Attacke auf Router Telekom-Hack hätte viel schlimmer kommen können

So lästig der Ausfall von Telefon, Internet und TV für Telekom-Kunden gewesen sein mag, eigentlich hatten sie noch Glück. Die Angreifer hatten ein ganz anderes Ziel. Schlampige Programmierung verhinderte den Erfolg.

REUTERS

Von


Der Hackerangriff, der seit Sonntag Hunderttausende Router im Netz der Telekom lahmgelegt hat, ist wohl ein Fehlschlag gewesen. Offenbar hat erst ein Programmierfehler in der Schadsoftware, die auf die Geräte eingeschleust werden sollte, zu den Ausfällen geführt.

Statt sich, wie offenbar beabsichtigt, einfach auf den Geräten einzunisten, stürzte die Schadsoftware ab beziehungsweise verursachte sie Softwareprobleme auf den befallenen Routern. Für die betroffenen Telekom-Kunden war das ärgerlich, weil ihr Netzzugang plötzlich aus nicht ersichtlichen Gründen lahmte oder ganz ausfiel.

Die Alternative aber hätte noch schlimmer sein können. Wäre die Attacke geglückt, hätten die Angreifer auf einen Schlag fast eine Million Router unter ihre Kontrolle gebracht. Genug jedenfalls, um daraus ein schlagkräftiges Botnet zu weben, das wiederum für Angriffe im Internet hätte genutzt werden können.

Betroffen sind laut Telekom die folgenden drei Routermodelle:

  • Speedport W 921V
  • Speedport W 723V Typ B
  • Speedport W 921 Fiber

Die Geräte werden vom dem taiwanischen Routerhersteller Arcadyan für die Telekom hergestellt. Das Unternehmen produziert Internetrouter auch für andere deutsche und internationale Provider. Offenbar haben alle drei Modelle gemein, dass ihre Fernwartungsfunktion durch ein Standardpasswort geschützt war.

Angriff über Port 7547

Genau das haben die Angreifer offenbar auszunutzen versucht. Sie suchen das Netz gezielt nach Routern ab, bei denen der sogenannte Fernwartungsport 7547 erreichbar ist. Normalerweise wird dieser virtuelle Anschluss beispielsweise von Internetanbietern genutzt, um die Router der Kunden aus der Ferne zu konfigurieren. Dem Internet Storm Center zufolge lassen sich über die Spezialsuchmaschine Shodan rund 41 Millionen Geräte im Netz aufstöbern, bei denen der Port 7547 offen steht.

Zu diesen Millionen Geräten gehörten wohl auch die fraglichen drei Routermodelle der Telekom - und das nicht erst seit gestern. Ein Telekom-Kunde hatte bereits 2014 in einem Telekom-Forum auf die Schwachstelle hingewiesen, sie als "relevante Sicherheitslücke" bezeichnet und darum gebeten, die Lücke durch ein Update zu stopfen.

Wieder das Mirai-Botnet

Der Angriff auf die Telekom-Router weise typische Merkmale auf, die auf das Mirai-Botnet hinweisen, meldet das IT-Sicherheitsunternehmen Kaspersky Lab. Botnets werden beispielsweise genutzt, um Webseiten durch einen Vielzahl gleichzeitiger Anfragen an deren Server zu überlasten und so aus dem Netz zu werfen. Der Fachbegriff heißt Distributed Denial of Service, kurz DDoS.

Traditionell wurden solche Botnets aus Computern zusammengestellt, die von Kriminellen mit Schadsoftware infiziert wurden, die eine heimliche Fernsteuerung der Rechner ermöglicht. Das Mirai Botnet jedoch ist nicht aus herkömmlichen PC, sondern aus Geräten zusammengestellt, die dem Internet der Dinge zugeordnet werden. Dabei kann es sich um Überwachungskameras, Babyfone, vernetzte Lichtsteuerungen oder eben Router handeln.

Bei dem Angriff vom Wochenende habe sich die von Mirai auf die Telekom-Router eingeschleuste Schadsoftware zunächst in den Arbeitsspeicher kopiert und dann die ausführbare Datei, also sozusagen ihren eigenen Programmcode, aus dem Festspeicher gelöscht, schreibt Kaspersky Lab. Dies geschah möglicherweise, um Spuren zu verwischen.

Darum hilft ein Neustart

Aus dieser Funktionsweise lässt sich auch erklären, weshalb die Router zunächst wieder funktionierten, wenn man sie kurz vom Stromnetz trennte und dadurch den Arbeitsspeicher löschte. Da der Angriff währenddessen aber weiterlief, dürften viele Geräte anschließend erneut infiziert worden sein.

War der Schädling im Arbeitsspeicher aktiv, schloss er zuerst den Port 7547, über den er sich Zutritt verschafft hatte und suchte das Netz dann nach weiteren Geräten ab, auf denen ebenfalls dieser Port offen stand. Sobald die Suche erfolgreich war, kopierte sich die Schadsoftware auf das neue Gerät. Irgendwo in diesem Ablauf scheint es aber ein Problem in der Programmierung gegeben zu haben. Statt im Hintergrund auf neue Befehle zu warten blockierte die Schadsoftware offenbar Routerfunktionen, was zum Ausfall führte oder die Netzverbindung zumindest verlangsamte.

Die geschilderte Möglichkeit, dass sich die Schadsoftware einnistet und weiter ausbreitet, soll durch ein Update verhindert werden, das die Telekom für die fraglichen Router breitstellt. Eine Anleitung, wie man das Update automatisch installieren lassen oder zur manuellen Installation herunterladen kann, hat die Telekom auf ihren Hilfeseiten bereitgestellt. Telekom-Nutzer, die einen der oben genannten Router nutzen, sollten es umgehend einspielen.



insgesamt 162 Beiträge
Alle Kommentare öffnen
Seite 1
wexelweler 29.11.2016
1. Schäuble?
War das nicht der Schäuble der eine Routerüberwachungssoftware verbreiten wollte? Würde ja auch passen: Ein Meisterwerk deutscher Ingenieurskunst.
ctwalt 29.11.2016
2. Achso.......
Standardpasswort für Fernwartung. Also für JEDEN Profi hackbar. Super !
Rathard 29.11.2016
3. Angriff von Innen
Nur ein Telekom-IT-Spezialist (oder der eines Dienstleisters) kann die notwendigen Kenntnisse haben und die Schlamperei mit dem Kennwort wissen. Damit ist der Täterkreis schon sehr eingeengt. Das sind nicht die bösen Hacker, das sind die eigenen Leuten, die sich rächen.
wilam 29.11.2016
4. Nicht einmal das ,
was der Wirtschaft auf die Dauer nützt, was sie aber aus kurzfristigen Erwägungen (Quartalsergebnis, Dividende...) verhindern will, nimmt dieser Lobbyistenhaufen (wie heißt er doch gleich? Ach ja, CDU!) in Angriff. Sicherheit müsste die Telekom bezahlen, aber den Schaden kann man mit Hilfe besagtren Haufens doch der Allgemeinheit aufbrummen.
ibotob 29.11.2016
5. Unfassbar
"Offenbar haben alle drei Modelle gemein, dass ihre Fernwartungsfunktion durch ein Standardpasswort geschützt war." Unfassbar, dass so etwas passieren kann. Es braucht wohl erst einen ausgewachsenen Cyberkrieg, bevor Behörden, Hardwarehersteller und Anbieter aufwachen und bessere Prüfungen und Auflagen verhinden, dass sowas nochmal passieren kann.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.