Hackerangriff Router-Attacke galt nicht der Telekom

Die Attacke, mit der Unbekannte 900.000 Router von Telekom-Kunden aus dem Netz warfen, galt gar nicht dem Internetprovider. Die Angreifer hatten ein größeres Ziel. Die Gefahr ist noch nicht vorbei.
Computertastatur

Computertastatur

Foto: KACPER PEMPEL/ REUTERS

Nur langsam wird klar, was die Absicht der Unbekannten war, die seit Sonntag Hundertausende Internetrouter der Telekom zum Absturz brachten. Eine Sicherheitslücke in den betroffenen Routern jedenfalls scheint nun doch nicht das Problem gewesen zu sein. Darauf deuten sowohl Analysen von Sicherheitsexperten, die das Phänomen analysiert haben, als auch eine ausführliche Erklärung der Telekom  selbst hin.

Der Angriff galt offenbar nicht direkt den Speedport-Routern der Telekom. Vielmehr scheint er ganz generell Internet-Router zum Ziel gehabt zu haben, die eine bestimmte Sicherheitslücke aufweisen beziehungsweise für ein bestimmtes Angriffsverfahren anfällig sind.

Der IT-Sicherheitsspezialist Lion Nagenrauft hat versucht, die Vorgehensweise der Angreifer nachzuvollziehen  und dabei herausgefunden, dass dem Angriff eine Schwachstelle zugrunde liegt, die bereits am 7. November online veröffentlicht wurde. Allerdings bezog sich diese Schwachstelle nicht auf Telekom-Router und sollte eigentlich dazu dienen, die WLAN-Passwörter der fraglichen Geräte auszuspähen, schreibt Nagenrauft.

Das falsche System

Die Telekom vermutet nun, dass der aktuelle Angriff wegen jener Schwachstelle konzipiert wurde. Das Ziel der Unbekannten sei, wie schon vermutet wurde, "die Installation einer Schadsoftware auf den Routern, damit diese als Teil eines sogenannten Botnetzes fungieren, also als fernsteuerbare Infrastruktur für weitere Angriffe zur Verfügung stehen".

Was dann allerdings passierte, können die Angreifer nicht geplant haben. An den Speedport-Routern bissen sich ihre Angriffsprogramme die Zähne aus, erklärt Netzexperte Linus Neumann vom Chaos Computer Club in seinem Blog . Demnach ist auf den Routern der Telekom weder das Betriebssystem installiert, dem der Angriff eigentlich gilt, noch weisen sie die Sicherheitslücke auf, die von der Angriffssoftware ausgenutzt werden soll.

Dass sie trotzdem abstürzten, sei wohl auf eine andere Schwachstelle zurückzuführen, schreibt Neumann. Die sich immer wiederholenden Angriffsversuche hätten sie wohl schlicht überlastet. Das sei "ärgerlich für die Angreifer, ärgerlich für die Telekom, ärgerlich für die Kunden" - und bedrohlich für alle anderen.

Die Attacke könnte sich selbst verstärken

Die Untersuchungen zeigen, dass der Angriff keineswegs vorbei ist, sondern unvermindert anhält. Und zwar nicht mit dem Ziel, Telekom-Kunden aus dem Netz zu werfen, sondern auf der Suche nach Opfern, nach Geräten, die sich mit der Methode der Angreifer heimlich kapern und übernehmen lassen.

Auf einem Testsystem registrierte Lion Nagenrauft drei verschiedene Angriffe innerhalb von fünf Minuten. Sie alle hatten, so wie der Angriff insgesamt, nur ein Ziel: "verwundbare Router mit Schadsoftware infizieren, um diese in dem Botnet Mirai zu bündeln", schreibt der Experte.

Und so wie es die Sicherheitsfirme Kaspersky Lab schon am Dienstag geschildert hatte, glaubt auch Nagenrauft: Geräte, auf denen der Angriff erfolgreich verläuft, werden umgehend selbst zu Angreifern, die ihrerseits im Netz nach verwundbaren Routern suchen. Das würde bedeuten, dass sich die Attacke mit jedem befallenen Gerät weiter verstärkt.

Es ist noch nicht vorbei

Vor allem aber heißt es, dass das Mirai-Botnet mit jedem Tag stärker wird. Schon im Oktober musste man davon ausgehen, dass mehrere Hunderttausend Geräte in diesem Botnet zusammengefasst sind. Sie alle entstammen dem Internet der Dinge, es sind also Webcams, Heizungssteuerungen und eben auch Internetrouter. Jedes davon für sich genommen mag nur eine vergleichsweise geringe Rechenleistung haben. Doch in der Masse liegt hier die Kraft, die Mirai zu einer gefährlichen Bedrohung macht.

Dass sich das Problem für Telekom-Kunden nun beheben lässt, indem man den Router neu startet, liegt an Filtern, mit denen der Konzern die Angriffsbefehle aus seinem Netz filtert. Und an Software-Updates, die zumindest für einige der betroffenen Router bereitstehen.

Damit ist die Gefahr aber noch nicht vorbei. So lange der Angriff läuft, können weitere Geräte, auch bei anderen Providern, betroffen und womöglich von Schadsoftware befallen werden. Umso wichtiger ist jetzt, seinen Internetrouter so gut es geht abzusichern.