Rund 900.000 Telekom-Kunden schauten Ende November in die Röhre, als sie nur schwerlich oder gar nicht ins Internet gehen konnten. Wie nach und nach bekannt wurde, war es nicht einfach eine der öfter mal vorkommenden Netzstörungen, sondern etwas viel Größeres. Die Telekom war Opfer eines globalen Hacker-Angriffs geworden, die Kunden die Geschädigten.
Keine klare Spur
Zwar gibt es auch Wochen später offiziell immer noch keine eindeutigen Hinweise auf den oder die Urheber des Angriffs, es ist jedoch abzuschätzen, worauf es die Urheber abgesehen hatten. Über eine veränderte Version des Wurms Mirai sollten hunderttausende Telekom-Modems per Internet-Befehl in ein gigantisches Botnetz eingegliedert werden. Das Netz wäre so groß gewesen, dass man der Web-Infrastruktur damit ernsthaften Schäden hätte zufügen können. Der Super-GAU blieb aus, weil der Wurm offenbar einen Programmierfehler hatte. Zwar brachte er die Router zum Absturz, jedoch konnte die Schadsoftware nicht auf den Geräten installiert werden. Die Telekom konnte deshalb die Sicherheitslücke eigenen Angaben nach schließen. Per Update sind die Router nun dicht – vorerst.
Tür war offen
Der Angriff erfolgte zielgerichtet über eine Schnittstelle (Port 7547), die Teil eines Fernwartungs-Protokolls ist. Darüber können Telekom-Techniker ein Firmware-Update veranlassen oder, falls der User es vergessen haben sollte, das W-LAN-Passwort zurücksetzen. Die Verteidigung der Router war ebenso schlecht programmiert wie die Malware, sodass die Hacker kaum Probleme hatten, ihre Software aufzuspielen. Deshalb spricht Telekom-Sprecher Georg von Wagner auch davon, dass man Glück gehabt habe, dass der Wurm so schlecht programmiert war. Ansonsten wären die Auswirkungen deutlich schlimmer gewesen.
So weit, so bekannt
Die Lücke war allerdings schon spätestens seit dem 8. November bekannt. Die Sicherheitslücken-Datenbank ExploitDB listet sie seit diesem Tag in ihrem Verzeichnis. Die Schnittstelle war sogar bereits 2012 Ziel von Angreifern, damals allerdings bei Telefonica-Geräten. In Irland wurden zehntausende Breitbandmodems Anfang November gehacked, ebenfalls über den Port 7547. Dass sich die Geräte so leicht kapern lassen, ist der Produktionsweise geschuldet. Die massenhaft gefertigten Router sind ab Werk nur mit einem Standardpasswort geschützt, also leicht zu hacken. Das Bundesamt für Sicherheit in Informationstechnik (BSI) will die Gefahr per Gütesiegel und Zertifikaten eindämmen. Damit sollen ausländische Hersteller wie Huawei und Arcadyan in die Pflicht genommen werden, einen fortlaufenden Sicherheits-TÜV zu bestehen. Die betroffenen Geräte stammten von Arcadyan. Die Telekom passt sie lediglich moderat an und klebt ein Logo drauf. Sollte sich das Prozedere nicht ändern, wird es in absehbarer Zeit den nächsten Angriff geben Und dann wird der Wurm wahrscheinlich nicht mehr so dilettantisch programmiert sein.
Mag ich.Der Beitrag Was steckt hinter dem Telekom-Hack? erschien zuerst auf MATERNA newmedia BLOG.