📝Create a new article
🏭Create a company page
🇬🇧 - in english
🇫🇷 - en français (FR)
🇵🇹 - em português (PT)
🇩🇪 - in deutsch (DE)
🇯🇵 - 日本語で (JA)

You can edit almost every page by Creating an account. Otherwise, see the FAQ.

Hackerangriff auf DSL-Router am 27. November 2016

Aus EverybodyWiki Bios & Wiki
Wechseln zu:Navigation, Suche

Dieser Artikel beschreibt ein aktuelles Ereignis. Die Informationen können sich deshalb rasch ändern.


Ein Hackerangriff auf DSL-Router am 27. November 2016 führte in Deutschland zum Ausfall von rund einer Million DSL-Routern, hauptsächlich betroffen waren Geräte der Deutschen Telekom. Bei dem Angriff wurde die Malware Mirai verwendet.

Verlauf[Bearbeiten]

Anfang November 2016 wurde bekannt, dass ein Router-Modell des irischen Telekommunikationsanbieters Eircom, dessen Soft- und Hardware von dem taiwanesischen Hersteller ZyXEL stammt, das Fernwartungsprotokoll TR-069 auf dem Port 7547 frei zugänglich ist und auch Funktionen des verwandten TR-064-Protokolls zulässt.[1] Über diesen offenen Port und die Befehle, welche in der TR-069-Implementierung nicht vorgesehen sind, können sich Angreifer mit Hilfe eines Exploits Zugang zum Gerät verschaffen und es unter ihre Kontrolle bringen. Bereits am 8. November 2016 wurde hierfür ein entsprechender Proof of Concept veröffentlicht.[2] Am 15. November wurde diese Sicherheitslücke von dem IT-Sicherheitsforscher Darren Martyn bestätigt,[3] der am 22. November einen Exploit veröffentlichte.[4] Ebenso konnte Martyn weitere für die Lücke anfällige Geräte identifizieren, darunter Geräte der Hersteller Aztech, D-Link, Digicom und T-Com/T-Home.[5] Bis zum 28. November wurden von ihm 48 weitere Geräte gefunden, welche für die Sicherheitslücke anfällig sind.[6]

Am 26. November verzeichnete das SANS Internet Storm Center einen sprunghaften Anstieg von Angriffen auf den Port 7547 von IP-Geräten in Deutschland.[7] Mit Hilfe von Honeypots konnte ermittelt werden, dass die Angreifer versuchen über einen spezifischen TR-064-Befehl eine Malware auf die Geräte zu laden und diese auszuführen,[8] welche vergleichbar mit den Veröffentlichungen von Anfang November 2016 sind.

Im Zuge dieser Angriffe kam es in Deutschland zu ersten Störungsmeldungen von Kunden der Deutschen Telekom am Sonntagnachmittag des 27. November 2016. Die Störungen bezogen sich nicht auf bestimmte Regionen, sondern traten bundesweit auf; allerdings nur bei bestimmten DSL-Router-Typen. In der Spitze der Störung fielen rund 900.000 von insgesamt 20 Millionen Anschlüssen aus. Den Höhepunkt erreichte die Attacke am Abend des 27. November 2016 mit zeitweise 900.000 gestörten Internetanschlüssen in Deutschland. Betroffen waren hauptsächlich Kunden, die DSL-Router der Speedport-Modelle W 921V, W 723V Typ B, W 504V und Entry I des taiwanesischen Herstellers Arcadyan in Verwendung hatten.[9][10][11] Kunden anderer Netzanbieter waren nicht betroffen.[10]

Wie sich herausstellte, wurde weltweit eine Welle von versuchten Angriffen mittels TR-064-Befehle über das Kommunikationsprotokoll TR-069 registriert.[12] Infizierte IP-Geräte attackierten ihrerseits auf Port 7547 weitere IP-Geräte.

Im Falle der Telekom-Endgeräte war der Port für T-069 ebenfalls offen, jedoch waren sie softwareseitig gegen diese spezielle Code-Injektion gegen den TR-064-Befehl immun. Was die Router der Telekom zum Absturz brachte, war jedoch ein Fehler in der Verarbeitung von mehreren nacheinander folgenden Datenpaketen. Linus Neumann von Netzpolitik.org geht davon aus, dass die Totalausfälle nicht in der „Absicht des Angreifers“ lagen.[13] In einer offiziellen Stellungnahme erklärte die Telekom, dass die „Angriffsmethodik […] nach aktueller Sachlage […] auf einer Veröffentlichung im Internet von Anfang November 2016“ basiert.[14] Die Anfälligkeit für die Abstürze ist seit dem Morgen des 28. November 2016 durch die Aktualisierung der Geräte-Firmware behoben,[15] wodurch sich die Zahl der betroffenen Anschlüsse deutlich reduzierte.[16]

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) war es ein gezielter, weltweiter Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern. Ziel sei es gewesen, die Geräte mit Schadsoftware zu infizieren. Es war der größte Angriff dieser Art in Deutschland. Betroffen waren Internetzugänge, Fernsehen über IP und Internettelefonie.[17][18][19][20][21]

Technischer Hintergrund[Bearbeiten]

Zwischen den Routern der Nutzer und dem sogenannten DNS-Dienst der Telekom wird mittels eines Protokolls kommuniziert. Diese Verbindung wurde gestört. Beim Aufruf einer bestimmten Website leitet der Router die Anfrage an das Domain-Name-System (DNS) weiter. Dabei wird der Name der Website in die entsprechende IP-Adresse umgewandelt. Bei diesem Ablauf wurden die Verbindungen der Server der Telekom zu bestimmten Router-Modellen ihrer Kunden gestört. Daraufhin wurden die Router so behandelt, als wenn sie zu fremden Providern gehörten.[22] Die Einwirkung von außen erfolgte speziell auf Telekom-Router; weder Vodafone noch die O2-Mutter Telefónica waren nach deren eigenen Angaben von dieser Störung ihrer Netze betroffen.[23]

Wie das BSI meldete wurde der Router-Port 7547 angegriffen. Hacker versuchen demnach, Router über eine Lücke im Fernwartungsprotokoll TR-069 in ein IoT-Botnetz einzureihen.[24]

Reaktionen[Bearbeiten]

Die Angriffe wurden auch im vom BSI geschützten Regierungsnetz registriert, blieben aber aufgrund von Schutzmaßnahmen folgenlos. Das Nationale Cyber-Abwehrzentrum koordinierte nach Bekanntwerden unter Federführung des BSI die IT-Maßnahmen der Bundesbehörden.[25]

Die Bundesregierung erklärte, die Störung wirke sich nicht auf die Arbeit der Bundesregierung aus; zeige aber die Bedeutung der Cybersicherheit.[26]

Die Telekom kompensierte betroffene Kunden, die zusätzlich einen Mobilfunkvertrag hatten, mit einem kostenlosen Tages-Pass für den mobilen Internetzugang.[27]

Der Bundesinnenminister Thomas de Maizière stellte aufgrund des Totalausfalls Pläne vor, eine „schnelle Eingreiftruppe“ zu gründen, die rund um die Uhr verfügbar sein und im Falle von schweren Attacken die angegriffene Infrastruktur vor Ort untersuchen können soll. Die Pläne finden sich in der Neufassung der Cyber-Sicherheitsstrategie, die im Herbst 2016 vom Kabinett beschlossen werden sollte. Eingreiftruppen soll es im Bundesamt für Verfassungsschutz (BfV) und dem Bundeskriminalamt (BKA) geben. Mit der Gruppe im Bundesamt für Sicherheit in der Informationstechnik (BSI) würde es dann zunächst drei Eingreiftruppen geben.[28]

Telekom-Chef Timotheus Höttges rief auf einer Konferenz zum Aufrüsten auf, worunter er die Schaffung einer „Cyber-NATO“ versteht. [29]

Ermittlungen[Bearbeiten]

Sprecher der Telekom sagten, dass es möglicherweise bei den Routerausfällen ein Eingriff von außen – und nicht ein „normaler“, aber ebenfalls „ärgerlicher“ Systemausfall war. Auf einen Hackerangriff wiesen Analysen der IT-Sicherheit und der Forensiker bei der Telekom hin.

Der Fachdienst Securelist analysierte die Protokolle und wies darauf hin, dass bei dem Angriff Strukturen zu erkennen seien, die auf die Verwendung einer Mirai-Applikation hindeuteten.[30]

Die Staatsanwaltschaft Köln, Zentrale- und Ansprechstelle Cybercrime (ZAC) des Landes Nordrhein-Westfalen, hat am 29. November 2016 von Amts wegen „nach Paragraf 303 a und b des Strafgesetzbuches ein Verfahren gegen Unbekannt eingeleitet wegen Computer-Sabotage und Datenveränderung hauptsächlich bei Routern der Deutschen Telekom“. Mit den Ermittlungen ist das BKA beauftragt.[31][32]

Einzelnachweise[Bearbeiten]

  1. Eir’s D1000 Modem Is Wide Open To Being Hacked. In: Reverse Engineering Blog. 7. November 2016, abgerufen am 1. Dezember 2016.
  2. Kenzo: Eir D1000 Wireless Router - WAN Side Remote Command Injection (Metasploit). In: www.exploit-db.com. Abgerufen am 1. Dezember 2016.
  3. Bobby 'Tables on Twitter. In: Twitter. (twitter.com [abgerufen am 1. Dezember 2016]).
  4. https://www.linkedin.com/pulse/tr-064-implementation-failures-darren-martyn
  5. https://twitter.com/info_dox/status/801502052174233600
  6. Bobby 'Tables on Twitter. In: Twitter. (twitter.com [abgerufen am 1. Dezember 2016]).
  7. SANS Internet Storm Center: TCP/UDP Port Activity - SANS Internet Storm Center. In: SANS Internet Storm Center. Abgerufen am 1. Dezember 2016 (en-US).
  8. SANS Internet Storm Center: TR-069 NewNTPServer Exploits: What we know so far - SANS Internet Storm Center. In: SANS Internet Storm Center. Abgerufen am 1. Dezember 2016 (en-US).
  9. Telekom Hilft, Update vom 28. November 2016, 18:30
  10. 10,0 10,1 Pressebericht N-TV vom 28. November 2016
  11. Pressebericht Tagesspiegel.de vom 28. November 2016
  12. Hanno Böck: Telekom-Router über das Fernwartungsinterface angegriffen. Golem.de, 29. November 2016, abgerufen am 29. November 2016.
  13. TR-069, die Telekom, und das, was wirklich geschah | netzpolitik.org. In: netzpolitik.org. Abgerufen am 30. November 2016.
  14. https://www.telekom.com/de/medien/details/mythos-offene-schnittstelle-was-wirklich-geschah-445232https://web.archive.org/web/20161201230835/https://www.telekom.com/de/medien/details/mythos-offene-schnittstelle-was-wirklich-geschah-445232
  15. Jan-Frederik Timm: Telekom DSL-Störung: Speedport W 723V Typ B & 921V erhalten Updates. In: ComputerBase. (computerbase.de [abgerufen am 1. Dezember 2016]).
  16. Frank-thomas Wenzel: Telekom: BSI vermutet Hacker-Angriff. In: fr-online.de. 1. November 2016 (fr-online.de [abgerufen am 28. November 2016]).
  17. tagesschau.de: Hinweis auf Hackerangriff: Massive Probleme im Netz der Telekom. In: tagesschau.de. Abgerufen am 28. November 2016 (deutsch).
  18. Netzstörung: Hinweise auf Hackerangriff verdichten sich. In: Die Zeit. 28. November 2016, ISSN 0044-2070 (zeit.de [abgerufen am 1. Dezember 2016]).
  19. Telekom: Internet-Ausfall in 900.000 Haushalten - Hacker-Angriff wird geprüft - WELT. In: DIE WELT. Abgerufen am 1. Dezember 2016.
  20. SPIEGEL ONLINE, Hamburg Germany: Telekom-Störung: BSI vermutet weltweiten Hackerangriff. In: SPIEGEL ONLINE. Abgerufen am 1. Dezember 2016.
  21. Reuters: Deutsche Telekom Says Fixed Network Outage May Be Work of Hackers. In: The New York Times. 28. November 2016, ISSN 0362-4331 (nytimes.com [abgerufen am 28. November 2016]).
  22. Frank-thomas Wenzel: Telekom: BSI vermutet Hacker-Angriff. In: fr-online.de. 1. November 2016 (fr-online.de [abgerufen am 1. Dezember 2016]).
  23. Was passiert ist, wer dahinter steckt, was Kunden tun können. Tagesspiegel, abgerufen am 28. November 2016.
  24. Hanno Böck: Telekom-Router über das Fernwartungsinterface angegriffen. Golem.de, 29. November 2016, abgerufen am 29. November 2016.
  25. Netzstörung: Hinweise auf Hackerangriff verdichten sich. In: Die Zeit. 28. November 2016, ISSN 0044-2070 (zeit.de [abgerufen am 1. Dezember 2016]).
  26. Frank-thomas Wenzel: Telekom: BSI vermutet Hacker-Angriff. In: fr-online.de. 1. November 2016 (fr-online.de [abgerufen am 1. Dezember 2016]).
  27. SPIEGEL ONLINE, Hamburg Germany: Telekom-Störung: BSI vermutet weltweiten Hackerangriff. In: SPIEGEL ONLINE. Abgerufen am 28. November 2016.
  28. SPIEGEL ONLINE, Hamburg Germany: Cybersicherheit: Bundesregierung plant schnelle Eingreiftruppen gegen Hackerangriffe. In: SPIEGEL ONLINE. Abgerufen am 30. November 2016.
  29. Torsten Kleinz: Telekom-Chef: Aufruf zu den Cyber-Waffen. In: Heise Online. Abgerufen am 1. Dezember 2016.
  30. New wave of Mirai attacking home routers – Securelist. In: securelist.com. Abgerufen am 28. November 2016.
  31. BKA ermittelt nach Telekom-Hack – Wirtschaftswoche. Abgerufen am 30. November 2016.
  32. Die Telekom ist noch mal davongekommen – Tagesspiegel. Abgerufen am 30. November 2016.


Diese artikel "Hackerangriff auf DSL-Router am 27. November 2016" ist von Wikipedia The list of its authors can be seen in its historical.

Page kept on Wikipedia This page exists already on Wikipedia.
👍🏻 Facebook Facebook Page

🐤 Twitter Follow us on Twitter !


Read or create/edit this page in another language[Bearbeiten]

Abgerufen von „https://de.everybodywiki.com/index.php?title=Hackerangriff_auf_DSL-Router_am_27._November_2016&oldid=938457
License CC BY-SA 3.0
Powered by MediaWiki