Wollten Cyberkriminelle mit einer Weiterentwicklung der Schadsoftware Mirai ein Botnet aufbauen, das fast eine Million Router umfasst? Nach den Attacken auf die Deutsche Telekom, in deren Folge rund 900'000 Nutzer vom Netz getrennt waren, vermuten Experten schlecht programmierte Malware. Diese habe sich nicht in das Dateisystem der betroffenen Geräte einschreiben können. Ausschalten, Warten, Einschalten reiche, um die bösartige Software loszuwerden. Der Exploit ist für zwei Geräte bekannt. In der Schweiz sind sie vermutlich nicht im Umlauf.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ordnet das Problem der Telekom einem weltweiten Cyber-Angriff zu. Es handle sich um den Versuch über Fernverwaltungsports von DSL-Routern eine Schadsoftware einzuschleusen, meldete die staatliche Stelle gestern. Der Angriff habe etwa auch das Regierungsnetz betroffen. Dort sei er aber aufgrund von Schutzmassnahmen ohne Auswirkung geblieben.

Heute wurden die Hintergründe der Attacke bekannt. Schuld sei ein Botnetz, das auf dem Code der berüchtigten Malware Mirai beruht. Mittels dieser Protokolle können Internet Service Provider Einstellungen und Konfigurationen an den Routern ihrer Kunden vornehmen.

Dass das Protokoll im Falle der Telekom-Router ohne jegliche Authentifizierung nutzbar und auf einem vom Internet zugänglich Port aktiviert sei, sei an sich schon problematisch. Allerdings weise eine Funktion in diesen Routern zusätzlich eine Skript-Injection-Sicherheitslücke auf: Man könne also Befehle schicken, die auf dem betroffenen System ausgeführt würden, schreibt 'Golem'.

Eine detaillierte technische Analyse der Angriffe stellt das "Internet Storm Center" zur Verfügung.

Die Exploits der Router sind erstmals Anfang November beschrieben worden mit Verweis auf Ähnlichkeiten mit Mirai.

Ein Telekomsprecher erklärte gegenüber 'RBB-Inforadio': "Die Schadsoftware war schlecht programmiert, sie hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen. Ansonsten wären die Folgen des Angriffs noch viel schlimmer gewesen."

Ein Security-Angestellter der Security Firma Positive Technologies mit Sitz in den USA erklärte gegenüber 'IBTimes', dass es sich im vorliegenden Falle vermutlich um ein "broken Botnet" handeln würde. Hacker wollten die Kontrolle über arbeitende Geräte übernehmen und hätten kein Interesse an defekten Routern. Vermutlich sei etwas schief gelaufen und die Geräte hätten darum ihren Dienst versagt.

Kaspersky Labs schreibt auf 'SecureList', dass die Command-and-Controll-Server auf IPs aus dem Bereich des US-Militärs verweisen und es sich wohl um einen bösen Scherz der Verbrecher handle. Es gebe keine Mirai-Infrastruktur hinter dem betreffenden Netzwerkbereich. Deshalb werde es keine weiteren Befehle für die Bots geben, bis die Cyberkriminellen die DNS-Datensätze ändern würden.

Laut Telekom liegt die Anzahl der Betroffenen bei rund vier Prozent ihrer Kunden. Man erwarte, dass man heute keine Probleme mehr sehen werde.

Anscheinend läuft die Malware nur im Arbeitsspeicher der betroffenen Geräte. Sie sei nicht in der Lage gewesen, sich ins Dateisystem einzuschreiben, sagte Kaspersky Labs zur Nachrichtenagentur 'sda'. Die Telekom empfiehlt daher, den Router eine Minute abzuschalten und dann neu zu starten. Anschliessend sei das Gerät wieder frei vom Schädling. Das Gerät beziehe beim Neustart automatisch eine neue Software, die den Fehler behebe, bekräftigt die Telekom auf ihrer Homepage.

Betroffen vom aktuellen Angriff war laut "Internet Storm Center" der "Speedport" Router der Deutschen Telekom. Vom gleichen Exploit sei aber auch ein Zyxel-Modell betroffen, das von der irischen ISP Eircom benutzt wird. Frank Studerus vom Schweizer Zyxel-Vertreter Studerus konnte auf Anfrage nicht mit Sicherheit ausschliessen, dass das Modell D1000-Wireless-Router auch hierzulande verkauft wurde. Das Modell wurde von Eircom gerebrandet und kann andere Komponenten enthalten. Es sei aber unwahrscheinlich, dass das Modell in der Schweiz über die Ladentheke ging. (Thomas Schwendener)

Update 30.11.: 'heise.de' hat mittlerweile einen Onlinecheck aufgeschaltet mit dem man testen kann, ob der oben erwähnte Fernwartungsport beim eigenen Router offen ist. (hjm)