Een internationaal botnet van gehackte routers wordt gebruikt om wachtwoorden uit het netwerkverkeer van slachtoffers te stelen. Daarvoor waarschuwt het Duitse computermagazine c't. Het router-botnet zou tal van slachtoffers in Duitsland hebben gemaakt, waaronder een advocatenkantoor.

De malware had daardoor toegang tot alle e-mailaccounts van de advocaten die op het kantoor werken. De aanvallers hebben het voornamelijk voorzien op routers die de DD-WRT router-firmware draaien, waaronder de populaire Linksys WRT54G. DD-WRT is een populaire firmware voor routers, die vaak meer opties en mogelijkheden biedt dan het standaard geïnstalleerde 'besturingssysteem'.

Sommige routers zijn standaard van deze firmware voorzien, maar veel gebruikers kiezen ervoor om die zelf te installeren. Aangezien veel gebruikers de router-firmware na de eerste installatie niet meer updaten als er een update beschikbaar is, zijn er veel ongepatchte routers actief.

Netwerkverkeer

Eén van deze kwetsbaarheden maakt het mogelijk voor een aanvaller om het toestel over te nemen. Het lek werd in 2009 ontdekt en gepatcht, maar veel routers missen de update. Zodra de aanvallers toegang hebben wordt er een netwerksniffer geïnstalleerd die inloggegevens uit het netwerkverkeer haalt en naar de aanvallers doorstuurt.

Op de server waar de aanvallers de gestolen gegevens verzamelden, werden tienduizenden bestanden met gestolen inloggegevens aangetroffen. Naast het advocatenkantoor werd ook nog een bakkersketen ontdekt waar de routers waren gehackt. Via de routers hadden de aanvallers naast inloggegevens ook toegang tot de beelden die met de beveiligingscamera's in de winkels werden gemaakt.

C't ontdekte duizenden IP-adressen van gehackte routers, waaronder tientallen in Duitsland. Die zijn allemaal gewaarschuwd. Het magazine beschrijft in dit artikel hoe eigenaren van een router met DD-WRT kunnen controleren of ze ook gehackt zijn.