Hackerangriff Router-Attacke galt nicht der Telekom

Die Attacke, mit der Unbekannte 900.000 Router von Telekom-Kunden aus dem Netz warfen, galt gar nicht dem Internetprovider. Die Angreifer hatten ein größeres Ziel. Die Gefahr ist noch nicht vorbei.

Computertastatur
REUTERS

Computertastatur

Von


Nur langsam wird klar, was die Absicht der Unbekannten war, die seit Sonntag Hundertausende Internetrouter der Telekom zum Absturz brachten. Eine Sicherheitslücke in den betroffenen Routern jedenfalls scheint nun doch nicht das Problem gewesen zu sein. Darauf deuten sowohl Analysen von Sicherheitsexperten, die das Phänomen analysiert haben, als auch eine ausführliche Erklärung der Telekom selbst hin.

Der Angriff galt offenbar nicht direkt den Speedport-Routern der Telekom. Vielmehr scheint er ganz generell Internet-Router zum Ziel gehabt zu haben, die eine bestimmte Sicherheitslücke aufweisen beziehungsweise für ein bestimmtes Angriffsverfahren anfällig sind.

Der IT-Sicherheitsspezialist Lion Nagenrauft hat versucht, die Vorgehensweise der Angreifer nachzuvollziehen und dabei herausgefunden, dass dem Angriff eine Schwachstelle zugrunde liegt, die bereits am 7. November online veröffentlicht wurde. Allerdings bezog sich diese Schwachstelle nicht auf Telekom-Router und sollte eigentlich dazu dienen, die WLAN-Passwörter der fraglichen Geräte auszuspähen, schreibt Nagenrauft.

Das falsche System

Die Telekom vermutet nun, dass der aktuelle Angriff wegen jener Schwachstelle konzipiert wurde. Das Ziel der Unbekannten sei, wie schon vermutet wurde, "die Installation einer Schadsoftware auf den Routern, damit diese als Teil eines sogenannten Botnetzes fungieren, also als fernsteuerbare Infrastruktur für weitere Angriffe zur Verfügung stehen".

Was dann allerdings passierte, können die Angreifer nicht geplant haben. An den Speedport-Routern bissen sich ihre Angriffsprogramme die Zähne aus, erklärt Netzexperte Linus Neumann vom Chaos Computer Club in seinem Blog. Demnach ist auf den Routern der Telekom weder das Betriebssystem installiert, dem der Angriff eigentlich gilt, noch weisen sie die Sicherheitslücke auf, die von der Angriffssoftware ausgenutzt werden soll.

Dass sie trotzdem abstürzten, sei wohl auf eine andere Schwachstelle zurückzuführen, schreibt Neumann. Die sich immer wiederholenden Angriffsversuche hätten sie wohl schlicht überlastet. Das sei "ärgerlich für die Angreifer, ärgerlich für die Telekom, ärgerlich für die Kunden" - und bedrohlich für alle anderen.

Die Attacke könnte sich selbst verstärken

Die Untersuchungen zeigen, dass der Angriff keineswegs vorbei ist, sondern unvermindert anhält. Und zwar nicht mit dem Ziel, Telekom-Kunden aus dem Netz zu werfen, sondern auf der Suche nach Opfern, nach Geräten, die sich mit der Methode der Angreifer heimlich kapern und übernehmen lassen.

Auf einem Testsystem registrierte Lion Nagenrauft drei verschiedene Angriffe innerhalb von fünf Minuten. Sie alle hatten, so wie der Angriff insgesamt, nur ein Ziel: "verwundbare Router mit Schadsoftware infizieren, um diese in dem Botnet Mirai zu bündeln", schreibt der Experte.

Und so wie es die Sicherheitsfirme Kaspersky Lab schon am Dienstag geschildert hatte, glaubt auch Nagenrauft: Geräte, auf denen der Angriff erfolgreich verläuft, werden umgehend selbst zu Angreifern, die ihrerseits im Netz nach verwundbaren Routern suchen. Das würde bedeuten, dass sich die Attacke mit jedem befallenen Gerät weiter verstärkt.

Es ist noch nicht vorbei

Vor allem aber heißt es, dass das Mirai-Botnet mit jedem Tag stärker wird. Schon im Oktober musste man davon ausgehen, dass mehrere Hunderttausend Geräte in diesem Botnet zusammengefasst sind. Sie alle entstammen dem Internet der Dinge, es sind also Webcams, Heizungssteuerungen und eben auch Internetrouter. Jedes davon für sich genommen mag nur eine vergleichsweise geringe Rechenleistung haben. Doch in der Masse liegt hier die Kraft, die Mirai zu einer gefährlichen Bedrohung macht.

Dass sich das Problem für Telekom-Kunden nun beheben lässt, indem man den Router neu startet, liegt an Filtern, mit denen der Konzern die Angriffsbefehle aus seinem Netz filtert. Und an Software-Updates, die zumindest für einige der betroffenen Router bereitstehen.

Damit ist die Gefahr aber noch nicht vorbei. So lange der Angriff läuft, können weitere Geräte, auch bei anderen Providern, betroffen und womöglich von Schadsoftware befallen werden. Umso wichtiger ist jetzt, seinen Internetrouter so gut es geht abzusichern.



Forum - Diskussion über diesen Artikel
insgesamt 96 Beiträge
Alle Kommentare öffnen
Seite 1
rossini 30.11.2016
1. O2
Am 25./26.11 konnten wir als O2 Kunden für ca 36 h nicht telefonieren ,DSL klappte - wie so üblich mit halber Geschwindigkeit ,Service ( ? was ist das ? gleich null) . Just for Info
mc_os 30.11.2016
2. Aussage gegen Aussage, oder: Die Wunderheilung
Zitat aus dem Artikel: "Dass sie trotzdem abstürzten, sei wohl auf eine andere Schwachstelle zurückzuführen, schreibt Neumann. Die sich immer wiederholenden Angriffsversuche hätten sie wohl schlicht überlastet. Das sei "ärgerlich für die Angreifer, ärgerlich für die Telekom, ärgerlich für die Kunden" - und bedrohlich für alle anderen." Laut Aussage der Telekom wurde durch den "Angriff" die automatische Aktualisierung der Router deaktiviert. Und durch einen einfachen Power-Cycle (Aus- und wieder Einschalten) wäre das Problem zu beheben gewesen.
Affenhirn 30.11.2016
3. Wie hilft diese Nachricht?
Welche Handhabe hat der Normalverbraucher um seinen Router und angeschlossene Geräte auf Befall zu prüfen? Ein- und Ausschalten ist da ja wohl nicht die Lösung - oder?
superstrom 30.11.2016
4.
"Die Attacke, mit der Unbekannte 900.000 Router von Telekom-Kunden aus dem Netz warfen, galt gar nicht dem Internetprovider. Die Angreifer hatten ein größeres Ziel." Der Teasertext ist ja schon ganz schön heftig. Konsequenterweise hätten sie aber so abschließen sollen: "...doch welchem Ziel sie wirklich galten, ließ mir einen kalten Schauer über den Rücken laufen!"
TS_Alien 30.11.2016
5.
Man lernt aus dem aktuellen Fall vieles bzw. wird in seiner Meinung bestätigt: 1. Hacker sind dümmer als viele denken. Sie sind simple Einbrecher. Ihre Methoden sind hemdsärmeliger als viele denken. 2. Hersteller von Netz-Komponenten haben es immer noch nicht verstanden. Man baut keine Komponenten, auf die man mit wenig Aufwand Programme aus der Ferne aufspielen kann. Entweder erlaubt man dies gar nicht oder verlangt dafür eine gesicherte Kommunikation. 3. Auch wenn dies im aktuellen Fall keine Rolle gespielt hat, sind normalerweise die Nutzer meistens selbst schuld, wenn sich Schadsoftware auf ihren Rechnern oder Routern breit macht. Wissen schützt. Viele wollen aber heutzutage nichts wissen. 4. Es ist peinlich, wenn ein Router durch ein wenig Datenverkehr abstürzt. Selbst die maximale mögliche "Belastung" sollte einen Router nicht aus der Bahn werfen. Da hat wohl wieder jemand nicht ordentlich getestet.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.