Wurden Router-URLs sphairon.box und zyxel.box gekapert?

[English]Ich stelle mal ein Thema hier in den Blog, das mir jetzt von zwei Lesern gemeldet wurde und mich an einen alten Vorfall bei AVM zur fritz.box-URL erinnert. Es sieht so aus, dass die von Routern (Zyxel, Sphairon) zum Zugriff auf die Router-Funktionen verwendeten URLs sphairon.box und zyxel.box durch registrierte Domains gekapert wurden. Die Zielseiten sind als "malicious" einzustufen.

Erinnerungen an den fritz.box-Fall

Erinnert sich jemand noch an den Fall der gekaperten URL fritz.box aus dem Januar 2024? Normalerweise gelangt man bei Eingabe der URL fritz.box im Browser im lokalen Netzwerk auf die Benutzeroberfläche der Fritz!Box.

fritz.box Fake-Landing-Page

Im Januar 2024 war es dann so, dass manche Nutzer bei Eingabe der URL fritz.box an einem Gerät nicht auf der Anmeldeseite der FRITZ!Box landeten, sondern werden auf eine externe Webseite umgeleitet wurden (siehe obigen Screenshot). Ich hatte den Fall hier im Blog in zwei Beiträgen aufgegriffen (siehe Links am Artikelende).

Wurden Router-URLs sphairon.box und zyxel.box gekapert?

Der taiwanesische Router-Hersteller Zyxel hat ebenfalls eine URL zyxel.box, die bei Eingabe im Browser eines Netzwerks auf die Oberfläche des Zyxel-Routers umleiten sollte. Über diese Adresse können Geräte ggf. auch Dienste des Routers ansprechen.

Erinnerungsmäßig hatte mich ein Leser vor einigen Tagen mal kontaktiert und merkte an, dass die URL zyxel.box registriert worden wäre. Nun hat sich Blog-Leser Constantin L. die Tage per Mail gemeldet (danke) und schrieb: "es scheint, als ob ähnliche Probleme wie damals bei fritz.box nun auch bei anderen Herstellern auftreten". Was er damit meint ist, dass die intern von den Geräten verwendeten URLs nun durch einen Dritten, also nicht Zyxel, als öffentliche Internet-Adressen registriert wurden.

Der Leser schrieb, dass die Domains sphairon.box und zyxel.box der Router-Hersteller Sphairon und Zyxel nun auf eine C2-Malicious-IP-Adresse verweisen. Obiger Screenshot zeigt die IP-Adressen dieser Domains.

Zu Sphairon muss man wissen, dass dies ein Anbieter und Hersteller von Produkten aus dem Bereich Telekommunikation und Netzwerktechnik (unter anderem DSL, ISDN, WLAN, WLL und Internettelefonie) mit Hauptsitz war Bautzen war. Das Unternehmen wurde 2013 durch den taiwanischen Netzwerkausrüster Zyxel übernommen.

Der Leser schrieb, dass der Virenscanner im Unternehmen sowie die Network Protection des Microsoft Defender for Endpoint deshalb jedes Mal Alarm schlagen. Laut Leser laufen andere verdächtige Domains auf diese IP 91.195.240.12. Nachfolgend eine Screenshot, den mir der Leser zukommen ließ.

Ich habe beim Schreiben des Beitrags noch einen kurzen Test auf virustotal.com versucht. Die URL zyxel.box wird aktuell von keinem Virenscanner bemängelt. Verwendet ich dagegen die oben erwähnte IP-Adresse 91.195.240.12, die der URL zugewiesen ist, wird die Zielseite in Virustotal als malicious geflaggt.

Auch die Seite scanner.pcrisk.com meldet die IP-Adresse 91.195.240.12 als "Malicious, site blacklisted!" und den Webserver als "Parking/1.0", findet aber keine schädlichen Inhalte.

Ich habe dann noch versucht, in einer virtuellen Maschine die IP in einem Browser auflösen zu lassen, bekomme dann aber die Meldung, dass der Inhalt nicht angezeigt werden kann. Die obigen URLs werden schon nicht mehr aufgelöst – und eine whois-Abfrage der obigen IP ergibt, dass da ein ganzer IP-Adressbereich angeblich bei:

SEDO-NET
descr:          Sedo Domain Parking
descr:          Im Mediapark 6b
descr:          50670 Koeln

geführt wird. Alles sehr merkwürdig. Falls jemand Zyxel-Router im Einsatz hat oder die Sphairon-URL noch verwendet, sollte auf jeden Fall obacht walten lassen.

Ähnliche Artikel:
FRITZ!Box-Problem: Eingabe der URL fritz.box leitet plötzlich auf externe Seite um
FRITZ!Box-Problem: Gekaperte Domain verursacht Stress
Info: Die URL avm.de leitet nun auf fritz.com um
Fritz.box: Domain fällt an AVM, Probleme mit Windows Update?