Wenn der Router teure SMS verschickt
Bestimmte TP-Link Router haben seit 2015 eine Schwachstelle, worüber sie gekapert und zum SMS-Versand ferngesteuert werden können.
Foto: TP-Link
Mindestens seit 2016 hatten Malwareproduzenten bestimmte TP-Link-Router für ein Botnet gekapert, das die dort eingebaute SMS-Funktion für einen illegalen SMS-Dienst missbrauchte. Das berichtet das Online-Magezin The Record.
Gekaperter Router schickt Massen-SMS
Bestimmte TP-Link Router haben seit 2015 eine Schwachstelle, worüber sie gekapert und zum SMS-Versand ferngesteuert werden können.
Foto: TP-Link
Jahrelang wurden diese infizierten Router zum Versenden von Wetttipps, Verifizierungscodes, Bestätigungen für Online-Zahlungen und Spenden sowie auch zum Senden kryptischer Nachrichten missbraucht, deren genaue Bedeutung Forscher noch nicht entschlüsseln konnten.
Die Existenz dieses Botnetzes wurde auf der Sicherheitskonferenz Virus Bulletin 2021 in einem Vortrag von den Acronis-Sicherheitsforschern Robert Neumann und Gergely Eberhardt von Search-Lab bekannt gegeben.
SMS-Botnet seit 2018 unter Beobachtung
In seinem Vortrag und in einem Interview mit The Record berichtete Neumann, schon im Mai 2018 begonnen zu haben, sich mit diesem Botnet zu beschäftigen. Auslöser war die Anfrage eines Kunden, der ihm einen gehackten 4G-fähigen Router brachte, der dem rechtmäßigen Besitzer eine Mega-Handy-Rechnung beschert hatte. Die Ursache waren eine Unmenge von ausgehenden SMS-Nachrichten, die über die in das Gerät eingelegte SIM-Karte versendet wurden.
Neumann brauchte drei Jahre, um das komplexe Netzwerk und dessen Funktion zu entwirren. Neumann sammelte Hinweise und Protokolle von mehreren Opfern, um die Angriffe und Operationen des Botnets zu rekonstruieren.
Betroffen: TP-Link MR6400 Router
Im ersten Schritt musste Neumann herausfinden, wie die Hacker eindringen konnten. Offenbar wurde eine schon 2015 bekannt gewordene Sicherheitslücke in den Routern genutzt, welche den Zugriff auf Dateien auf den TP-Link-Routern ohne vorherige Authentifizierung erlaubte.
Neumann konnte einen Exploit reproduzieren, der auf die LTE-Funktionen des Routers zuzugreifen konnte, die für den Versand von SMS-Nachrichten, das Lesen von Warteschlangen für eingehende und ausgehende SMS, das Sammeln von SIM-Lock-Informationen und das Ändern von LAN- und Zeiteinstellungen verantwortlich waren.
Zwar wurde die Schwachstelle in späteren Versionen der Firmware dieses Routermodells beseitigt, doch laut Neumann waren zu diesem Zeitpunkt schon Tausende von Geräte im Umlauf und online im Netz, von denen viele bis heute nicht gepatcht sind.
Am Anfang waren es harmlose Sportnachrichten
Wer auch immer die Schwachstelle zuerst im Jahr 2016 entdeckte, verschickte über ein Jahr Nachrichten zu Fußballthemen. Die Kosten der SMS landeten beim Routerbesitzer. Werbung für diesen "Dienst" im Netz fand Neumann nicht. Da aber gerne und viel SMS verschickt werden, dürfte es einen ziemlich großen Kundenstamm gegeben habe, der bereit war, für diesen Dienst zu zahlen, solange die Preise pro Nachricht noch unter den "offiziellen" Kosten für die offiziellen SMS-Gateways der Netzbetreiber und seriöser Anbieter lagen.
Wer hinter dem Botnet steckt, sei immer noch ein Rätsel. Das "Geflecht aus gehackten Routern" habe seinen Schöpfern "völlige Anonymität" geboten, sie mussten es nur für schnelles Geld vermarkten.
Botnet auf dem Rückzug?
Das Ausnutzen der Lücke habe nicht aufgehört, scheint aber im Vergleich zu seinem Höhepunkt im Jahr 2018 stark zurückgegangen zu sein", fand Neumann heraus. Ursache könnte ein mangelndes Interesse bei den Cyberkriminellen und die Aktualisierung der Firmware des Geräts gewesen sein. Außerdem bieten bestimmte Mobilfunkanbieter auf ausdrücklichen Wunsch SMS-Versandsperren an. Andere Anbieter haben längst SMS-Flatrates, die allerdings nicht für den Massenversand von SMS genutzt werden dürfen. Bleiben die Mengen aber in einem (unbekannten) Rahmen, könnte es durchaus sein, dass der Hack weiter unbemerkt möglich bleibt.
Wer statt SMS lieber eine E-Mail verschicken will: Wir stellen verschiedene Freemail-Anbieter vor.