Angriffe auf Fritz!Boxen

Im März 2021 fallen vielen Fritz!Box-Nutzern Zugriffsversuche von der IP-Adresse 185.232.52.55 auf. ➥ zu den potentiellen Opfern ▼

 

Die Fritz!Boxen werden dabei stets von der Quell-IP-Adresse 185.232.52.55 über große IP-Adressbereiche hinaus attackiert und versucht zu übernehmen. Vermutlich liegt dem Ganzen ein einfacher portscan auf den SSL-port 443 zugrunde. Trifft man beim Scan auf einen offenen port im gewählten Zieladressbereich, so wird danach anhand der Antwort des Fritz!Box-Webservers geprüft, ob es eine AVM FritzBox ist und dann auf gut Glück eine Reihe von Zugangsdaten durchprobiert. Diese fehlgeschlagenen Versuche protokolliert die Fritz!Box brav im Ereignisprotokoll. Der Server hinter der IP, von der aus diese Versuche ausgehen, steht sehr wahrscheinlich in den Niederlanden und wird von der "Internet IT Company Inc" mit Sitz auf den Seychellen betrieben. Wer sich beim Betreiber beschweren möchte, hier die offiziellen Kontaktdaten:

Marie Stravens
Global Gateway 8
Rue De La Perle, Providence 00000 Mahe, Seychellen
Telefonnummer (in Kanada): 0019 299995787

 

D.h. die attackierten Ziel-IPs sind wahllos und zufällig, die Logindaten lassen jedoch darauf schließen, dass diese an irgendeiner Stelle geleakt sind. Es handelt sich dabei definitiv nicht um zufällige bruteforce Logins. Auffällig ist, dass es sich bei den Zugangsdaten hauptsächlich um kleine bis mittelständische deutsche Unternehmen handelt, die Ihre Fritz!Boxen vermutlich als Zugang für eigene Cloud-Lösungen oder VPN-Knotenpunkt ins öffentliche Netz stellen.


Der Ursprung der Zugangsdaten ist bislang unklar; Wer hinter der Angriffswelle steckt ebenfalls. Es finden sich im Netz etliche Berichte über Zugriffsversuche von der IP 185.232.52.55. Die ersten Beobachtungen gab es bereits im Sommer 2020. D.h. die automatischen Verbindungsversuche laufen seit Monaten und die Logins sind bereits länger bekannt. Bei der AbuseIPDB wurde die IP bereits 370-fach gemeldet. Besonders nervig dabei für alle betroffenen Ziele: Auch wenn der Angreifer keinen Erfolg hat und keinen Zugriff auf die Fritz!Box erhält, beschließt die Fritz!Box irgendwann die Internetverbindung zu trennen und sich neu einzuwählen, um weiteren Login-Versuchen mit einer anderen, neuen IP zu entkommen. Was im Prinzip ganz gut ist, äußert sich in diesen Momenten aber für alle Endgeräte im LAN der FritzBox mit einem Verbindungsabbruch ins Internet.


am 01.03.2021 erklärte AVM es handle sich nicht um eine Angriffswelle. Es seien „erfolglose Anmeldeversuche, also Rateversuche." Aus Ereignisprotokollen, die Kunden mit dem Unternehmen geteilt hätten, ginge hervor, "dass die probierten Zugangsdaten nicht zur Fritz!Box des Kunden passen und keinen Bezug zum Gerät des Kunden hätten."

Dies kann man natürlich so sehen. Bedenkt man jedoch, dass die Fritz!Boxen an DSL-Anschlüssen in Deutschland bei jeder Einwahl eine neue WAN-IP erhalten, so ist das, was AVM ein gezieltes Szenario nennen würde praktisch unmöglich. Auffällig ist zudem, dass es sich bei den Benutzernamen der Zugangsdaten meinst um E-Mailadressen handelt. Reine Namen werden eher selten genutzt. Um die undichte Quelle der Logindaten herauszufinden, wäre also interessant zu wissen, welchen gemeinsamen Dienst die potenziellen Opfer alle nutzen.

 

Damit betroffene Fritz!Box-Nutzer die Möglichkeit erhalten, ihre Kennwörter rechtzeitig zu ändern, bevor u.U. ihre eigene IP im Fokus des IP-Zielbereichs steht, haben wir uns dazu entschlossen, die bisher bekannten Benutzernamen, welche immer wieder Verwendung finden, zu veröffentlichen. Jedem, der sich auf der nachfolgenden Liste findet, wird dringend empfohlen, das dazugehörige Kennwort und besser auch den Benutzernamen zu ändern.

 

1016-453@online.de
A.Dollenberg
a.gettrup@elektro-heikes.de
A.rauschert@gmx.net
a72Du9Aq
aan0906@kaflaan.de
Abdul
achim@frangen.de
adam
admin
andone
Andre.Brinkop@gmail.com
Andre_Lillmeyer
AndreasBastian@web.de
apero
arminkoch@kabelmail.de
arthur
arthur.ackermann@gmx.de
Asmodis
astronaut75
avm
avm@events-service.eu
awb_kdg_fb
awg1960
AWG-Ascheberg@Vorwick.eu
awirth3@web.de
Axel
azad
b.knappertsbusch@gmail.com
bartscht
basti.2001@gmx.de
bastian.haehling@evlka.de
Basti-Mobil
Behrends
Bernd
bernd surborg
BerndSiemon
Betzi
bez2yp
Bip
Bodo Polrola
Bosssy
BrandesLaw
bse@rinder-wahn.com
bube
butze-rene
c.sternsdorff@kdwelt.de
c.vossel@ccvossel.de
c2vogelsang@googlemail.com
carmen.hiller@msc-online.net
Carsten Irrgang
carsten.siebenhaar@gmail.com
Catcher
Chamath
chris04
chris101980
Christian
christian.seelandt@gmx.de
ChristianUlf.Petzold@gmail.com
christophfritzbox
citydsl
clusi
Colourconcept
cramer.enno@kabelmail.de
creck
cs@schmitzelektro.com
cweigel
cybercat
d.riedel@Kabelmail.de
damian.biel@t-online.de
dd2aq@kabelmail.de
de87ti
derost@freenet.de
detlev-nowara@gelsennet.de
dETsmi
dextart
Dieter
Dirk
dirk.franzmeier@gmx.de
djanke
dressi96@googlemail.com
drieger@goeddeldorf.de
drtorstenriegner@mail-buero.de
duc996
dyndns
Edgar
edgars-mail@web.de
Eduard Gross
ehirsch
eiki1
Elastoform
erich._schmidt
Erwin555
f_l@freenet.de
Fabian
FAlfeldt
fam.alberts@web.de
fbohlen
FB-Prefs
Fendt-Vario
fernwartung@tekos.de
Fiete
Fiete.net
floh50
Formatcomputer
frank.sucker@googlemail.com
frank@foerstls.de
fritz.box
fritz.box@roelke.eu
fritz@dakos.de
fritzbox@florian-wulf.de
fritzext
FRITZHome
Fritzlan
Fruchttiger
ftpuser
Gabi
Gadow
Gast
geier08152000@yahoo.de
genci@gmx.de
Georg Richter
georgklug@gelsennet.de
gerald.heinrich@web.de
ggutsche
gieseke
gmader@gmader.de
godie
gueklein
gunter
hans.wagner1@arcor.de
Harald Trocha
harald.oetzmann
harries
hartmut
haschmo@telelev-dsl.de
haz
HDHOME54
headysbrain
Heidem@tz
heinz
HelgeFritz
Helmut
helpdesk@pvqse.de
hendrik.neumann@gmx.net
hendrikwitschel
henk
herti001
hhweber11
higgins
Himbeer
hlohmann51@gmx.de
hm
Holger
Home
Horst
horst_gotzel@web.de
Hummel@HKTechnik.de
i.Kunze@t-online.de
igel1443
info@4ox.de
info@computerhaus-werne.de
info@dst-online.com
info@fs-bike-teile.de
info@gehrmann.biz
info@gollnick-net.de
info@k-secit.de
info@lm1969.de
info@miethling.net
info@mikubi.de
info@ortenau-dsl.de
info@rosenberg-consult.com
info@r-sye.de
info@sdi-europa.com
info@ts-telecom.de
info@wachert-it.de
Inga00
ipad@stuedemann.info
ipmind
ira boerner
it@dollarhugo.com
IT-Support
j.sasse@eckel-et.de
janser
jens_peter_schwarck@yahoo.de
jens_tueting@kabelmail.de
jensbachmann
jenshundertmark
JET
jfgtv
jhirata
JMW-WOB
jo.rollwage@gmail.com
joachim.bebenroth@kabelmail.de
joerg.pflugrad@t-online.de
joerg_eckert@arcor.de
joern.rautenberg@gmail.com
jonas
JoWie
JPmisEr
jselchow
judslesens
juergen.hoecker@live.de
julian
jurszcz
kai-uwe.breit@gmx.de
KanonenMIKE54
Karsten
kaufhold.dieter@web.de
KBomm
keding
Keller.uwe@gmx.net
Kenny83
Kiehl
kingather
Klawumke
koch@it-service.tk
kontakt@christian-brand.de
kontakt@dokuz.de
kontakt@gsm-mobile24.de
kontakt@henrykubisch.de
kontakt@its-schmidt.de
kontakt@kalle-klein.de
kontakt@klaus-endner.de
kontakt@malereibetrieb-frieske.de
kontakt@mattik.de
kontakt@ppm2.de
kontakt@praxis-laura-hess.de
kontakt@rbf-online.de
kontakt@sylvio-maeser.de
kontakt@tischlerei-oberberg.de
kontakt@tobias-erl.de
kranichfeld@gmail.com
krosf97
krueger@hkn.de
kuhlmann@grillman.de
kulle
Laufwerk-Z
localadmin
loewensohn
lothar
m.fonfara@me.com
m.uteschil@kabelmail.de
macco@logopaedie-sindelfingen.de
macir
MadPhone
mail@glndrf.de
mail@hhgiese.de
mail@st-gieseler.de
mail@timengelhardt.de
malermeister.loehr@t-online.de
manfred.madsack@madsack-wolfsbur
Mann-Isernhagen@web.de
marci
Marco
marco.walther@diatechnet.de
MarcusWindler
Markus
Martin
martin@frkb.de
Massenbach
MatthiasBr
Matze
MBHage
Medallicator
meier_sven@t-online.de
meikelkoni@web.de
metner@arcor.de
mfebert
mi.le@web.de
micha02054
michael.flessner@gmail.com
michael.krelle
michael.scarale@kabelmail.de
michael.suess@sunds-technik.de
michaelwoerner@arcor.de
midren@gmx.de
MinxFritzbox
Mirko66@eva-dsl.de
mneitzert
m-o-d
moni.hansww@codab.de
mopperbox
moritz.m@t-online.de
moritz@moritz-beck.de
mx52973
MZ69
NagelKG
nehm@kainehm.org
network@paymentsolution.biz
Nicole.Daz@dvag.de
Nils Rudolph
Nisa-it
norbert.reiter@gmx.de
oberstkloss
odinundthor
oely
osart
p1zz4
paffenholz@gmx.net
Papa
paulito
PBattermann@web.de
pcprog
pc-techniker2001
peter
peter@firmenich-it.de
Petzi1973
pewi
Pfeifermaus
philipp-stock
philvino@gmail.com
pilo75@gmx.de
pohl-home
pollux
Poppelreuter
post@stefan-boos.de
post@t-nissen.net
privat@luhm.de
Quasteline
r.bauche@t-online.de
r2d2master
Rainer
rainerschleip
Ralf Bargheer
rascaldi
rebili
redsoft
ReimersPrivatFritzbox
remotebox
RemoteUser
Rio
Ritschi
rkonrad@elektro-konrad.de
Roeckemann
roger.wittmer@arcor.de
Rogge.Beinhorn@Kabelmail.de
roland@rolandbeer.com
rolf.sydow@gmx.de
rolfhsv
rolfpolaschek@t-online.de
roman@reinhold-rohrpost.de
root
rosita
rosyrl
RRosin
rtw247
rufl81@gmx.de
RWE
s.fischer@kaehler-bau.de
s.oliver1982
samhotte
samsung3
sandro.kock
Sascha Freytag
sascha@pc-nanny.de
Schimansky
schoembs
SchueCom
schueler.manfred@googlemail.com
scooby61
scrdel
Sebastian Bluhm
sebiw1984
seiferts@kabelmail.de
Service
service@beberast.net
service@cae-computer.de
service@eurobit.de
service@teekatze.de
shexta
siegfried
Sigrid
SiRo_cool
smart
sms@schneckenaichner.de
snoopy2695
soeren.stiene@sticcs.de
sonosnas
spawn73
St.Schindler@freenet.de
Stefan
stefan.helmers@gmx.de
stefan.pfeifer@werdau.net
stepha@miels.de
Stephan Rhein
stephanloewe@gmx.de
Stichnothe
strobbii
sult@gmx.net
support@jansenprooffice.nl
support@kories-media.de
support@strategic-prevent.de
support@v-kom.com
sven.kohlstedde@web.de
sven.neuleben.2912
sysadmin
system
Taipan
tantebi
technik@hasy.net
technik@mps-communication.com
telekom-fritzbox@schuecom.de
Tf
Thomas
Thomas Dreier
Thomas Froehlich
Thomas Stowasser
Thunder
timo.michel@web.de
tj@jonato.de
tl@xyz.de
Tobias.Kokkelink@gmx.de
tobias@funke01.de
tobisupermann
tobu@snafu.de
tobu2
toeffelchen
Torsten.waanders@web.de
Toto
tri_speedy
tschorn@outlook.com
tsohn@t-online.de
ttritter
Tukan
tvseven
u1
uhk
ulik
Ulrich Arnecke
uwe
uwe.wittig@web.de
uwedoerpmund@icloud.com
uwekiessling@gmx.net
v.keil@web.de
verkauf@frangen-soft.de
vespermann
Viktor
Vilius
V-KOM
volkmar.spiegel@web.de
vomorde@telemax.de
wayne83
wdp
webaccess
webbosch@arcor.de
welford@kabelmail.de
wernerfritzbox
werszcz
whoami
widder265@web.de
willi
willkommen@stoexen-it.de
wirsnet
Wolfram
woma1208-luni
wsch2000@kabelmail.de
xeon
xozer
yilmaz.karaman
zeller@cs.uni-saarland.de
zisco
Zuhause