Die Attacke richtet sich in erster Linie gezielt gegen AVM-Router, die über einen aktiven Fernzugriff verfügen. Der IT-Spezialist Günter Born wurde im Frühjahr 2024 als Erster auf die Angriff aufmerksam, als er in den Log-Dateien seiner FritzBox ungewöhnlich viele fehlgeschlagene Anmeldeversuche feststellte.
Zugriff auf frühere Daten-Lecks
Laut Born gingen die Angriffsversuche offenbar von einer einzigen IP-Adresse (193.46.255.151) aus und hatten die Übernahme der FritzBox zum Ziel. Wie viele AVM-Router bei den Hacker-Attacken tatsächlich geknackt wurden, ist nicht bekannt. Seitdem kommt es immer wieder zu Cyber-Angriffen auf AVM-Router, die nach demselben oder einem ähnlichen Muster arbeiten. Allerdings kommen dabei mittlerweile viele verschiedene IP-Adressen zum Einsatz.
Die Hacker probieren bei ihren Angriffen auf die AVM-Router eine breite Palette von möglichen Benutzernamen aus, um sich Zugang zu verschaffen. Beim sogenannten „Credential Stuffing“ werden bereits bekannte Kombinationen aus Benutzernamen und Passwörtern verwendet, die vermutlich durch frühere Daten-Lecks erbeutet worden sind.
Wenn ein User also z.B. bei seinem AVM-Router mal früher „Fortuna95“ als Passwort genutzt hat, kann es gut sein, dass er nunmehr ein leicht abgewandeltes Passwort wie „Fortuna79“ nutzt. Darauf spekulieren die Cyber-Kriminellen. Auch werden beim Angriff auf die AVM-Router häufig vorkommende Standard-Nutzer wie „admin“ oder „administrator“ sowie E-Mail-Adressen und andere individuelle Nutzernamen, die teilweise aus reinen Vornamen oder zusammengesetzten Vor- und Nachnamen bestehen, ausprobiert.
Auffällige IP-Adressen blockieren
AVM beobachtet die Aktivitäten der Hacker genau und empfiehlt seinen Kunden, ihre FritzBox so einzurichten, dass Anmeldeversuche am AVM-Router von IP-Adressen, die vorher schon durch unberechtigte Anmeldeversuche aufgefallen sind, automatisch blockiert werden.
Dazu ruft man in einem Browser, also in der Regel Google Chrome oder Microsoft Edge, unter fritz.box die Benutzeroberfläche der FritzBox auf und klickt auf den Menüpunkt „Internet“, dann auf die Option „Filter“ und schließlich auf die Registerkarte „Listen“. Nun klickt man unter „IP-Sperrlisten“ neben „Blockierte IP-Adressen“ auf den Link „bearbeiten“.
Im sich öffnenden Feld trägt man die IP-Adressen ein, von denen Verbindungen zur FritzBox nicht zugelassen werden sollen. Besitzer einer FritzBox, die mehrere IP-Adressen sperren möchten, trennen die einzelnen Adressen durch ein Leerzeichen oder einen Zeilenumbruch. Laut AVM können bis zu 64 Adressen eingetragen werden.
Damit zusätzlich Verbindungsanfragen von IP-Adressen unterbunden werden, die nach AVM-Informationen bei Hacker-Angriffen auffällig geworden sind, muss man die Option „Zusätzliche IP-Sperrliste von AVM verwenden“ aktivieren. Zum Speichern der Liste klickt man schließlich auf „Übernehmen“.
Allgemeine Sicherheitsmaßnahmen
Die gute Nachricht ist, dass neben den oben beschriebenen Einstellungen in der Regel ganz allgemeine Sicherheitsmaßnahmen helfen, um die Hacker abzuwehren. Das sind Maßnahmen, die nicht nur für AVM-Router, sondern auch für einen Vodafone GigaCube oder jeden anderen Router gelten, egal, ob dieser einen Internet-Zugang über DSL, TV-Kabel-Glasfaser oder 5G herstellt. Da AVM-Router in Deutschland aber die gängigsten Modelle und am häufigsten Ziel von Hacker-Attacken sind, erklären wir die Vorgehensweise anhand dieses Beispiels.
Um einen AVM-Router vor Hacker-Angriffen zu schützen, sollten Nutzer zunächst einmal den Fernzugriff komplett deaktivieren. Alternativ kann man auch eine Zwei-Faktor-Authentifizierung aktivieren.
Eine dritte Möglichkeit ist die Einrichtung eines Virtual Private Network (VPN) im AVM-Router, das einen sicheren Zugriff auf das Netzwerk ohne den Fernzugriff des Routers ermöglicht. Dabei wird zunächst eine gesicherte Verbindung zum internen Netzwerk hergestellt und von dort aus auf das Web-Interface des Routers zugegriffen. Der Fernzugriff auf den AVM-Router kann in diesem Fall deaktiviert werden.
Unbedingt Zugangsdaten ändern
Es ist nicht sicher, ob die Hacker bei früheren Attacken die vorgegebenen Standard-Benutzernamen und Passwörter erbeutet haben könnten. Das sind die Kennungen, die man in der Regel auf einem Schild auf dem AVM-Router selbst findet.
Viele User belassen es bedauerlicherweise aus Bequemlichkeit bei diesen vorgegebenen Einstellungen und sind so ein leichtes Ziel für Hacker-Attacken wie derjenigen, die zurzeit gezielt gegen AVM-Router ausgeht. Vielmehr sollte man stattdessen Standard-Benutzernamen und -Passwörter, die bei der Einrichtung der AVM-Router vorgegeben sind, so schnell wie möglich ändern.
Besonders vergessliche Naturen sollten sich die neuen Zugangsdaten für ihren AVM-Router analog auf einem Zettel notieren. Alternativ kann man als Gedächtnisstütze auch einen Eintrag im Telefonbuch erstellen. Um die größtmögliche Sicherheit zu gewährleisten, sollten – anders als bei der auf dem AVM-Router aufgedruckten Kennung – nicht nur Ziffern, sondern auch Buchstaben und Sonderzeichen eingesetzt werden.
Immer auf Updates achten
Es lohnt sich außerdem, immer die aktuelle Version von FritzOS installiert zu haben. Das ist das Betriebssystem, das auf jedem AVM-Router installiert ist.
Um festzustellen, ob FritzOS auf dem neusten Stand ist, muss man sich im Browser seines Rechners unter fritz.box anmelden, das auf dem AVM-Router befindliche oder später selbst generiert Passwort eingeben und schließlich unter dem Menüpunkt „Sicherheit“ die FritzOS-Version ablesen. Bei der häufig verwendeten FritzBox 7520 ist das derzeit die Version FritzOS 8.00.
