Angriffe auf DrayTrec-Router gefährden Firmennetze

Aktuell greift eine unbekannte Hackergruppe DrayTrec-Router und VPNs, die häufig in Firmen eingesetzt werden, an. Hier ein paar Informationen, was aktuell bekannt ist.

Ich bin sowohl auf Twitter als auch über diesen The Hacker News-Artikel auf dieses Thema aufmerksam geworden.

NEW: A mysterious hacker group is eavesdropping on corporate email and FTP traffic

– Attacks target DrayTek enterprise routers / VPN gateways
– Hackers deploy script for recording port 21, 25, 110, 143 traffic
– Script exfils logged traffic 3 times/weekhttps://t.co/pJVY8KqVhl pic.twitter.com/rv9ydz4LHz

— Catalin Cimpanu (@campuscodi) March 28, 2020

Sicherheitsforscher von Qihoo 360 haben diese Angriffe beobachtet und die Tage öffentlich gemacht. Es gibt eit dem 4. Dezember 2019 wohl mindestens zwei 0-day-Angriffskampagnen in freier Wildbahn, die auf im Unternehmensumfeld eingesetzte Netzwerkgeräte des taiwanesischen Herstellers DrayTek zielen.

Die Angriffe versuchen zwei 0-day-Schwachstellen von DrayTek Vigor Enterprise-Routern und Switch-Geräten auszunutzen. Sind die Geräte angreifbar, werden eine Reihe von Angriffen durchgeführt. Dazu gehört das Abhören des Netzwerkverkehrs der Geräte, das Ausführen von SSH-Diensten auf diversen Ports, das Erstellen von System-Backdoor-Konten und sogar das Erstellen einer speziellen bösartigen Web-Session-Backdoor.

E-Mail- und FTP-Verkehr abfangen

Der anspruchsvollere der beiden Angriffe auf DrayTek-Geräte fiel den Sicherheitsforschern am 4. Dezember 2019 auf. Laut Qihoo nutzen die Angreifer eine Schwachstelle im RSA-verschlüsselten Anmeldemechanismus der DrayTek-Geräte, um bösartigen Code im Anmeldefeld des Routerzugangs zu verstecken.

Als ein DrayTek-Router die RSA-verschlüsselten Anmeldedaten, die von einem Boobytrapplet erfasst wurden, empfing und entschlüsselte, führte er den bösartigen Code aus und gewährte den Hackern die Kontrolle über den Router.

Anstatt das Gerät zu missbrauchen, um DDoS-Angriffe zu starten oder den Datenverkehr als Teil eines Proxy-Netzwerks umzuleiten, verwandelten die Hacker den Router in eine Spionagebox. Die Forscher schreiben, dass die Hacker ein Skript eingesetzt haben, das den Verkehr über Port 21 (FTP – Dateiübertragung), Port 25 (SMTP – E-Mail), Port 110 (POP3 – E-Mail) und Port 143 (IMAP – E-Mail) aufzeichnet.

Das Skript transferiert den gesamten aufgezeichneten Datenverkehr an jedem Montag, Mittwoch und Freitag um 00:00 Uhr auf einen Remote-Server. Details finden sich im Qihoo-Dokument. Warum die Angreifer den FTP- und E-Mail-Verkehr sammelten, ist unklar. Möglicherweise wollte man nur Informationen sammeln, um später gezielt zuzuschlagen.

Backdoor-Konten einrichten

Die zweite Angriffsgruppe nutzt einen anderen 0-day-Exploit, der erstmalig in einem Beitrag vom 26. Januar im Skull Army-Blog beschrieben wurde. Zwei Tage später begannen die Hacker den Exploit auszunutzen.

Laut Qihoo nutzen die Hacker einen Fehler im "rtick"-Prozess auf anfälligen DrayTek-Geräten aus, um Backdoor-Konten auf den gehackten Routern zu erstellen. Was die Angreifer mit diesen Konten gemacht haben, ist bisher unbekannt.

Seit Februar 2020 gibt es Firmware-Updates

Qihoo informierte DrayTek über beide 0-day-Schwachstellen, wobei die erst Warnung wohl nie die zuständigen Mitarbeiter von DrayTek erreichte. Erst nachdem die zweite Angriffswelle mit den Backdoor-Konten lief, wurde der Hersteller aktiv. DrayTek veröffentlichte am 10. Februar 2020 Firmware-Updates, darunter sogar einen Firmware-Patch für ein inzwischen eingestelltes Router-Modell.

Laut Qihoo finden Angriffe gegen die DrayTek Vigor Router-Modelle 2960, 3900 und 300B statt. ZDnet schreibt in seinem Artikel, dass man mit Hilfe der BinaryEdge-Suchmaschine mehr als 978.000 DrayTek Vigor-Geräte im Internet finden konnte. Laut Qihoo laufen nur etwa 100.000 davon mit einer Firmware-Version, die anfällig für Angriffe ist.