Über 900.000 Kunden der Deutschen Telekom waren am Sonntag und Montag von massiven Ausfällen ihrer Anschlüsse betroffen. Die Deutsche Telekom vermutete in ihren ersten Stellungnahmen bereits einen Hackangriff als Ursache für die Probleme. Davon geht auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus.
“Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu”, heißt es in einer am Montagabend veröffentlichten Stellungnahme des BSI. Man stehe im ständigen Austausch mit der Deutschen Telekom, um den Vorfall zu analysieren. Ziel der Attacke sei es gewesen, die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe seien durch das BSI auch bei dem von ihm geschützten Regierungsnetz registriert worden. Die beim Regierungsnetz eingesetzten Schutzmaßnahmen hätten aber den Angriff abgewehrt. “Das Nationale Cyber-Abwehrzentrum koordiniert derzeit unter Federführung des BSI die Reaktion der Bundesbehörden”, fügt das BSI hinzu.
Der BSI-Präsident Arne Schönbohm weist in der Stellungnahme des BSI darauf hin, dass das Amt bereits am 9. November bei der Vorstellung des Berichts zur Lage der IT-Sicherheit in Deutschland auf die Gefahren durch Hackerangriffe insbesondere für kritische Infrastrukturen hingewiesen habe. “In der Cyber-Sicherheitsstrategie wurden bereits geeignete Maßnahmen zum Schutz vor Angriffen auf unsere digitale Infrastruktur beschlossen. Diese müssen nun wirken”, so Schönbohm.
Kaspersky: Details zum Angriff
Die Sicherheitsexperten von Kaspersky konnten laut einem Blog-Eintrag einen analysierten Code im Zusammenhang mit den Router-Angriffen einer Malware namens ” Mirai ” zuordnen. “In den vergangenen Wochen wurde das Mirai-Botnetz mit verschiedenen Cyberattacken in Verbindung gebracht”, so Kaspersky. Die vom Ausfall betroffenen Kunden hätten Kaspersky mit wertvollen Informationen zum Angriff versorgt. Beim Angriff sei eine Sicherheitslücke der betroffenen Router ausgenutzt worden, um eine Datei namens “1” von http://l.ocalhost[.]host auf /tmp/-directory zu kopieren und auszuführen. Die IP-Adresse dieses Hosts habe sich im Laufe des Tages mehrfach geändert.
Malware überlebt Router-Neustart nicht
Die Malware sei nur in der Lage, sich im Speicher des Routers abzulegen. Aus diesem Grund “überlebe” die Infektion auch keinen Neustart des Routers. Einen solchen Neustart empfahl auch die Deutsche Telekom ihren betroffenen Kunden.
Telekom: Diese Router sind betroffen – neue Firmware verfügbar
Die Angriffe auf die Router selbst erfolgten über den Port 7447, und die Telekom sperrte zur Abwehr den Datenverkehr auf diesen Port. Konkret betroffen sind folgende Telekom-Router, die laut Telekom durch einen Fehler in der Firmware anfällig für die Attacke waren:
- Speedport W 921V
- Speedport W 723V Typ B
- Speedport W 921 Fiber
Eine neue Firmware, in der der Fehler korrigiert worden ist, ist für die Router-Modelle bereits verfügbar und installiert sich automatisch nach einem Neustart der Geräte. Weitere Infos hierzu finden Sie auf dieser Seite der Deutschen Telekom.
BND warnt vor russischen Hackerangriffen
Unabhängig von den Telekom-Störungen warnte der Chef des Bundesnachrichtendienstes, Bruno Kahl, in einem Interview mit der Süddeutschen Zeitung , dass vor der Bundestagswahl 2017 russische Hackerangriffe auf Deutschland erfolgen könnten. Das Ziel dabei könnte sein, “politische” Verunsicherung zu stiften.