Angriffe auf Fritz!Boxen █
Im März 2021 fallen vielen Fritz!Box-Nutzern Zugriffsversuche von der IP-Adresse 185.232.52.55 auf. ➥ zu den potentiellen Opfern ▼
Die Fritz!Boxen werden dabei stets von der Quell-IP-Adresse 185.232.52.55 über große IP-Adressbereiche hinaus attackiert und versucht zu übernehmen. Vermutlich liegt dem Ganzen ein einfacher portscan auf den SSL-port 443 zugrunde. Trifft man beim Scan auf einen offenen port im gewählten Zieladressbereich, so wird danach anhand der Antwort des Fritz!Box-Webservers geprüft, ob es eine AVM FritzBox ist und dann auf gut Glück eine Reihe von Zugangsdaten durchprobiert. Diese fehlgeschlagenen Versuche protokolliert die Fritz!Box brav im Ereignisprotokoll. Der Server hinter der IP, von der aus diese Versuche ausgehen, steht sehr wahrscheinlich in den Niederlanden und wird von der "Internet IT Company Inc" mit Sitz auf den Seychellen betrieben. Wer sich beim Betreiber beschweren möchte, hier die offiziellen Kontaktdaten:
Marie Stravens
Global Gateway 8
Rue De La Perle, Providence 00000 Mahe, Seychellen
Telefonnummer (in Kanada): 0019 299995787
D.h. die attackierten Ziel-IPs sind wahllos und zufällig, die Logindaten lassen jedoch darauf schließen, dass diese an irgendeiner Stelle geleakt sind. Es handelt sich dabei definitiv nicht um zufällige bruteforce Logins. Auffällig ist, dass es sich bei den Zugangsdaten hauptsächlich um kleine bis mittelständische deutsche Unternehmen handelt, die Ihre Fritz!Boxen vermutlich als Zugang für eigene Cloud-Lösungen oder VPN-Knotenpunkt ins öffentliche Netz stellen.
Der Ursprung der Zugangsdaten ist bislang unklar; Wer hinter der Angriffswelle steckt ebenfalls. Es finden sich im Netz etliche Berichte über Zugriffsversuche von der IP 185.232.52.55. Die ersten Beobachtungen gab es bereits im Sommer 2020. D.h. die automatischen Verbindungsversuche laufen seit Monaten und die Logins sind bereits länger bekannt. Bei der AbuseIPDB wurde die IP bereits 370-fach gemeldet. Besonders nervig dabei für alle betroffenen Ziele: Auch wenn der Angreifer keinen Erfolg hat und keinen Zugriff auf die Fritz!Box erhält, beschließt die Fritz!Box irgendwann die Internetverbindung zu trennen und sich neu einzuwählen, um weiteren Login-Versuchen mit einer anderen, neuen IP zu entkommen. Was im Prinzip ganz gut ist, äußert sich in diesen Momenten aber für alle Endgeräte im LAN der FritzBox mit einem Verbindungsabbruch ins Internet.
am 01.03.2021 erklärte AVM es handle sich nicht um eine Angriffswelle. Es seien „erfolglose Anmeldeversuche, also Rateversuche." Aus Ereignisprotokollen, die Kunden mit dem Unternehmen geteilt hätten, ginge hervor, "dass die probierten Zugangsdaten nicht zur Fritz!Box des Kunden passen und keinen Bezug zum Gerät des Kunden hätten."
Dies kann man natürlich so sehen. Bedenkt man jedoch, dass die Fritz!Boxen an DSL-Anschlüssen in Deutschland bei jeder Einwahl eine neue WAN-IP erhalten, so ist das, was AVM ein gezieltes Szenario nennen würde praktisch unmöglich. Auffällig ist zudem, dass es sich bei den Benutzernamen der Zugangsdaten meinst um E-Mailadressen handelt. Reine Namen werden eher selten genutzt. Um die undichte Quelle der Logindaten herauszufinden, wäre also interessant zu wissen, welchen gemeinsamen Dienst die potenziellen Opfer alle nutzen.
Damit betroffene Fritz!Box-Nutzer die Möglichkeit erhalten, ihre Kennwörter rechtzeitig zu ändern, bevor u.U. ihre eigene IP im Fokus des IP-Zielbereichs steht, haben wir uns dazu entschlossen, die bisher bekannten Benutzernamen, welche immer wieder Verwendung finden, zu veröffentlichen. Jedem, der sich auf der nachfolgenden Liste findet, wird dringend empfohlen, das dazugehörige Kennwort und besser auch den Benutzernamen zu ändern.
1016-453@online.de |
A.Dollenberg |
a.gettrup@elektro-heikes.de |
A.rauschert@gmx.net |
a72Du9Aq |
aan0906@kaflaan.de |
Abdul |
achim@frangen.de |
adam |
admin |
andone |
Andre.Brinkop@gmail.com |
Andre_Lillmeyer |
AndreasBastian@web.de |
apero |
arminkoch@kabelmail.de |
arthur |
arthur.ackermann@gmx.de |
Asmodis |
astronaut75 |
avm |
avm@events-service.eu |
awb_kdg_fb |
awg1960 |
AWG-Ascheberg@Vorwick.eu |
awirth3@web.de |
Axel |
azad |
b.knappertsbusch@gmail.com |
bartscht |
basti.2001@gmx.de |
bastian.haehling@evlka.de |
Basti-Mobil |
Behrends |
Bernd |
bernd surborg |
BerndSiemon |
Betzi |
bez2yp |
Bip |
Bodo Polrola |
Bosssy |
BrandesLaw |
bse@rinder-wahn.com |
bube |
butze-rene |
c.sternsdorff@kdwelt.de |
c.vossel@ccvossel.de |
c2vogelsang@googlemail.com |
carmen.hiller@msc-online.net |
Carsten Irrgang |
carsten.siebenhaar@gmail.com |
Catcher |
Chamath |
chris04 |
chris101980 |
Christian |
christian.seelandt@gmx.de |
ChristianUlf.Petzold@gmail.com |
christophfritzbox |
citydsl |
clusi |
Colourconcept |
cramer.enno@kabelmail.de |
creck |
cs@schmitzelektro.com |
cweigel |
cybercat |
d.riedel@Kabelmail.de |
damian.biel@t-online.de |
dd2aq@kabelmail.de |
de87ti |
derost@freenet.de |
detlev-nowara@gelsennet.de |
dETsmi |
dextart |
Dieter |
Dirk |
dirk.franzmeier@gmx.de |
djanke |
dressi96@googlemail.com |
drieger@goeddeldorf.de |
drtorstenriegner@mail-buero.de |
duc996 |
dyndns |
Edgar |
edgars-mail@web.de |
Eduard Gross |
ehirsch |
eiki1 |
Elastoform |
erich._schmidt |
Erwin555 |
f_l@freenet.de |
Fabian |
FAlfeldt |
fam.alberts@web.de |
fbohlen |
FB-Prefs |
Fendt-Vario |
fernwartung@tekos.de |
Fiete |
Fiete.net |
floh50 |
Formatcomputer |
frank.sucker@googlemail.com |
frank@foerstls.de |
fritz.box |
fritz.box@roelke.eu |
fritz@dakos.de |
fritzbox@florian-wulf.de |
fritzext |
FRITZHome |
Fritzlan |
Fruchttiger |
ftpuser |
Gabi |
Gadow |
Gast |
geier08152000@yahoo.de |
genci@gmx.de |
Georg Richter |
georgklug@gelsennet.de |
gerald.heinrich@web.de |
ggutsche |
gieseke |
gmader@gmader.de |
godie |
gueklein |
gunter |
hans.wagner1@arcor.de |
Harald Trocha |
harald.oetzmann |
harries |
hartmut |
haschmo@telelev-dsl.de |
haz |
HDHOME54 |
headysbrain |
Heidem@tz |
heinz |
HelgeFritz |
Helmut |
helpdesk@pvqse.de |
hendrik.neumann@gmx.net |
hendrikwitschel |
henk |
herti001 |
hhweber11 |
higgins |
Himbeer |
hlohmann51@gmx.de |
hm |
Holger |
Home |
Horst |
horst_gotzel@web.de |
Hummel@HKTechnik.de |
i.Kunze@t-online.de |
igel1443 |
info@4ox.de |
info@computerhaus-werne.de |
info@dst-online.com |
info@fs-bike-teile.de |
info@gehrmann.biz |
info@gollnick-net.de |
info@k-secit.de |
info@lm1969.de |
info@miethling.net |
info@mikubi.de |
info@ortenau-dsl.de |
info@rosenberg-consult.com |
info@r-sye.de |
info@sdi-europa.com |
info@ts-telecom.de |
info@wachert-it.de |
Inga00 |
ipad@stuedemann.info |
ipmind |
ira boerner |
it@dollarhugo.com |
IT-Support |
j.sasse@eckel-et.de |
janser |
jens_peter_schwarck@yahoo.de |
jens_tueting@kabelmail.de |
jensbachmann |
jenshundertmark |
JET |
jfgtv |
jhirata |
JMW-WOB |
jo.rollwage@gmail.com |
joachim.bebenroth@kabelmail.de |
joerg.pflugrad@t-online.de |
joerg_eckert@arcor.de |
joern.rautenberg@gmail.com |
jonas |
JoWie |
JPmisEr |
jselchow |
judslesens |
juergen.hoecker@live.de |
julian |
jurszcz |
kai-uwe.breit@gmx.de |
KanonenMIKE54 |
Karsten |
kaufhold.dieter@web.de |
KBomm |
keding |
Keller.uwe@gmx.net |
Kenny83 |
Kiehl |
kingather |
Klawumke |
koch@it-service.tk |
kontakt@christian-brand.de |
kontakt@dokuz.de |
kontakt@gsm-mobile24.de |
kontakt@henrykubisch.de |
kontakt@its-schmidt.de |
kontakt@kalle-klein.de |
kontakt@klaus-endner.de |
kontakt@malereibetrieb-frieske.de |
kontakt@mattik.de |
kontakt@ppm2.de |
kontakt@praxis-laura-hess.de |
kontakt@rbf-online.de |
kontakt@sylvio-maeser.de |
kontakt@tischlerei-oberberg.de |
kontakt@tobias-erl.de |
kranichfeld@gmail.com |
krosf97 |
krueger@hkn.de |
kuhlmann@grillman.de |
kulle |
Laufwerk-Z |
localadmin |
loewensohn |
lothar |
m.fonfara@me.com |
m.uteschil@kabelmail.de |
macco@logopaedie-sindelfingen.de |
macir |
MadPhone |
mail@glndrf.de |
mail@hhgiese.de |
mail@st-gieseler.de |
mail@timengelhardt.de |
malermeister.loehr@t-online.de |
manfred.madsack@madsack-wolfsbur |
Mann-Isernhagen@web.de |
marci |
Marco |
marco.walther@diatechnet.de |
MarcusWindler |
Markus |
Martin |
martin@frkb.de |
Massenbach |
MatthiasBr |
Matze |
MBHage |
Medallicator |
meier_sven@t-online.de |
meikelkoni@web.de |
metner@arcor.de |
mfebert |
mi.le@web.de |
micha02054 |
michael.flessner@gmail.com |
michael.krelle |
michael.scarale@kabelmail.de |
michael.suess@sunds-technik.de |
michaelwoerner@arcor.de |
midren@gmx.de |
MinxFritzbox |
Mirko66@eva-dsl.de |
mneitzert |
m-o-d |
moni.hansww@codab.de |
mopperbox |
moritz.m@t-online.de |
moritz@moritz-beck.de |
mx52973 |
MZ69 |
NagelKG |
nehm@kainehm.org |
network@paymentsolution.biz |
Nicole.Daz@dvag.de |
Nils Rudolph |
Nisa-it |
norbert.reiter@gmx.de |
oberstkloss |
odinundthor |
oely |
osart |
p1zz4 |
paffenholz@gmx.net |
Papa |
paulito |
PBattermann@web.de |
pcprog |
pc-techniker2001 |
peter |
peter@firmenich-it.de |
Petzi1973 |
pewi |
Pfeifermaus |
philipp-stock |
philvino@gmail.com |
pilo75@gmx.de |
pohl-home |
pollux |
Poppelreuter |
post@stefan-boos.de |
post@t-nissen.net |
privat@luhm.de |
Quasteline |
r.bauche@t-online.de |
r2d2master |
Rainer |
rainerschleip |
Ralf Bargheer |
rascaldi |
rebili |
redsoft |
ReimersPrivatFritzbox |
remotebox |
RemoteUser |
Rio |
Ritschi |
rkonrad@elektro-konrad.de |
Roeckemann |
roger.wittmer@arcor.de |
Rogge.Beinhorn@Kabelmail.de |
roland@rolandbeer.com |
rolf.sydow@gmx.de |
rolfhsv |
rolfpolaschek@t-online.de |
roman@reinhold-rohrpost.de |
root |
rosita |
rosyrl |
RRosin |
rtw247 |
rufl81@gmx.de |
RWE |
s.fischer@kaehler-bau.de |
s.oliver1982 |
samhotte |
samsung3 |
sandro.kock |
Sascha Freytag |
sascha@pc-nanny.de |
Schimansky |
schoembs |
SchueCom |
schueler.manfred@googlemail.com |
scooby61 |
scrdel |
Sebastian Bluhm |
sebiw1984 |
seiferts@kabelmail.de |
Service |
service@beberast.net |
service@cae-computer.de |
service@eurobit.de |
service@teekatze.de |
shexta |
siegfried |
Sigrid |
SiRo_cool |
smart |
sms@schneckenaichner.de |
snoopy2695 |
soeren.stiene@sticcs.de |
sonosnas |
spawn73 |
St.Schindler@freenet.de |
Stefan |
stefan.helmers@gmx.de |
stefan.pfeifer@werdau.net |
stepha@miels.de |
Stephan Rhein |
stephanloewe@gmx.de |
Stichnothe |
strobbii |
sult@gmx.net |
support@jansenprooffice.nl |
support@kories-media.de |
support@strategic-prevent.de |
support@v-kom.com |
sven.kohlstedde@web.de |
sven.neuleben.2912 |
sysadmin |
system |
Taipan |
tantebi |
technik@hasy.net |
technik@mps-communication.com |
telekom-fritzbox@schuecom.de |
Tf |
Thomas |
Thomas Dreier |
Thomas Froehlich |
Thomas Stowasser |
Thunder |
timo.michel@web.de |
tj@jonato.de |
tl@xyz.de |
Tobias.Kokkelink@gmx.de |
tobias@funke01.de |
tobisupermann |
tobu@snafu.de |
tobu2 |
toeffelchen |
Torsten.waanders@web.de |
Toto |
tri_speedy |
tschorn@outlook.com |
tsohn@t-online.de |
ttritter |
Tukan |
tvseven |
u1 |
uhk |
ulik |
Ulrich Arnecke |
uwe |
uwe.wittig@web.de |
uwedoerpmund@icloud.com |
uwekiessling@gmx.net |
v.keil@web.de |
verkauf@frangen-soft.de |
vespermann |
Viktor |
Vilius |
V-KOM |
volkmar.spiegel@web.de |
vomorde@telemax.de |
wayne83 |
wdp |
webaccess |
webbosch@arcor.de |
welford@kabelmail.de |
wernerfritzbox |
werszcz |
whoami |
widder265@web.de |
willi |
willkommen@stoexen-it.de |
wirsnet |
Wolfram |
woma1208-luni |
wsch2000@kabelmail.de |
xeon |
xozer |
yilmaz.karaman |
zeller@cs.uni-saarland.de |
zisco |
Zuhause |