Digital Life
29.11.2016

Was hinter der Attacke auf die Deutsche Telekom steckt

Angreifer nutzten eine zwei Jahre alte Sicherheitslücke aus, um 900.000 Router zu infizieren, die dann Teil eines Botnets wurden. Auch österreichische Geräte sind gefährdet.

Bei rund 900.000 Kunden der Deutschen Telekom kam es zuletzt zu Ausfällen der Verbindungen für Internet, Telefonie und Fernsehen. Dahinter steckte ein großflächiger Angriff auf die Router. Der Sicherheitsspezialist Kaspersky hat den eingeschleusten Schadcode untersucht und festgestellt, dass es sich dabei um einen artverwandten Schädling von Mirai handelt.

Neue Geräte unterwandern

Mirai war das Botnet, das für die Unerreichbarkeit von Diensten wie Spotify oder Twitter vor rund einem Monat verantwortlich war. Wie bei Mirai ging es nie darum, dass offiziell bemerkt wird, dass die Router der Deutschen Telekom infiziert wurden. Vielmehr wollten die Angreifer die Geräte dauerhaft übernehmen. Mit Schädlingen infizierte Geräte werden nämlich in der Regel für weitere, wesentlich größere Attacken verwendet. „Das Botnet wollte sich vergrößern und neue Internet-Geräte unterwandern“, so Telekom-Sicherheitsmanager Dirk Backofen.

Weil der Schadcode schlecht programmiert war hat im aktuellen Fall ein Neustart der Router gereicht, um sie wieder funktionsfähig zu machen. „Dieses Mal haben wir noch Glück gehabt und der Angriff hat nicht richtig funktioniert“, sagte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). „Ansonsten hätten wir jetzt viele infizierte Geräte.“ Die Störung wurde mittlerweile weitgehend ausgeräumt, auch die Sicherheitslücke in den Routern gestopft.

Alte bekannte Sicherheitslücke

Diese Sicherheitslücke war übrigens nicht gerade neu. Bereits am Hacker-Kongress 31c3 des Chaos Computer Club Ende 2014 wurden in einem Vortrag Probleme beim TR-069-Protokoll zum Remote-Management von Routern gezeigt. Das Protokoll dient normalerweise dazu, Leihgeräte beim Kunden aktualisieren und konfigurieren zu können. Im November diesen Jahres gab es dann ein „Proof of Concept“-Papier, das aufzeigte, wie einfach man durch diese Schwachstelle Schadcode auf die Geräte einschleusen kann. Das wurde dann offenbar nun in die Tat umgesetzt.

Da es sich bei der Sicherheitslücke, die ausgenutzt wurde, um ein weltweites Problem handelt, besteht die Gefahr, dass Geräte anderer Hersteller und in anderen Ländern auf demselben Weg angegriffen werden – und zwar mit Erfolg. Thomas Tschersich, Leiter der IT-Sicherheit bei der Telekom, dazu: „Irgendwo auf der Welt wird die Attacke erfolgreich gewesen sein.“

Globales Problem

Von den infizierten Routern dürften in den nächsten Monaten neue Angriffe ausgehen, die ganze Computersysteme vorübergehend lahm legen können. „Angriffe, bei denen Internet-Verbindung absichtlich überlastet werden - sogenannte Denial of Service-Attacken -, werden massiv zunehmen und eine ganz andere Qualität bekommen.“ Falls der Telekom-Angriff also gelungen wäre, hätten die Kriminellen über die infizierten Router auf einmal die Hoheit über sehr viele Internet-Anschlüsse gehabt.

Dass die Betroffenen oft nicht wissen, dass ihre Geräte infiziert sind, zeigt folgendes Beispiel: Bei den Angriffen aus dem Mirai-Botnet Ende Oktober waren etwa rund 1000 infizierte Geräte aus Österreich beteiligt, ohne dass ihre Besitzer etwas davon gewusst hatten.

55.000 Geräte aus Österreich

In der Hacker-Suchmaschine „Shodan“ sind etwa 55.000 Geräte aus Österreich aufgelistet, die für die Sicherheitslücke, die bei der Telekom ausgenutzt wurde, prinzipiell anfällig wären. Darunter zahlreiche Router der Telekom Austria (50.000) und UPC (3.000). „Das heißt nicht, dass die Lücke auch ausnutzbar ist“, betont Aaron Kaplan von CERT.at. Cert.at hat sowohl die Telekom Austria als auch UPC über die Auffindbarkeit ihrer potentiell betroffenen Geräte in der Suchmaschine informiert.

Auf futurezone-Anfrage hieß es seitens der Telekom Austria dazu lediglich: „Derzeit ist das kein Thema bei uns. Wir haben einige Maßnahmen (z.B. Filter) vorsichtshalber gesetzt.“ Die meisten großen Internet Service Provider scheinen ihr Netz laut Angaben von CERT.at zudem so gebaut zu haben, dass sie TR-069 nicht über das offene Internet, sondern über getrennte Kanäle betreiben.

Wer hinter der Attacke stand und welchen Zweck die Angreifer verfolgten, ist weiterhin unklar. Der deutsche Innenminister Thomas de Maizière (CDU) wollte Spekulationen vermeiden. „Im Moment steht der genaue Urheber noch nicht fest“, sagte de Maizière.