Hacker nutzen bei Telekom-Angriff bekannte Sicherheitslücke

×

Hacker haben versucht, weltweit DSL-Router mit einer Schadsoftware zu infizieren, um die Geräte einem Botnet hinzuzufügen. In Deutschland waren etwas weniger als eine Million Kunden der Deutschen Telekom mit bestimmten DSL-Routern aus der Speedport-Serie betroffen – hauptsächlich Privatkunden. Sowohl die Telekom als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigten, dass es sich um einen solchen Angriff gehandelt hat.

Im Internet Storm Center des SANS-Instituts (SysAdmin, Networking and Security), einer weltweit agierenden Monitoring-Plattform rund um Cyberattacken, haben Experten Informationen zum Angriff zusammengetragen, der schon seit einigen Tagen anhält und nun massiv in Deutschland angekommen ist. Demnach haben die Hacker versucht, über eine Variante der lange bekannten Schwachstellen in dem Fernwartungsprotokoll Technical Report 069 (TR-069), Zugriff auf Router zu bekommen, um sie zu einem Teil des Botnets Mirai zu machen. Über das TR-069 kommunizieren die Router mit den Auto Configuration Servern (ACS), über die die Geräte automatisch mit Updates bespielt werden können. Die Angreifer suchten vermutlich mit einfachen Mitteln im Netz nach Geräten mit offenem Port 7547 und attackierten diese Tür zu den Routern. Im Jahr 2014 hatte das IT-Sicherheitsunternehmen Checkpoint Software diese Schwachstellen bereits öffentlich gemacht: Wenn Router das TR-069 nutzen und nicht verschlüsselt kommunizieren oder auch selbsterstellte Sicherheitszertifikate akzeptieren, könnte es ein Leichtes sein, darüber anzugreifen, stellte ein Checkpoint-Mitarbeiter bei der Konferenz Def Con 22 in Las Vegas damals fest. Die Netze seien sicher, hieß es 2014 von deutschen Providern – auch von der Telekom.

Botnet-Infektion fehlgeschlagen

Laut Thomas Tschersich, Leiter Group Security Services der Deutschen Telekom und Springer-Autor des Buchkapitels Cyber Security - What's Next?, seien die jüngsten Versuche, die Speedport-Router zu infizieren, fehlgeschlagen. Der Angriff hätte jedoch oft zum Absturz der Geräte geführt. "Wir haben im Netz einige Filtermechanismen implementiert, die eine Neuinfektion wirkungsvoll verhindern", sagte Tschersich. Unter anderem wurde der betroffene Port im Netz blockiert. Im Laufe des Montags hatten Telekom und der Hersteller der betroffenen Speedport-Modelle, der taiwanesische Konzern Arcadyan, Updates zur Verfügung gestellt. Nachdem Telekom-Kunden die Router für mindestens 30 Sekunden vom Stromnetz getrennt und wieder angeschlossen hatten, waren sie "ohne jegliche Reste von Schadsoftware weiter betreibbar", sagte Tschersich. Außer den Arcadyan-Routern waren wohl keine weiteren betroffen, die Telekom sprach von vier bis fünf Prozent der Kunden, die Einschränkungen in den Diensten zu beklagen hatten.

Rechenleistung für massive Angriffe

Die angegriffenen Router sollten durch Mirai zu Bots in einem Internet-of-Things-Botnet werden. Ihre Rechenleistung hätte dann gemeinsam mit der hunderttausender weiterer infizierten IoT-Geräten für massive DDoS-Angriffe genutzt werden können. Gegen solche IoT-Botnets kämpfen Forscher und Sicherheitsexperten seit ihrem Aufkommen. Sebastian Gerling und Christian Rossow, beide Spezialisten für IT-Sicherheit an der Universität des Saarlandes, haben in der August-Ausgabe der DuD – Datenschutz und Datensicherheit – ihre Idee der Jagd auf die Angreifer im IoT beschrieben und stellen fest, dass "spezielle Malware für IoT bereits existiert und dringend Sicherheitsmaßnahmen ergriffen werden müssen."

×

Laut BSI wurden die jüngsten Angriffe auch im Regierungsnetz registriert, "in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben", teilte die Behörde mit. Das Nationale Cyber-Abwehrzentrum koordiniere die Reaktion der Bundesbehörden auf den Angriff.

BSI-Präsident Arne Schönbohm forderte die Umsetzung der kürzlich vorgestellten Cyber-Sicherheitsstrategie für Deutschland 2016. Darin sind Staat, Wirtschaft und Bürger in verschiedenen Handlungsfeldern aufgerufen, an Zielen zum Aufbau einer wirksamen Sicherheit in einer digitalisierten Umgebung zu arbeiten. "In dem am 9. November vorgestellten Bericht zur Lage der IT-Sicherheit in Deutschland haben wir auf die Gefahren durch Hackerangriffe insbesondere für kritische Infrastrukturen hingewiesen. In der Cyber-Sicherheitsstrategie wurden bereits geeignete Maßnahmen zum Schutz vor Angriffen auf unsere digitale Infrastruktur beschlossen. Diese müssen nun wirken", erklärte BSI-Präsident Schönbohm.

Tipp: Mit Patches und Updates immer bestmöglich vorbereitet sein

Springer-Autor Eddy Willems gibt in seinem Buchkapitel Tipps, wie Unternehmen im Netz (über-)leben können, Empfehlungen für ein Updatekonzept als Grundvoraussetzung für die Sicherheit der IT-Architektur: 

Jedes Unternehmen muss sich darüber im Klaren sein, wie wichtig das unverzügliche Installieren von Patches ist. Ein entsprechendes Updatekonzept ist Grundvoraussetzung für die Sicherheit der IT-Architektur. Daher lege ich Ihnen ans Herz, ein umfassendes Verfahren – ein so genanntes UPMS (Update/Patch Management System – festzulegen, das folgende Punkte umfasst:

1.  Aktualisierung des Inventars (Soft- und Hardware). Im Unternehmen muss jederzeit bekannt sein, welche Komponenten innerhalb des Netzwerks benötigt werden und vorhanden sind.
2.  Sammeln von Informationen. Vor jedem Ausrollen von Soft- oder Hardware muss ein IT-Administrator über die zu installierende Software-Version und mögliche Probleme damit informiert werden.
3.  Planung und Umsetzung einer Strategie. Nicht alle Patches müssen über das gesamte Netzwerk ausgerollt werden. Bei der Beurteilung der konkreten Vorgehensweise spielen verschiedene Faktoren eine wichtige Rolle. [...]
4.  Testen von Patches – ein enorm wichtiger Punkt, durch den sich zahlreiche Probleme vermeiden lassen. [...]
5.  Gezielte Planung des Ausrollens. Viele Patches können nicht in laufende Systeme installiert werden. Manche Patches erfordern einen Neustart des Systems, was im laufenden Betrieb nicht immer möglich ist. [...]
6.  Ausrollen der Patches. Dieser Vorgang beschränkt sich nicht allein auf das Versenden der Patches an die entsprechenden Endgeräte. [...]
7.  Verifizierung und Protokollierung. Vertrauen Sie keinesfalls blindlings darauf, dass die Installation eines Patches in allen Systemen ohne Probleme verlaufen ist. Prüfen Sie besser nach, ob sich die Versionsnummer der gepatchten Software tatsächlich verändert hat, dass Sicherheitslücken tatsächlich geschlossen wurden und natürlich auch, ob sich beim Ausrollen der Software Probleme ergeben haben. [...]"   Cybergefahr (2015), Seite 139