Anzeige
Tech

Was hinter dem Hackerangriff auf 900.000 Telekom-Router steckt

Eigentlich sollten die Geräte der Telekom-Kunden Teil eines riesigen Botnetzes werden. Zum Glück hat das nicht geklappt: Sie stürzten alle ab, wie eine Untersuchung von Sicherheitsexperten zeigt.

von Theresa Locker
29 November 2016, 12:43pm

Noch immer sind rund fünf Millionen Geräte weltweit anfällig für den Exploit. Bild: Screenshot Shodan.io

900.000 Kunden der Telekom drückten wohl gestern und vorgestern verärgert auf ihren Routern herum: Das Internet ging seit Sonntagnachmittag nicht oder nur zum Teil oder stürzte immer wieder ab. Und auch in der Unternehmenszentrale in Bonn dürfte es gestern ein wenig hektischer zugegangen sein als sonst.

Doch diesmal steckte dahinter keine Netzstörung, sondern eine dramatischere Ursache. Wie nun klar ist, wurden die Router der Telekom Opfer eines globalen Hackerangriffs. Belastbare Hinweise auf einen möglichen Urheber gibt es zwar nicht, allerdings herrscht etwas mehr Klarheit über das Motiv der Angreifer: Jemand versuchte mit Hilfe einer veränderten Version des Wurms Mirai, hunderttausende Telekom-Modems über das Internet fernzusteuern und in ein gigantisches Botnetz einzugliedern, mit dem der Internet-Infrastruktur massiver Schaden zugefügt werden kann.

Erfolg hatten die Hacker aber nur zum Teil. Die Router stürzten zwar alle ab, doch es gelang den Angreifern nicht, die Malware auch aufzuspielen. Heute gab die Telekom ihren 20 Millionen Festnetzkunden dann Entwarnung und verkündete, man habe die Sache im Griff. Dass die Telekom die Lücke schließen konnte, hatte der Anbieter letztlich jedoch nur einem Fehler in der Malware zu verdanken. Welcher das ist, dazu wollte sich die Telekom nicht äußern.

Die jüngste Attacke beschränkte sich dabei nicht nur auf Privathaushalte, sondern zielte auch auf das Regierungsnetz ab, für dessen Schutz das Bundesamt für Sicherheit im Informationstechnik (BSI) verantwortlich ist. Dort registrierte man laut Regierungssprecher Steffen Seibert die Attacke zwar, konnte sie aber erfolgreich abwehren, wie er gestern in einer Pressekonferenz bekannt gab.

„Wir haben diesmal noch Glück gehabt", sagte Telekom-Sprecher Georg von Wagner dem rbb inforadio. Die Schadsoftware sei „schlecht programmiert" gewesen, „und sie hat nicht das getan, was sie tun sollte. Ansonsten wären die Folgen des Angriffs noch viel schlimmer gewesen". Glück im Unglück. Im Laufe dieses Dienstags will die Telekom alle ihre Kunden durch ein Router-Update wieder sicher online gebracht haben.

Das Einfallstor für den Angriff hört auf den Namen Port 7547. Diese Schnittstelle ist ein Teil des Fernwartungs-Protokolls TR-069. Darüber können Techniker beim Support auf die Router zugreifen und zum Beispiel Updates aufspielen oder das W-LAN-Passwort auf Werkseinstellungen zurücksetzen. Sind die Geräte allerdings so schlampig programmiert, dass diese Ports zum Internet hin offen sind, können Hacker auch Malware darauf installieren. Genau das war der Fall bei vielen Telekom-Modems—So ganz neu ist der Angriffsmodus allerdings nicht, denn bekannt ist diese Lücke schon länger.

Der Traffic auf TCP-Port 7547 ist in den vergangenen zwei Tagen regelrecht explodiert. Bild: Screenshot SANS ISC.

Die Datenbank für Sicherheitslücken ExploitDB listet diese Schwachstelle über den Port 7545 nämlich schon seit dem 8. November in ihrem Verzeichnis. Öffentlich wurde der Exploit zuallererst durch das Blog Bad Cyber: Ein aufmerksamer Leser in Polen hatte festgestellt, dass sein Router attackiert wurde und informierte die Website über die Angriffsmethode. Tatsächlich berichteten auch andere Medien und Sicherheitsforscher bereits zu Beginn des Monats, dass zehntausende irische Breitbandmodems des Typs Eir 1000 nach derselben Systematik (über den TCP Port 7545) anfällig für den Hack waren. Ähnliche Probleme mit genau dieser Schnittstelle hatte 2012 bereits der spanische Anbieter Telefonica O2 bekommen.

Wie Sicherheitsforscher von Bad Cyber und dem Storm Internet Center erklären, benutzten die Angreifer wohl eine gepimpte Version der Mirai-Malware, um die Modems zu kapern.

Bei Mirai handelt es sich um eine kostenlos im Netz verfügbare Schadsoftware, mit der Millionen vernetzter IoT-Geräte unter Kontrolle gebracht und als gigantisches Botnetz ferngesteuert und zweckentfremdet werden können. Im Oktober hatten kriminelle Hacker mit Hilfe des Wurms Mirai eine Sabotageschlacht bereits schlagen können und den Infrastruktur-Dienstleister Dyn mit Hilfe von Millionen Internet of Things-Geräten lahmgelegt. Die ferngesteuerte Armee aus Überwachungskameras, Babyphones, Thermostaten, Glühbirnen und smarten Wasserkochern wurde zu DDoS-Kanonen umprogrammiert und sorgte für schweres Chaos im Netz.

Elf Stunden für eine Tasse Tee: Heldenhafter Programmierer live-tweetet einen epischen Kampf gegen seinen smarten Wasserkocher

Dass sich die vernetzten Alltags-Geräte so gefährlich schnell entführen lassen, ist ihrer Bauweise geschuldet: Oftmals sind die massenproduzierten Geräte ab Werk nur mangelhaft geschützt, lassen sich mittels Standardpasswörtern leicht hacken und nur sehr schwer wieder absichern.

Das BSI reagiert—mit einem Seitenhieb Richtung Telekom.

Diese Gefahr möchte das BSI mit einer sehr deutschen Lösung eindämmen (Gütesiegel! Zertifikate!) und fordert gegenüber der Welt „Sicherheits-Prüfsiegel" für Internetgeräte. Damit möchte das Amt auch ausländische Hersteller von Modems wie Huawei oder Arcadya in die Pflicht nehmen. Nur wenn ihre Produkte eine Art fortlaufenden Sicherheits-TÜV bestehen, sollen sie auf dem deutschen Markt verkauft werden dürfen.

Ob so etwas umsetzbar oder sinnvoll ist, darüber lässt sich streiten. Doch die Aussage kann durchaus als Seitenhieb in Richtung Bonn verstanden werden: Denn die Telekom stellt ihre Speedport-Router nicht selbst her, sondern kauft sie—wie die betroffenen Modems in diesem Fall—zum Beispiel vom taiwanesischen Hersteller Arcadyan, der schon vor Jahren durch Sicherheitslücken umangenehm auffiel. Bevor sie als Speedport-Modems an die Kunden ausgeliefert werden, werden sie lediglich ein wenig angepasst und beispielsweise mit deutscher Beschriftung und Telekom-Logo versehen.

Für die beiden betroffenen Gerätetypen Speedport W 921V und Speedport W 723V Typ B—beide von Arcadyan entwickelt—hat die Telekom jetzt einen Patch veröffentlicht; im Laufe des Dienstags sollten alle Kunden wieder online sein. Um die neue Telekom-Firmware zu installieren, müssen Internetnutzer nur dem wohl ältesten Techniker-Rat der Welt folgen: Gerät ausschalten, 30 Sekunden warten, neu einschalten.

Letztlich bietet der halb-vereitelte Angriff interessante Hinweise darauf, wie lange Hacker brauchen, um die veröffentlichte Version des Mirai-Schadcodes so zu modifizieren, dass eine weitere großangelegte Attacke damit durchgeführt werden kann: In diesem Fall waren das nicht mal drei Wochen.

Das bedeutet: Das Problem geht weit über die Telekom und die irischen Modems hinaus. Darauf deuten auch Honeypot-Server hin, die von den Sicherheitsforschern des Storm Internet Center des SANS-Instituts aufgestellt wurden: Diese Fallen verzeichneten auf jeder Ziel-IP zwischen sechs und zwölf Angriffe pro Stunde.

Mit modifizierten Versionen des Mirai-Wurms könnte es schon morgen andere Internetanbieter treffen. Auch in Österreich gab es gestern ungewöhnlich viel Verkehr auf dem Ferndiagnoseprotokoll TR-069. Gelöst ist das Problem trotz des eingedämmten Angriffs auf die Telekom-Kunden noch lange nicht: Wer auf der (registrierungspflichtigen) Internet of Things-Suchmaschine Shodan nach dem Exploit sucht, kann weltweit noch knapp fünf Millionen Geräte erkennen, deren Hintertür für einen Missbrauch als Botnet-Sklave weit offen stehen.