900'000 Router down - Angriff fehlgeschlagen? (Update: Online-Routertest)

29. November 2016 um 16:36
  • security
  • telekom
  • deutschland
image

Vermutlich steckt die berüchtigte Malware Mirai hinter dem grossangelegten aber wohl gescheiterten Angriff auf die Telekom.

Vermutlich steckt die berüchtigte Malware Mirai hinter dem grossangelegten aber wohl gescheiterten Angriff auf die Telekom.
Wollten Cyberkriminelle mit einer Weiterentwicklung der Schadsoftware Mirai ein Botnet aufbauen, das fast eine Million Router umfasst? Nach den Attacken auf die Deutsche Telekom, in deren Folge rund 900'000 Nutzer vom Netz getrennt waren, vermuten Experten schlecht programmierte Malware. Diese habe sich nicht in das Dateisystem der betroffenen Geräte einschreiben können. Ausschalten, Warten, Einschalten reiche, um die bösartige Software loszuwerden. Der Exploit ist für zwei Geräte bekannt. In der Schweiz sind sie vermutlich nicht im Umlauf.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ordnet das Problem der Telekom einem weltweiten Cyber-Angriff zu. Es handle sich um den Versuch über Fernverwaltungsports von DSL-Routern eine Schadsoftware einzuschleusen, meldete die staatliche Stelle gestern. Der Angriff habe etwa auch das Regierungsnetz betroffen. Dort sei er aber aufgrund von Schutzmassnahmen ohne Auswirkung geblieben.
Angriff über Fernwartungsprotokoll
Heute wurden die Hintergründe der Attacke bekannt. Schuld sei ein Botnetz, das auf dem Code der berüchtigten Malware Mirai beruht. Mittels dieser Protokolle können Internet Service Provider Einstellungen und Konfigurationen an den Routern ihrer Kunden vornehmen.
Dass das Protokoll im Falle der Telekom-Router ohne jegliche Authentifizierung nutzbar und auf einem vom Internet zugänglich Port aktiviert sei, sei an sich schon problematisch. Allerdings weise eine Funktion in diesen Routern zusätzlich eine Skript-Injection-Sicherheitslücke auf: Man könne also Befehle schicken, die auf dem betroffenen System ausgeführt würden, schreibt 'Golem'.
War die Malware schlecht programmiert?
Die Exploits der Router sind erstmals Anfang November beschrieben worden mit Verweis auf Ähnlichkeiten mit Mirai.
Ein Telekomsprecher erklärte gegenüber 'RBB-Inforadio': "Die Schadsoftware war schlecht programmiert, sie hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen. Ansonsten wären die Folgen des Angriffs noch viel schlimmer gewesen."
Ein Security-Angestellter der Security Firma Positive Technologies mit Sitz in den USA erklärte gegenüber 'IBTimes', dass es sich im vorliegenden Falle vermutlich um ein "broken Botnet" handeln würde. Hacker wollten die Kontrolle über arbeitende Geräte übernehmen und hätten kein Interesse an defekten Routern. Vermutlich sei etwas schief gelaufen und die Geräte hätten darum ihren Dienst versagt.
Kaspersky Labs schreibt auf 'SecureList', dass die Command-and-Controll-Server auf IPs aus dem Bereich des US-Militärs verweisen und es sich wohl um einen bösen Scherz der Verbrecher handle. Es gebe keine Mirai-Infrastruktur hinter dem betreffenden Netzwerkbereich. Deshalb werde es keine weiteren Befehle für die Bots geben, bis die Cyberkriminellen die DNS-Datensätze ändern würden.
Den Router neu starten und updaten reicht
Laut Telekom liegt die Anzahl der Betroffenen bei rund vier Prozent ihrer Kunden. Man erwarte, dass man heute keine Probleme mehr sehen werde.
Anscheinend läuft die Malware nur im Arbeitsspeicher der betroffenen Geräte. Sie sei nicht in der Lage gewesen, sich ins Dateisystem einzuschreiben, sagte Kaspersky Labs zur Nachrichtenagentur 'sda'. Die Telekom empfiehlt daher, den Router eine Minute abzuschalten und dann neu zu starten. Anschliessend sei das Gerät wieder frei vom Schädling. Das Gerät beziehe beim Neustart automatisch eine neue Software, die den Fehler behebe, bekräftigt die Telekom auf ihrer Homepage.
Betroffen vom aktuellen Angriff war laut "Internet Storm Center" der "Speedport" Router der Deutschen Telekom. Vom gleichen Exploit sei aber auch ein Zyxel-Modell betroffen, das von der irischen ISP Eircom benutzt wird. Frank Studerus vom Schweizer Zyxel-Vertreter Studerus konnte auf Anfrage nicht mit Sicherheit ausschliessen, dass das Modell D1000-Wireless-Router auch hierzulande verkauft wurde. Das Modell wurde von Eircom gerebrandet und kann andere Komponenten enthalten. Es sei aber unwahrscheinlich, dass das Modell in der Schweiz über die Ladentheke ging. (Thomas Schwendener)
Update 30.11.: 'heise.de' hat mittlerweile einen Onlinecheck aufgeschaltet mit dem man testen kann, ob der oben erwähnte Fernwartungsport beim eigenen Router offen ist. (hjm)

Loading

Mehr zum Thema

image

"Wir legen den Schwerpunkt auf die Störung der Bedrohungsakteure"

An den Swiss Cyber Security Days in Bern ging es in den Keynotes nicht nur um Verteidigung, sondern auch um offensive Aktionen. Zum Beispiel durch das FBI.

publiziert am 21.2.2024
image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

Millionen-Kopfgeld auch für Chefs der Alphv-Bande

Nach Hive nimmt die US-Regierung eine weitere Ransomware-Bande ins Visier. Sie hatte in der Schweiz unter anderem Bernina attackiert.

publiziert am 19.2.2024
image

Schwachstellen der deutschen E-ID gibt es auch bei Schweizer Lösung

Aufgrund einer Sicherheitslücke kann die deutsche E-ID dazu genutzt werden, um unter fremdem Namen ein Bankkonto zu eröffnen. Nach aktuellem Stand wäre dies auch beim digitalen Pass der Schweiz möglich.

publiziert am 19.2.2024 1