modem. Niemand weiß genau, wann Cyberkriminelle begannen, sie entfernt auszunutzen. Die Lücke ermöglicht einen Cross Site Request Forgery (CSRF), der im Administration-Panel des DSL-Modem umgesetzt wird, wobei das auf dem Gerät festgelegte Passwort gekapert wird und der Angreifer die Möglichkeit erhält, Veränderungen – normalerweise in den DNS-Servern – vorzunehmen.

Abb. 1: Im März 2011 auf exploit-db.com veröffentlichtes Exploit

Selbst wenn Sie auf dem Gerät ein starkes Passwort konfiguriert haben, ermöglicht der Fehler es Angreifern, auf das Kontrollpaneel zuzugreifen, das Passwort zu stehlen, sich auf dem Gerät einzuloggen und Veränderungen vorzunehmen.

Abb. 2: Admininistrationspaneel eines angreifbaren Modems, auf das entfernt zugegriffen wird

Es scheint, als läge das Problem nicht an einem bestimmten Modell oder einem bestimmten Hersteller, sondern an dem Chipsatztreiber, der die Hauptfunktionen des Equipments ausführt, und von den Modemherstellern zugekauft und in den Produkten verwendet wird. Alle betroffenen Geräte haben einen Broadcom-Chipsatz gemein, der von vielen Herstellern verwendet wird, unter anderem in Modems, die von der Nationalen Telekommunikationsbehörde der brasilianischen Regierung benutzt und in Brasilien verkauft werden. Interessanterweise haben nicht alle Geräte, die Broadcom-Chips verwenden, dieses Problem, aber es gibt keine exakten Daten darüber, welche Versionen und welches Equipment betroffen sind. Das wiederum liegt an den Informationen der Hersteller.

Administrationspaneel eines kompromittierten Modems, das einen Passwortwechsel erlaubt

Zwei schädliche Skripte

Die Attacke war recht simpel. Die Online-Gangster durchforsteten das Internet auf der Suche nach ungeschützten Modems im Netzwerk.

Die Angreifer setzten zwei Bash-Skripte ein, die auf einem eigens zu diesem Zwecke erworbenen Server ausgeführt wurden. Eine Reihe von IPs wurde zum Scannen und Überprüfen durch das Skript ausgewählt. Immer wenn ein Modem gefunden wurde, wurde versucht, den Fehler auszunutzen.

Abb. 4: Bei den Attacken verwendetes Skript

Daraufhin führt ein anderes Skript mit der Bezeichnung „roda.sh“ das Modem aus und greift darauf zu. Die Sicherheitslücke deckt das Administrationspasswort des Modems auf. Nachdem das Skript das Passwort gestohlen hat, greift es auf das Administrationspaneel des Modems zu, ändert die Konfiguration des Domain Name Systems (DNS) und ändert das Passwort, um zu verhindern, dass der Besitzer des Gerätes es später noch ändern kann.

Abb 5: Bash-Skript zur Ausnutzung des CSRF-Fehlers und nderung der DNS-Einstellungen

Um den Angriff zu automatisieren, legten die Kriminellen ein breites Spektrum an IPs fest, die überprüft werden sollten:

Abb. 6: Auszug aus einer langen Liste von IPs, die überprüft werden sollten

6 Hardware-Hersteller

Es wurden Attacken auf die DSL-Modems von 6 Anbietern verzeichnet. Fünf von ihnen sind in Brasilien weit verbreitet, und einige gehören zu den am häufigsten verkauften Modellen.

Die Situation wird noch durch die Tatsache verkompliziert, dass viele Modems selbst ohne Sicherheitslücke mit einem Standard-Passwort ausgeliefert werden, das öffentlich bekannt ist, und viele Nutzer es versäumen, die Werkseinstellungen zu ändern. Andere Modems bauen eine Verbindung auf, wenn lokale ISPs entfernte Zugriffs-Accounts aktivieren, meist für den technischen Support, und diese Daten kennen die Cyberkriminellen.

Erschwerend kommt hinzu, dass einige Hersteller auch dann nicht reagieren, wenn sie bereits über diese Probleme in Kenntnis gesetzt wurden. So sind die Nutzer den Angriffen schutzlos ausgeliefert, da die Unternehmen nur sehr schleppend die notwendigen Firmware-Upgrades herausbringen, um das Problem zu lösen.

Anatel, Brasiliens nationales Telekommunikationsamt, ist die Regierungsbehörde, die die Netzwerkgeräte prüft, bevor sie für den Verkauf und den Einsatz durch lokale ISPs freigegeben werden. Allerdings überprüfen die Tests lediglich die Funktionsfähigkeit der Geräte, Sicherheitsmaßnahmen werden im Rahmen der Überprüfung aber nicht eingeführt. So können die lokalen ISPs die DSL-Modems anbieten, die sie möchten – typischerweise ältere, billigere Modelle mit angreifbarer Firmware.

Es wurden Attacken auf alle großen brasilianischen ISPs registriert. Durchschnittlich hat ein großer ISP zwischen 3 und 4 Millionen Kunden, und wie bekannt wurde, wurden bis zu 50% der Kunden mancher Provider Opfer dieser Angriffe.

ISP Kunden im Jahr 2012
Oi 5,3 Millionen
Net 4,8 Millionen
Telefonica 3,7 Millionen
GVT 1,7 Millionen

Grte brasilianische ISPs laut Teleco.com.br

Die Nachlässigkeit der Hersteller, die mangelnde Sorgfalt der ISPs und die Ignoranz der offiziellen staatlichen Stellen bilden einen perfekten Nährboden für die Angriffe der Cyberkriminellen.

40 schädliche DNS-Server

Damit die Attacken effizient sind, haben Cyberkriminelle in Brasilien um die 40 schädliche DNS-Server bei verschiedenen Hosting-Services registriert. Die meisten befanden sich außerhalb von Brasilien.

Liste mit 35 schädlichen DNS-Servern – zur Durchführung der Attacke wurden 40 registriert

Wir registrierten Angriffe, bei denen nur der primäre DNS-Server des Gerätes geändert wurde und der sekundäre DNS-Server des ISP konfiguriert blieb bzw. Googles Public DNS verwendet wurde. Die Kriminellen aktivierten den primären DNS-Server nur für einige Augenblicke pro Tag, zu bestimmten Zeiten.

Auf diese Weise konnten die Angreifer den Traffic kontrollieren und dafür sorgen, dass die großangelegte Attacke unbemerkt verlief und kein Verdacht aufkam.

Einmal auf den Geräten konfiguriert, leitete der schädliche DNS-Server die Opfer auf Server um, auf denen BIND lief, mit den Input-Types „SOA“ und „A“, wo verschiedene Domains gehostet wurden, die gefälschte Seiten von brasilianischen Banken unterhielten. Andere Gauner nutzten die Umleitungen aus, um Schadprogramme auf den Rechnern der Opfer zu installieren.

4,5 Millionen kompromittierte Modems

Im März 2012 berichtete CERT Brasilien, dass die Angreifer ungefähr 4,5 Millionen Modems kompromittiert hätten. Diese Situation veranlasste Banken, Internetprovider, Hardware-Hersteller und Regierungsbehörden zu einem Treffen, um eine Lösung des Problems zu diskutieren.

Es reichte nicht aus, einfach den Missbrauch der bei der Attacke verwendeten schädlichen DNS-Server zu melden – bei tausenden betroffenen Nutzern mit kompromittierten Geräten hätten diese den Technischen Support der Call Center der Unternehmen mit Anfragen überschwemmt und eine Lösung des Problems gefordert.

Einige Hersteller boten daraufhin Updates für die Modem-Firmware an, die das Problem lösten – insbesondere die Nutzer der populärsten Modelle begannen, sich bei den ISPs zu beschweren und ein Firmware-Update zu fordern, während die Banken die schädlichen DNS-Server identifizierten. Trotz alledem meldete CERT Brasilien im März 2012 insgesamt 300.000 Modems, die noch immer von den Angreifern kompromittiert wurden.

Das Hauptziel der Angreifer bestand – wie immer im Fall der brasilianischen Cyberkriminalität – im Diebstahl von Online-Banking-Daten der Opfer. Um dieses Ziel zu erreichen, machen die Verbrecher vor nichts Halt, sie leiten die Opfer auf gefälschte Banking-Seiten um oder sie bringen die Nutzer dazu, Malware zu installieren, indem sie Kopien populärer Websites, wie z.B. Google, Facebook und Orkut erstellen.

Trend Micro veröffentlichte kürzlich einen Blog, in dem die Experten genau dieselbe Attacke beschreiben, allerdings mit dem Hinweis, dass ein entscheidendes Puzzleteil fehlt:

„Während wir nun ein vollständiges Bild dieser bestimmten Attacke zeichnen können, handelt es sich bei dem fehlenden Teilchen um dieselbe Sache, die dazu beigetragen hat, dass wir diese Malware unter den Millionen von Daten, die unsere Bedrohungsradare liefern, identifizieren konnten – wie ist es möglich, die Nutzer, die eine normale Website, wie etwa Facebook oder Google aufrufen, zu einer schädlichen IP umzuleiten, um von dort Malware herunterzuladen. Wir setzen unsere Ermittlungen in diesem Fall fort …”

Bei dem fehlenden Teil handelt es sich exakt um das kompromittierte DSL-Modem und die schädlichen DNS-Server, die darauf konfiguriert und für die Umleitung der Opfer verantwortlich sind, wenn diese auf populäre Websites zugreifen, und die die Installation eines Trojaners über anscheinend legitime URL ermöglichen:

  • http://www.google.com.br/css5/exploit.jar
  • http://www.google.com.br/css5/XAE.jar
  • http://www.google.com.br/k.jar
  • http://www.google.com.br/Google_setup.exe
  • http://www.baixaki.com.br/css5/exploit.jar
  • http://www.baixaki.com.br/css5/XAE.jar
  • http://www.facebook.com/css5/exploit.jar
  • http://www.facebook.com/FaceBook_Complemento.exe
  • http://www.terra.com.br/css5/exploit.jar
  • http://www.terra.com.br/css5/XAE.jar
  • http://www.ig.com.br/css5/exploit.jar
  • http://www.ig.com.br/css5/XAE.jar
  • http://www.uol.com.br/css5/exploit.jar
  • http://www.uol.com.br/css5/XAE.jar
  • http://www.buscape.com.br/css5/exploit.jar
  • http://www.buscape.com.br/css5/XAE.jar
  • http://www.clicrbs.com.br/css5/exploit.jar
  • http://www.mercadolivre.com.br/css5/exploit.jar
  • http://www.mercadolivre.com.br/css5/XAE.jar

Abb. 7: Verhalten eines kompromittierten Modems. Die Meldung auf Deutsch: „Installieren Sie jetzt die neue Facebook App

In einigen Attacken wurden neuere Java Exploits verwendet, um die Opfer automatisch oder via Drive-by-Download-Attacken zu infizieren:

Abb. 8: Google oder Orkut fordern den Nutzer auf, ein Java-Applet auszuführen? Nein, es ist der in dem Modem konfigurierte schädliche DNS-Server

Die Verbreitung dieser Exploits war natürlich auf Brasilien beschränkt. Als Beispiel haben wir Exploit.Java.CVE-2010-4452.a ausgewählt, das in diesen Attacken im Mai 2011 verwendet wurde. Am ersten Tag der Attacke registrierten wir mehr als 800 infizierte Nutzer:

Abb. 9: Zahl der mit nur einem Exploit infizierten Computer: Sie befinden sich ausnahmslos in Brasilien

Einer der bei der Attacke verwendeten DNS-Server wurde feindlich übernommen und die Behörden griffen darauf zu. Er enthielt Protokolle, in denen die Cyberverbrecher die Zahl der Opfer dokumentierten. Eines der Protokolle enthielt mehr als 14 000 Opfer:

Abb. 10: Ein Protokoll nur eines Servers zeigt 14 000 infizierte Rechner an

Fazit

Was können Anwender dagegen tun, einer solchen Attacke zum Opfer zu fallen? Marta hat in ihrem Artikel bereits die notwendigen Ratschläge gegeben: Nutzer sollten darauf achten, starke Kennwörter zu verwenden, ihre Sicherheitseinstellungen zu kontrollieren und regelmäßig Updates ihrer Firmware sowie jeder relevanten Software durchzuführen. Dies sind zurzeit die einzigen Vorkehrungen, die Sie selbst wirklich treffen können. Alles andere liegt voll und ganz in den Händen der Entwickler, das heißt den einzigen, die den Aufbau der Geräte ändern können.

Kaspersky detektiert das schädliche Skript als HackTool.Shell.ChDNS.a.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.